「Azure ML」に脆弱性 - 悪用痕跡見つからず、すでに修正済み
機械学習環境を構築、実装できるMicrosoftのクラウドサービス「Azure Machine Learning(AML)」に情報漏洩などが生じるおそれがある脆弱性が含まれていたことがわかった。すでに修正を終えているという。
同サービスにサーバサイドリクエストフォージェリ(SSRF)の脆弱性やパストラバーサルの脆弱性が存在したもの。複数のセキュリティベンダーから4月に同社へ報告が寄せられたという。
内部IPアドレスを含め、HTTPクライアントによる不正なリクエストを許す可能性があり、情報漏洩やサービスの拒否が生じるおそれがあった。セキュリティ対策を講じていたものの、検証を回避しており、悪用が可能だった。
同社は脆弱性の悪用状況について調査を行ったが、悪用や侵害の痕跡は見つからなかったと説明。
現地時間5月9日にクライアントからの入力やHTTPリダイレクトにおける検証機能を実装することで修正しており、利用者が特に対策などを講じる必要はないとしている。
また今回の問題でセキュリティ面のより強力な制御が必要であることが明らかになったとし、サービス間におけるネットワークトラフィックを評価し、より厳格な制御を適用できるよう機能強化などを図っていく方針を示した。
(Security NEXT - 2024/06/18 )
ツイート
関連リンク
PR
関連記事
健診受信診票に他人の電話番号、作成処理時にミス - 淡路市
メールを誤送信、番組視聴者のメアド流出 - 大垣CATV
中高生向け動画教材サイトにSQLi攻撃 - 新興出版社啓林館
婚活イベント情報サイトから情報流出 - フィッシング調査から判明
「Cisco ISE」にクリティカル脆弱性を追加 - 旧パッチでは未対処
「MS Edge」にアップデート - ゼロデイ脆弱性を解消
「Chrome」に脆弱性、すでに悪用も - アップデートが公開
「BIND 9」にDoSやキャッシュ汚染の脆弱性 - アップデートが公開
NVIDIAのコンテナ環境向けツールに脆弱性 - 「クリティカル」も
学生の個人情報含むファイルをサイトに誤掲載 - 沖縄県立看護大