押さえておくべき脆弱性の最新情報

○Windows Serverの更新プログラムを修正

Microsoftは2024年5月14日にリリースしたセキュリティ更新プログラム(KB5037765)をWindows 10またはWindows Serverにインストールするとエラーコード「0x800f0982」が発生して失敗する不具合を修正した。この修正は不定期(OOB: Out-of-band)の更新プログラム(KB5039705)として提供されている(参考：「Microsoft、セキュリティ更新プログラムKB5037765の不具合を修正 | TECH+（テックプラス）」)。
○Google Chromeは複数の脆弱性を修正

Googleは今月、Chromeのセキュリティアップデートを複数回発行した。修正された脆弱性の一部はエクスプロイト(侵害手段)が存在するとされ、すでに悪用されているものとみられている。最後に公開された修正バージョンは次のとおり(参考：「Google Chrome、セキュリティアップデート公開 - 今月4回目のゼロデイ脆弱性 | TECH+（テックプラス）」)。

安定版 (Windows, Mac) - 125.0.6422.112/.113
安定版 (Linux) - 125.0.6422.112

○Veeamに緊急の脆弱性

データ管理ソフトウェアの「Veeam」から緊急(Critical)を含む4件の脆弱性が発見された。Veeamはこれら脆弱性を修正する「Backup Enterprise Manager 12.1.2.172」および「Backup & Replication 12.1.2(build 12.1.2.172)」をリリースしており、速やかな更新が推奨されている。更新できない場合は、Backup Enterprise Managerをアンインストールすることが推奨される。
○GitLabに複数の脆弱性

GitLabから複数の脆弱性が発見された。これら脆弱性はCommunity Edition(CE)およびEnterprise Edition(EE)のバージョン17.0.1、16.11.3、16.10.6にて修正されており、速やかなアップデートが推奨されている。
○既知の脆弱性カタログ

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は5月24日(米国時間)、4年前に確認されたApache Flinkの脆弱性「CVE-2020-17519」を既知の脆弱性カタログ(KEV: Known Exploited Vulnerabilities Catalog)に追加した。

既知の脆弱性カタログ(KEV)は悪用が確認された脆弱性の一覧。組織はこの一覧を確認することで、リスクの高い脆弱性を優先して対策を講じることができる。今回CISAは古いApache Flinkの脆弱性が悪用されたとしてカタログに追加した。

Apache Flinkを使用している、または製品に利用している企業や組織には、速やかなアップデートが推奨されている。アップデートができない場合は、影響を受ける製品の利用を中止することが望まれている。
（後藤大地）