search
ja日本語
banner
ホームページ / ブログ / 脅威と脆弱性のまとめ 8 月 20 日から 26 日まで
ブログ
pageSearch
最新ニュース

脅威と脆弱性のまとめ 8 月 20 日から 26 日まで

Jun 21, 2023Jun 21, 2023

Cyber​​ Writes が発行する週刊誌で、サイバーセキュリティに関する最新ニュースを提供する『脅威と脆弱性のラウンドアップ』へようこそ。 最新情報を入手するには、当社の幅広い対応範囲をご利用ください。

重大な欠陥、エクスプロイト、および最近の攻撃手法がすべて強調されています。 デバイスを安全に保つための最新のソフトウェア アップグレードも提供します。

これは、中核となるテクノロジーによってビジネスが直面する特定のリスクの概要を示し、セキュリティ戦略を強化するためのガイドとして役立ちます。

Cisco NX-OS ソフトウェアの欠陥

Cisco NX-OS ソフトウェアの TACACS+ および RADIUS リモート認証に重大度の高い脆弱性があるため、認証されていないローカル攻撃者が影響を受けるデバイスを意図せずリロードさせる可能性があります。

NX-OS は、Cisco Systems の Nexus シリーズ イーサネット スイッチおよび MDS シリーズ ファイバ チャネル ストレージ エリア ネットワーク デバイス用のネットワーク オペレーティング システムです。 これは、Cisco が MDS スイッチ用に開発した SAN-OS オペレーティング システムに由来しています。

CVSS スコアが 7.1 のこの脆弱性には、CVE-2023-20168 のタグが付けられています。 エクスプロイトが成功すると、攻撃者は予期しないデバイスのリロードを引き起こし、サービス拒否 (DoS) 攻撃を引き起こす可能性があります。

Apache XML グラフィックス Batik の欠陥

Apache Batik で 2 つのサーバーサイド リクエスト フォージェリ (SSRF) の脆弱性が見つかり、攻撃者が Apache Batik 内の機密情報にアクセスできる可能性があります。

これらの脆弱性は Apache XML Graphics Batik に存在し、CVE ID は CVE-2022-44729 および CVE-2022-44730 です。

これは、SVG (Scalable Vector Graphics) 形式のレンダリング、生成、操作に使用される Java ベースのアプリケーション ツールキットです。

Ivanti セントリーの欠陥

Ivanti Sentry インターフェイスに未認証の重大な API アクセスの脆弱性が見つかりました。これにより、脅威アクターが Ivanti 管理者ポータルへのアクセスや Ivanti Sentry の構成に使用できる機密 API にアクセスできる可能性があります。

攻撃者が悪用に成功すると、Ivnati Sentry を構成したり、システム コマンドを実行したり、システムにファイルを書き込んだりできるようになります。

Apache Ivy インジェクションの欠陥

Apache Software Foundation Apache Ivy でブラインド XPath インジェクションの脆弱性が発見されました。この脆弱性により、攻撃者はデータを窃取し、Apache Ivy を実行するマシンのみに制限されている機密情報にアクセスできます。

この脆弱性は、2.5.2 より前のバージョンで、外部ドキュメントのダウンロードとエンティティ参照の拡張を可能にする独自の構成である Maven POM (プロジェクト オブジェクト モデル) を解析する際の XML ファイルの解析に存在します。

Junos OS の欠陥

Junos OS で複数の脆弱性が発見されており、これらを組み合わせると、SRX および EX シリーズの Junos OS で preAuth リモート コード実行の脆弱性が実行される可能性があります。 認証されていないネットワークベースの攻撃者は、これらの脆弱性を連鎖させて悪用する可能性があります。

Junos OS SRX は、あらゆるポイントに拡張してリモート オフィス、支店、キャンパス、またはデータ センターを保護するために使用されるファイアウォールです。 EX シリーズは、企業ブランチ向けの高性能アクセスおよび配信/コア層デバイスです。

ジュニパーネットワークスは、これらの脆弱性を修正するためのセキュリティ アドバイザリをリリースしました。

悪意のある拡張機能を警告する Chrome 機能

Chrome はバージョン 117 に関する発表をリリースし、Chrome ウェブストアから削除された拡張機能に関する新機能が導入されました。

今後、Chrome では、次のようなさまざまな理由により Chrome ウェブストアから削除された拡張機能が強調表示されます。

WinRAR の欠陥

WinRAR に任意のコードが実行される脆弱性が発見され、特別に細工された RAR ファイルを開くと悪用される可能性があります。 この脆弱性の CVE は CVE-2023-40477 として指定され、Zero Day Initiative による重大度は 7.8 (高) です。

前: アメリカの農家はデータに囚われている 次: 現代の持続可能なコミュニティを目指すビジネスの旅
お問い合わせを送信
送信