Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

機密情報管理の「HashiCorp Vault」に脆弱性 - アップデートを

パスワードやトークンなど機密情報の管理機能を提供する「HashiCorp Vault」「同Enterprise」に深刻な脆弱性が明らかとなった。

同一エンティティ内で同じエイリアス名を持つ認証メソッドを作成すると、キーが上書きされるおそれがある脆弱性「CVE-2022-40186」が明らかとなったもの。

エンティティエイリアスを自動生成機能を用いて生成している場合は影響を受けない。

米国立標準技術研究所(NIST)の脆弱性データベース「NVD」における共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、重要度は「クリティカル(Critical)」とレーティングされている。

同社では「同1.11.3」「同1.10.6」「同1.9.9」にて脆弱性を修正。アップデートを検討するよう求めている。

(Security NEXT - 2022/09/30 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Exim」に脆弱性 - 拡張子による添付ファイルブロックを回避されるおそれ
地理空間データを活用する「GeoServer」の脆弱性攻撃に注意
「OpenSSH」の脆弱性「regreSSHion」、40以上のCisco製品に影響
中間者攻撃で認証応答を偽造できる脆弱性「Blast-RADIUS」
ServiceNowの「Now Platform」に深刻な脆弱性 - アップデートの実施を
「OpenStack」のモジュールに脆弱性 - 修正パッチが公開
「Apache CloudStack」に複数脆弱性 - アップデートや回避策の実施を
「Joomla」にセキュリティアップデート - XSS脆弱性を修正
Fortinet、アドバイザリ13件を公開 - 「regreSSHion」の影響も説明
Palo Alto製品に脆弱性 - 重要度「クリティカル」も