eSecurity Planetは5月27日、「Vulnerability Recap 5/27/24: Google, Microsoft & GitLab Fixes」において、5月20日から26日までに発表された主要な脆弱性の概要を伝えた。
5月20日から26日までに発表された 脆弱性
eSecurity Planetが概要を伝えた先週の主要な脆弱性は次のとおり。
QNAP製品の脆弱性
QNAPのNAS(Network Attached Storage)から複数の脆弱性が発見された。これら脆弱性を悪用されると、認証されていないリモートの攻撃者に任意のコードを実行される可能性がある。
QNAPは脆弱性を修正するアップデートを公開しており、速やかなアップデートが推奨されている(参考:「QNAP製品の脆弱性をセキュリティベンダーが指摘、確認とアップデートを | TECH+(テックプラス)」)。
Fluent Bitに脆弱性
クラウドおよびコンテナ環境向けログ収集ツール「Fluent Bit」からメモリー破損の脆弱性が発見された。脆弱性は「CVE-2024-4323」として追跡されており、攻撃者に悪用されるとサービス運用妨害(DoS: Denial of Service)やリモートコード実行(RCE: Remote Code Execution)につながる可能性がある。
Fluent Bitの開発者は脆弱性を修正した「v3.0.4」を公開しており、製品の利用者には速やかなアップデートが推奨されている。また、可能であればAP(Application Programming Interface)へのアクセス制限を実施することが望まれている。
GitHub Enterprise Serverに緊急の脆弱性
GitHub Enterprise Serverに緊急の脆弱性が発見された。この脆弱性を悪用すると、SAMLシングルサインオン(SSO: Single Sign On)を使用するインスタンスにおいて、SAMLレスポンスを偽造してサイト管理者権限を持つユーザーのプロビジョニングやアクセスを取得可能とされる。
GitHubは脆弱性を修正した新しいバージョンを公開しており、速やかな更新が推奨されている(参考:「GitHub Enterprise Serverに緊急の脆弱性、アップデートを | TECH+(テックプラス)」)。
Windows Serverの更新プログラムを修正
Microsoftは2024年5月14日にリリースしたセキュリティ更新プログラム(KB5037765)をWindows 10またはWindows Serverにインストールするとエラーコード「0x800f0982」が発生して失敗する不具合を修正した。この修正は不定期(OOB: Out-of-band)の更新プログラム(KB5039705)として提供されている(参考:「Microsoft、セキュリティ更新プログラムKB5037765の不具合を修正 | TECH+(テックプラス)」)。
Google Chromeは複数の脆弱性を修正
Googleは今月、Chromeのセキュリティアップデートを複数回発行した。修正された脆弱性の一部はエクスプロイト(侵害手段)が存在するとされ、すでに悪用されているものとみられている。最後に公開された修正バージョンは次のとおり(参考:「Google Chrome、セキュリティアップデート公開 - 今月4回目のゼロデイ脆弱性 | TECH+(テックプラス)」)。
- 安定版 (Windows, Mac) - 125.0.6422.112/.113
- 安定版 (Linux) - 125.0.6422.112
Veeamに緊急の脆弱性
データ管理ソフトウェアの「Veeam」から緊急(Critical)を含む4件の脆弱性が発見された。Veeamはこれら脆弱性を修正する「Backup Enterprise Manager 12.1.2.172」および「Backup & Replication 12.1.2(build 12.1.2.172)」をリリースしており、速やかな更新が推奨されている。更新できない場合は、Backup Enterprise Managerをアンインストールすることが推奨される。
GitLabに複数の脆弱性
GitLabから複数の脆弱性が発見された。これら脆弱性はCommunity Edition(CE)およびEnterprise Edition(EE)のバージョン17.0.1、16.11.3、16.10.6にて修正されており、速やかなアップデートが推奨されている。
既知の脆弱性カタログ
米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は5月24日(米国時間)、4年前に確認されたApache Flinkの脆弱性「CVE-2020-17519」を既知の脆弱性カタログ(KEV: Known Exploited Vulnerabilities Catalog)に追加した。
既知の脆弱性カタログ(KEV)は悪用が確認された脆弱性の一覧。組織はこの一覧を確認することで、リスクの高い脆弱性を優先して対策を講じることができる。今回CISAは古いApache Flinkの脆弱性が悪用されたとしてカタログに追加した。
Apache Flinkを使用している、または製品に利用している企業や組織には、速やかなアップデートが推奨されている。アップデートができない場合は、影響を受ける製品の利用を中止することが望まれている。