セキュリティエンジニアが気になったニュースまとめ 2022/8/10~2022/8/24
最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。
2022/8/10
[ANNOUNCE] Apache Traffic Server is vulnerable to smuggle, cache poison, and possible authorization attacks
https://lists.apache.org/thread/rc64lwbdgrkv674koc3zl1sljr9vwg21
ApacheのキャッシュプロキシサーバーATSにセキュリティアップデートが提供されています。
HTTPスマグリング、キャッシュ汚染、認可に関する脆弱性が修正されているようです。
2022/8/16
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/08/stable-channel-update-for-desktop_16.html
ブラウザのChormeですが、アップデートがありました。
重要度が高い修正が含まれるようです。
2022/8/17
Security Bulletin
https://explore.zoom.us/en/trust/security/security-bulletin/
リモートワークでよく使うZoomにアップデートが続いています。
重要度の高い問題を修正したようですが、修正が不十分だったようです。
最新のアップデートを適用するようにしましょう。
2022/8/22
GitLab Critical Security Release: 15.3.1, 15.2.3, 15.1.5
https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/#Remote%20Command%20Execution%20via%20Github%20import
開発プラットフォームのGitLabにアップデートがありました。
リモートよりコードを実行できる内容ということで、重要度が大きいと考えられます。
バグ報奨金プログラムを通じて報告を受けたというのが、興味深いです。
2022/8/24
[重要] Movable Type 7 r.5301 / Movable Type 6.8.7 / Movable Type Premium 1.53 の提供を開始(セキュリティアップデート)
https://www.sixapart.jp/movabletype/news/2022/08/24-1100.html
人気CMSである「Movable Type」のセキュリティアップデートが提供されています。
「XMLRPC API」のモジュールについては、以前も脆弱性の報告があったモジュールのようです。
脆弱性が見つかりやすい理由があるのかもしれません。
まとめのまとめ
普段使用している製品の脆弱性情報はより注意したいと思います。
余談ですがMovable Typeの修正箇所をみて、Perlって難しいなと感じました。
担当:SO