VR空間プラットフォーム「Hubs Cloud」に認証情報流出のおそれ
Mozilla FoundationのVR空間構築プラットフォーム「Hubs Cloud」に深刻な脆弱性が明らかとなった。すでに脆弱性は修正済みとする一方、修正以前に悪用された場合、認証情報を取得されているおそれがあり、利用者に注意を呼びかけている。
「Hubs Cloud」を構成する「Reticulum」において、プロクシ構成に脆弱性「CVE-2021-29954」が判明したもの。内部URLへのアクセスを過大に許容していたため、Hubs Cloudインスタンスの認証情報へアクセスが可能となっていた。Mozillaでは重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングしている。
AWS Marketplaceにおいて、すでに既存およびあらたなインスタンスに対してパッチを適用済みとしているが、パッチ適用前に脆弱性を悪用された場合、認証情報を取得されているおそれがあるため、実行中のインスタンスについてログより悪用の有無を確認するよう利用者へ注意喚起を行っている。
(Security NEXT - 2021/05/07 )
ツイート
PR
関連記事
「WinRAR」に脆弱性、過去の問題に類似 - 修正版をリリース
「FortiOS」のLDAP認証バイパス脆弱性、仮想パッチが公開
「FortiOS」に複数脆弱性、SSL-VPNなど影響 - アップデートで修正
HTTP通信ライブラリ「Apache HttpComponents」に複数のDoS脆弱性
ウェブメール「Roundcube」、アップデートで複数脆弱性を修正
「WatchGuard Firebox」のVPN機能に深刻なRCE脆弱性
「PHP」にセキュリティ更新 - 複数の脆弱性を修正
セイコーSOL製IoT向け一部ルータに脆弱性 - 修正予定なし
コンテナ管理ツール「Rancher」に脆弱性 - アップデートを公開
「NVIDIA Container Toolkit」に権限昇格の脆弱性 - 「GPU Operator」も影響
