JupyterLabの機能拡張作成用テンプレートに脆弱性 - リポジトリに影響
JupyterLabの機能拡張向けテンプレート「JupyterLab extension template」に脆弱性が明らかとなった。テンプレートを使用して作成されたリポジトリが影響を受ける。
同テンプレートの「test」オプションを使用して作成されたリポジトリにおいて、リモートよりコードを実行されるおそれがあるワークフロー「update-integration-tests.yml」が生成される脆弱性「CVE-2024-39700」が明らかとなったもの。
CVE番号を採番したGitHubは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.9」、重要度を「クリティカル(Critical)」とレーティングしている。
GitHubでコードをホストしている場合は、最新バージョンに更新し、「update-integration-tests.yml」を最新のテンプレートで上書きした上で、変更内容を再度適用するよう求めている。
またアップデートを行うまで、GitHub Actionsを一時無効にすることや、信頼できないユーザーからのすべてのオープンプルリクエストをリベースすることを推奨している。また「同4.3.0」以前からアップグレードする場合は追加の設定が必要としている。
(Security NEXT - 2024/07/23 )
ツイート
PR
関連記事
メール本文に関係者アドレスを記載、削除し忘れ流出 - 神奈川県
兵庫県、「はばタンPay+」のシステムを改修 - 申請受付を再開
地域電子商品券「はばタンPay+」サイトで不具合、個人情報流出 - 兵庫県
CDN導入時に設定ミス、複数フォームで個人情報を誤表示 - スカイマーク
複数サーバでランサム被害、痕跡未確認も情報流出の可能性 - はるやまHD
テモナのEC支援SaaSに侵害の痕跡 - 攻撃経路や影響など調査
MS、「Windows Server」向けに定例外パッチ - 米当局が悪用確認
3Qの脆弱性届出は160件 - ソフトウェア製品が倍増
Dellストレージ管理製品に認証回避の脆弱性 - アップデートで修正
「Adobe Commerce/Magento」や「WSUS」の脆弱性悪用に注意喚起 - 米当局
