こんにちはインフラエンジニアのナカキです。
今週もインフラに関するニュースをお届けします。
今週のトピック
Linux kernelの重要な脆弱性修正、logbackライブラリの脆弱性対応、そしてMicrosoftの史上最年少セキュリティ研究者の話題を取り上げます。
Linux kernelの重要な脆弱性修正、logbackライブラリの脆弱性対応、そしてMicrosoftの史上最年少セキュリティ研究者の話題を取り上げます。
1. Linux kernel(Intel IoTG)における重要な脆弱性修正
2025年7月4日、UbuntuがLinux kernel(Intel IoTG)に関する重要なセキュリティアップデート「USN-7591-5」を公開しました。特に注目すべきは、Bluetoothドライバにおける不適切なアクセス制御の脆弱性(CVE-2024-8805)で、近距離の攻撃者が悪意のあるデバイスを接続し、任意のコードを実行する可能性があります。
ポイント
- Bluetoothの脆弱性: CVE-2024-8805により、攻撃者が悪意のあるデバイスを接続して任意コード実行が可能
- CIFS脆弱性: CVE-2025-2312でネットワークファイルシステムの名前空間検証が不適切で機密情報漏洩のリスク
- 広範囲な修正: PowerPC、x86アーキテクチャ、GPU、ネットワークドライバなど多数のサブシステムに影響
- 緊急対応: Ubuntu 22.04 LTSが対象で、パッケージ更新と再起動が必要
2. logbackライブラリの脆弱性対応
2025年7月2日、UbuntuがJava用ログライブラリ「logback」の脆弱性に対するセキュリティアップデート「USN-7616-1」を発行しました。この脆弱性では、攻撃者がLDAPサーバから悪意のある設定ファイルを読み込ませることで任意のコードを実行できる可能性があります。
ポイント
- LDAP経由の攻撃: CVE-2021-42550により、攻撃者が適切な権限を持つ場合、LDAPサーバ経由で任意コード実行が可能
- シリアル化脆弱性: CVE-2023-6378でサービス拒否攻撃のリスク
- 複数バージョン影響: Ubuntu 16.04 LTS、18.04 LTS、20.04 LTS、22.04 LTSが対象
- Ubuntu Pro必須: 修正パッケージの入手にはUbuntu Proサブスクリプションが必要
3. Microsoft史上最年少のセキュリティ研究者Dylan君
2025年7月1日、Microsoftが13歳という史上最年少でMicrosoft Security Response Center(MSRC)と協力するセキュリティ研究者Dylan君について紹介しました。彼はCOVID-19パンデイミック中にMicrosoft Teamsの脆弱性を発見し、これによりMicrosoftがバグバウンティプログラムの規約を13歳から参加可能に変更する契機となりました。
ポイント
- 最年少記録: 13歳でMSRCと協力する史上最年少のセキュリティ研究者
- Teams脆弱性発見: 任意のTeamsグループを乗っ取れる脆弱性を責任ある開示で報告
- プログラム変更: Dylan君の報告により、Microsoftが13歳からの参加を認めるよう規約改定
- 継続的貢献: 2022年と2024年にMSRC Most Valuable Researcher賞を受賞、2025年4月のZero Day Questで3位入賞
以上が今週のニュースのまとめになります。
来週も更新しますのでぜひご覧ください!
ご購読ありがとうございました!
コメント