今週は、MozillaのNetwork Security Servicesの重大な脆弱性、Netgearの最新のセキュリティアドバイザリ、Vimテキストエディタの脆弱性、そしてPython パッケージの監査に使用できるかなり新しいツールについてお話します。
Mozilla NSS RCE (CVE-2021-43527)
Mozilla の NSS (Network Security Services)は、セキュリティに対応したクライアントおよびサーバーアプリケーションのクロスプラットフォームな開発をサポートするために設計されたライブラリ群です。多くのインターネットセキュリティ標準の包括的なオープンソース実装を提供しており、いくつかのMozilla製品で使用されています。
12月1日、RedHat社は、本パッケージにリモートコード実行の脆弱性があることを警告する声明を発表しました。声明によると、この脆弱性は、影響を受けるシステムに重大な影響(CVSS: 8.8)を与え、現在のところ実用的な緩和方法はありません。RedHatは、影響を受けるパッケージを早急に更新することを推奨します。
家庭からオフィスへと広がる脅威の連鎖
ネットギアは、ルーター、モデム、WiFiメッシュシステム、WiFiエクステンダーなどの製品に、2つのセキュリティ脆弱性が存在することを確認したとして、セキュリティ勧告を発表しました。脆弱性の一つは、認証後のコマンドインジェクションが可能となり、機密情報の漏えいにつながります。ネットギアでは、お客様に対し、該当する機器のファームウェアを早急にアップデートすることを強く推奨しています。
多くの従業員がリモートで勤務し、雇用主のインフラ に接続しているため、従業員のデバイスと企業のネットワーク間の通信を促進するコンポーネントの信頼性と安全性を確保することが重要です。この連鎖の弱点を突かれると、攻撃者は企業のシステム保護の努力を無にしてしまう可能性があります。攻撃者は、従業員が所有するネットワーク機器の脆弱性を利用して、最終的にサービスの中断、データの損失、さらにはセキュリティ侵害を引き起こす可能性があります。
Vim エディタのバッファオーバフロー (CVE-2021-4019)
Fedoraからのアップデートで説明されているように、Vim(VIsual editor iMproved)は、Viエディタのアップデートされた改良版です。Vim は頻繁に使用されるツールで、ほとんどの Linux ディストリビューションにバンドルされています。8.2.3669 より前のバージョンの Vim には、バッファオーバーフローの脆弱性があることが最近発見されました。この脆弱性が悪用された場合、ソフトウェアのクラッシュ、メモリの改ざん、任意のコードの実行などが発生する可能性があります。
ピップ・オーディット
pip (pip installs packages)は、Python プログラミング言語のためのパッケージインストーラーです。pip を使ってPython Package Index (PyPI) やその他のインデックスからパッケージをインストールすることができます。一方、pip-auditは、Python 環境に既知の脆弱性を持つパッケージをスキャンするために新しく開発されたツールです。pip-auditは、お客様が開発環境で使用されているパッケージを把握し、それらのパッケージに脆弱性が発見された場合に継続的に監査するために使用できる素晴らしいツールだと感じています。
私たちは、お客様やLinuxを愛する方々と知識を共有できることを常に楽しみにしています。ご提案やご意見、コミュニティで共有したい知識などがございましたら、下記のコメント欄にご記入ください。
コメント