「SolarWinds WHD」に別の深刻な脆弱性 - 再度修正パッチを公開
8月に入り、「SolarWinds Web Help Desk(WHD)」で危険度の高い脆弱性が修正されたが、別の深刻な脆弱性が明らかとなった。再度ホットフィクスがリリースされている。
同製品では、信頼できないデータをデシリアライズする脆弱性「CVE-2024-28986」が判明。現地時間8月13日にホットフィクスをリリースし、その後悪用についても報告されているが、10日も経たずに異なる別の脆弱性が明らかとなった。
認証情報がハードコードされている脆弱性「CVE-2024-28987」があらたに判明したもので、リモートより認証なしにシステム内部へアクセスし、データの変更などが可能になるという。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
また前回リリースしたホットフィクスには、クライアントアプリケーションにおいて、添付ファイルのアップロード時にキャンセルやセーブボタンが表示されなくなる不具合も存在していたという。
同社は現地時間8月21日、あらたに判明した脆弱性や前回ホットフィクスに判明したバグへ対処した「同12.8.3 Hotfix 2」をリリースした。
あらたに公開した「同12.8.3 Hotfix 2」では、前回のホットフィクスで対応した「CVE-2024-28986」や、シングルサインオンの問題なども解消されるとしている。
また「同12.8.3 Hotfix 2」のリリースにともない、先に公開された「同12.8.3 Hotfix 1」の公開を中止した。
(Security NEXT - 2024/08/23 )
ツイート
PR
関連記事
団体名簿を誤送信、メアド入力ミスで - 川崎市社会福祉協議会
Windows向け「Apple TV」アプリに脆弱性 - システム停止のおそれ
ネットワークに不正アクセス、一部サービスに影響 - カシオ
米当局、「Windows」や「Qualcomm」チップの脆弱性狙う攻撃に注意喚起
Synology製NASで稼働する「GitLab」に深刻な脆弱性 - アップデートを
Ruby環境向け「SAMLライブラリ」に深刻な脆弱性
ビデオ会議の「Zoom」、2件のセキュリティアドバイザリを公開
Adobe、アドバイザリ9件を公開 - 7件は「クリティカル」
「Ivanti CSA」にゼロデイ脆弱性 - 既知脆弱性と連鎖させた攻撃
Fortinet、セキュリティアドバイザリ3件を公開