押さえておくべき脆弱性の最新情報

画像提供：マイナビニュース

eSecurity Planetは5月27日、「Vulnerability Recap 5/27/24: Google, Microsoft & GitLab Fixes」において、5月20日から26日までに発表された主要な脆弱性の概要を伝えた。

○5月20日から26日までに発表された 脆弱性

eSecurity Planetが概要を伝えた先週の主要な脆弱性は次のとおり。
○QNAP製品の脆弱性

QNAPのNAS(Network Attached Storage)から複数の脆弱性が発見された。これら脆弱性を悪用されると、認証されていないリモートの攻撃者に任意のコードを実行される可能性がある。

QNAPは脆弱性を修正するアップデートを公開しており、速やかなアップデートが推奨されている(参考：「QNAP製品の脆弱性をセキュリティベンダーが指摘、確認とアップデートを | TECH+（テックプラス）」)。
○Fluent Bitに脆弱性

クラウドおよびコンテナ環境向けログ収集ツール「Fluent Bit」からメモリー破損の脆弱性が発見された。脆弱性は「CVE-2024-4323」として追跡されており、攻撃者に悪用されるとサービス運用妨害(DoS: Denial of Service)やリモートコード実行(RCE: Remote Code Execution)につながる可能性がある。

Fluent Bitの開発者は脆弱性を修正した「v3.0.4」を公開しており、製品の利用者には速やかなアップデートが推奨されている。また、可能であればAP(Application Programming Interface)へのアクセス制限を実施することが望まれている。
○GitHub Enterprise Serverに緊急の脆弱性

GitHub Enterprise Serverに緊急の脆弱性が発見された。この脆弱性を悪用すると、SAMLシングルサインオン(SSO: Single Sign On)を使用するインスタンスにおいて、SAMLレスポンスを偽造してサイト管理者権限を持つユーザーのプロビジョニングやアクセスを取得可能とされる。

GitHubは脆弱性を修正した新しいバージョンを公開しており、速やかな更新が推奨されている(参考：「GitHub Enterprise Serverに緊急の脆弱性、アップデートを | TECH+（テックプラス）」)。