◆moodle -- moodle
全5件 、執筆時、クリティカルなものは下記2件
- ムードル は、オープンソースのeラーニングプラットフォームである。
同種のシステムの中では比較的多くのユーザ数を持つ。 ムードルは教育者が質の高いオンライン学習過程を作ることを助け るパッケージソフトである。 (ウィキペディア)
ログインの失敗を数えるために使用されるロジックが、アカウントロックアウトのしきい値をバイパスしてしまうという欠 陥が、Moodle に見つかりました。 NIST: NVD Base Score: 9.8 CRITICALベンダーアドバイザリー曰く「4.0.1, 3.11.7, 3.10.11 and 3.9.14で修正済み」
moodle の不具合で、基準の設定に関連する Badges のコードに SQL インジェクションのリスクがあることが確認されました。NIST: NVD Base Score: 9.8 CRITICALベンダーアドバイザリー曰く「4.0.1, 3.11.7, 3.10.11 and 3.9.14で修正済み」
◆nvidia -- gpu_display_driver
全10件、うち執筆日現在でHIGHなものが4件
NVIDIA GPU Display Driver for Windows and Linux には、カーネルモードレイヤーに脆弱性があり、ネットワーク上の非特権一般ユーザーが特別に細工したシェーダー を介して、境界外書き込みを引き起こし、コードの実行、 サービス拒否、権限の昇格、情報漏洩、 データ改ざんの原因となる可能性があります。また、影響範囲は、 他のコンポーネントにまで及ぶ可能性があります。 CNA: NVIDIA Corporation Base Score: 8.5 HIGHVector: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H ベンダーアドバイザリーに対象ドライバパーションと対応済みバージョンの一覧がある。
NVIDIA GPU Display Driver for Windows には、DirectX11 のユーザーモードドライバ (nvwgf2um/x.dll) に脆弱性があり、ネットワーク上の未認可の攻撃者が特別に細工したシェーダを介し て境界外書き込みを行い、コード実行によるサービス拒否、 権限の昇格、情報漏洩、 データ改ざんの原因となる可能性があります。また、影響範囲は、 他のコンポーネントにまで及ぶ可能性があります。 CNA: NVIDIA Corporation Base Score: 8.5 HIGHVector: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H 攻撃元区分(AV) = ネットワーク(N)攻撃条件の複雑さ(AC) = 高(H)必要な特権レベル(PR) = 低(L)ユーザ関与レベル(UI) = 不要(N)
runc は OCI (*1)仕様に従って Linux 上でコンテナを生成し実行するための CLI ツールです。バージョン 1.1.2 以前の runc には、`runc exec --cap` が空でない継承可能な Linux プロセス能力を持つプロセスを作成し、非定型の Linux 環境を作り、継承可能なファイル能力を持つプログラムが execve(2) 中にそれらの能力を許可されたセットまで上昇させるというバグが発見されています。 このバグは、コンテナのセキュリティサンドボックスには影響を与えず、 継承可能なセットにコンテナのバウンディングセットに含まれる以 上の能力が含まれることはありませんでした。
このバグは runc 1.1.2 で修正されました。この修正は `runc exec --cap` の動作を変更し、実行中のプロセスに付与される追加能力 (引数 `--cap` で指定) に継承可能な能力を含めないようにしました。また、`runc spec` では、作成された OCI spec (`config.json`) ファイルのサンプルに継承可能な能力を設定しないように変更されました。 NIST: NVD Base Score: 7.8 HIGH
*1 Open Container Initiative(OCI)は、OSレベル仮想化の一種である「コンテナ」のフォーマット・ ランタイムの業界標準策定を目的として設立されたイニシアチブで ある。 Linux Foundationプロジェクトの1つである。
この問題は、dicer パッケージのすべてのバージョンに影響します。悪意のある攻撃者が修正したフォームをサーバに送信し、node js サービスをクラッシュさせることが可能です。攻撃者は、 ペイロードを何度も送信し、 サービスを継続的にクラッシュさせることができます。 NIST: NVD Base Score: N/A NVD score not yet provided.CNA: Snyk Base Score: 7.5 HIGHVector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
◆oracle -- e-business_suite
・CVE-2022-21500 Oracle E-Business Suiteの脆弱性(コンポーネント:プロキシの管理)。影響を受けるサポートされているバージョンは12.2です。簡単に悪用可能な脆弱性により、認証されていない攻撃者がHTTP経由でネットワークにアクセスしてOracle E- Business Suiteを危険にさらす可能性があります。 この脆弱性の攻撃が成功すると、重要なデータへの不正アクセスや、すべてのOracle E- Business Suiteアクセス可能データへの完全なアクセスが発生する可能 性があります。 注:攻撃を成功させるには認証が必要ですが、ユーザーは自己登録される場合があります。 Oracle E-Business Suite12.1はこの脆弱性の影響を受けません。詳細については、パッチ可用性ドキュメントを参照してください。CNA: Oracle Base Score: 7.5 HIGHVector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N ベンダーアドバイザリーにパッチ アベイラビリティ ドキュメントがある。
◆packet_storm -- online_sports_complex_booking_
全2件・CVE-2022-28962
Online Sports Complex Booking System 1.0 には、 /scbs/classes/Users.php?f=delete_client を経由した SQL インジェクションの脆弱性が存在します。 NIST: NVD Base Score: 9.8 CRITICAL※ 他にも packet_storm関連が全8件取り上げられている。
1.0.0 までの Ruby 用 random_password_generator (別名 RandomPasswordGenerator) gem は、Kernel#rand を使ってパスワードを生成しており、その周期性により、パスワード予測を容易化することができます。 NIST: NVD Base Score: 7.5 HIGH
出典
Bulletin (SB22-143)Vulnerability Summary for the Week of May 16, 2022 (release date: May 24)
No comments:
Post a Comment