「Azure AD」に脆弱性 - 更新適用済みだが、利用者側で修正が必要となる場合も
「Azure AD」では、2021年10月31日以降、プライベート鍵データの読み取りをブロックする対処を実施済みだが、利用者側でアプリケーションキーの資格情報をローテーションする必要があるか評価するためのガイダンスを公開した。
「Azure Automation」「Azure Migrate」「Azure Site Recovery」についても、平文のプライベート鍵データが「Azure ADアプリケーションにアップロードされないよう10月半ばから11月初旬にかけて更新プログラムを適用済みだとしているが、以前より利用していた場合は影響を受けるおそれがあり、対策が必要となる場合もある。
「Azure Automation」では、更新以前の1年間に自己署名証明書を用いて作成された実行アカウントに影響。独自の証明書を利用している場合も影響を受ける可能性があると説明。「Azure Migrate」「Azure Site Recovery」についても同日以前に登録されたアプライアンスには注意が必要となる。
同社では、影響を受けるアプリケーションを特定、修正するためのガイダンスを案内しており、利用者に対応を求めている。
(Security NEXT - 2021/11/18 )
ツイート
PR
関連記事
LAN側からtelnet有効化できるマニュアル未記載機能 - NETGEAR製EOLルータ
「Apache Hadoop HDFS」に脆弱性 - アップデートが公開
直近更新で修正された「OpenSSL」脆弱性、「クリティカル」との評価も
相次ぐ脆弱性の悪用、ゼロデイ攻撃も - 悪用リスト登録が週明け以降7件
「NVIDIA runx」に脆弱性 - サポート終了により修正予定なし
「SolarWinds WHD」に複数の深刻な脆弱性 - アップデートで修正
「Ivanti EPMM」にゼロデイ脆弱性、悪用確認 - パッチ適用や侵害調査を
Windows環境の「Symfony」でシェル経由処理に問題 - 破壊的操作のおそれ
JavaScriptサンドボックスのnpmライブラリ「SandboxJS」に深刻な脆弱性
NVIDIAのGPUディスプレイドライバに複数脆弱性 - 修正版が公開
