「HashiCorp Vault」に脆弱性 - アップデートが公開

HashiCorpが開発する秘密管理ツール「Vault」に脆弱性が明らかとなった。アップデートが提供されている。

同製品は、「パスワード」「APIキー」「証明書」など機密情報を保管、管理し、ロールベースのアクセス制御を実現するソフトウェア。

インフラストラクチャへ「SSH」によるアクセスを管理する「SSHシークレットエンジン」に脆弱性「CVE-2024-7594」が判明した。同エンジンに承認されたユーザーは、ホスト上の任意のユーザーとしてアクセスが可能となる。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」、重要度は4段階中、上から2番目に高い「高（High）」とレーティングされている。

同社は脆弱性を解消した「Vault Community Edition 1.17.6」「Vault Enterprise 1.17.6」「同1.16.10」「同1.15.15」をリリース。利用者にリスクを評価し、アップデートを検討するよう求めている。

（Security NEXT - 2024/09/27 ） ツイート

PR

関連記事

設定ミス突く攻撃、顧客DB消去される - 兵庫県内の保険代理店
DB管理ツール「pgAdmin」に脆弱性 - アカウント乗っ取りのおそれ
メアドが不正利用、スパムの踏み台に - 名古屋産業振興公社
機械学習フレームワーク「H2O-3」に深刻な脆弱性
「ImageMagick」に再度深刻な脆弱性 - サーバ環境は注意
「Spring Cloud Gateway Server WebFlux」に深刻な脆弱性 - 設定改ざんのおそれ
ふるさと納税返礼品を誤発送、送付状作成ミスで別人に
こども園職員、園児写真をSNSに無断投稿 - 糸満市
介護老人保健施設の利用者情報、送迎中に紛失か - 生駒市
野生イノシシ検査結果ファイルに個人情報、削除せず送信 - 静岡県