オブジェクトストレージ「MinIO」に深刻な脆弱性
オブジェクトストレージのプラットフォーム「MinIO」において、管理者権限を取得されるおそれがある深刻な脆弱性が明らかとなった。
同ソフトウェアに用意されているAPI「IAM Import API」において権限チェックが不十分なことから、権限の昇格が可能となる脆弱性「CVE-2024-55949」が判明したもの。米国家安全保障局(NSA)より報告を受けたという。
細工した認証および認可設定情報を含むzipファイルをインポートさせることで、管理者レベルの権限を取得することが可能。アノニマスユーザーを除くほとんどのユーザー権限で悪用できるとしている。
CVE番号を採番したGitHubでは、共通脆弱性評価システム「CVSSv4.0」のベーススコアを「9.3」と評価、重要度をもっとも高い「クリティカル(Critical)」とレーティングした。
開発チームは、12月13日にリリースしたアップデート「RELEASE.2024-12-13T22-19-12Z」で脆弱性を修正。ソースリポジトリにおいてパッチを公開している。回避策はなく、すべてのユーザーに更新を呼びかけている。
(Security NEXT - 2024/12/20 )
ツイート
関連リンク
PR
関連記事
NEC製「Atermシリーズ」に複数の脆弱性 - アップデートを
道の駅がサポート詐欺被害 - 異変気づき電源切るも遠隔操作の痕跡
運動機能測定結果と血液検査結果をメール誤送信 - 太子町
上海のグループ会社にサイバー攻撃、影響など調査 - ユアサ商事
海外グループ会社にサイバー攻撃、詳細は調査中 - ユアサ商事
患者情報含む書類を紛失、誤廃棄の可能性 - 日大付属板橋病院
DDoS攻撃に注意喚起、発生を前提に対策を - 政府
ふるさと納税特設サイトにSQLi脆弱性、寄付者情報が流出 - 玄海町
悪質ECサイトの通報、前年から約3割減 - JC3まとめ
「SECCON 13 電脳会議」が3月に開催 - 参加登録を受付開始