[過去ログ]
セキュリティに関するニュースを淡々と伝えるスレ9 [無断転載禁止]©2ch.net (1002レス)
上
下
前
次
1-
新
このスレッドは過去ログ倉庫に格納されています。
次スレ検索
歴削→次スレ
栞削→次スレ
過去ログメニュー
667
: 2020/10/26(月)10:46
AA×
外部リンク[html]:forest.watch.impress.co.jp
[240|
320
|
480
|
600
|
100%
|
JPG
|
べ
|
レス栞
|
レス消
]
667: [sage] 2020/10/26(月) 10:46:13.99 PCのセットアップ自動化ツール「Boxstarter」に脆弱性 〜“JVN”が注意を喚起 DLLファイルの検索パスが適切に制御されておらず、任意コードの実行につながる可能性 https://forest.watch.impress.co.jp/docs/news/1285133.html 脆弱性ポータルサイト“JVN”は10月23日(現地時間)、「Boxstarter」にDLL 読み込みに関する脆弱性(CVE-2020-15264)が存在すると発表した。 「Boxstarter」は、PCのセットアップを自動化するツール。簡単なスクリプトで パッケージ管理システム「Chocolatey」経由でアプリケーションをインストールしたり、 OSの機能を有効化・無効化できる。PCをリセットしたり、OSを再インストールした あとの環境構築作業を効率よく行うことができる。 “JVN”が公開した脆弱性レポート(JVNVU#90267651)によると、「Boxstarter」 v2.12.0およびそれ以前のバージョンは、セットアップ時にインストールフォルダーの アクセス権限が適切に設定されず、管理者権限のないユーザーでもDLLを配置できて しまう欠陥がある。このフォルダーにはシステム環境変数“PATH”にも追加されるため、 悪意のあるファイルを読み込んでしまうとシステム権限で任意のコードが実行できて しまう可能性がある。 開発元のChocolateyはこの脆弱性の深刻度を“high”と評価し、対策を施した最新版 v2.13.0を公開中。できるだけ早い対処が望ましい。 http://medaka.5ch.net/test/read.cgi/sec/1494932210/667
のセットアップ自動化ツールに脆弱性 が注意を喚起 ファイルの検索パスが適切に制御されておらず任意コードの実行につながる可能性 脆弱性ポータルサイトは月日現地時間に 読み込みに関する脆弱性が存在すると発表した はのセットアップを自動化するツール簡単なスクリプトで パッケージ管理システム経由でアプリケーションをインストールしたり の機能を有効化無効化できるをリセットしたりを再インストールした あとの環境構築作業を効率よく行うことができる が公開した脆弱性レポートによると およびそれ以前のバージョンはセットアップ時にインストールフォルダーの アクセス権限が適切に設定されず管理者権限のないユーザーでもを配置できて しまう欠陥があるこのフォルダーにはシステム環境変数にも追加されるため 悪意のあるファイルを読み込んでしまうとシステム権限で任意のコードが実行できて しまう可能性がある 開発元のはこの脆弱性の深刻度をと評価し対策を施した最新版 を公開中できるだけ早い対処が望ましい
上
下
前
次
1-
新
書
関
写
板
覧
索
設
栞
歴
あと 335 レスあります
スレ情報
赤レス抽出
画像レス抽出
歴の未読スレ
AAサムネイル
ぬこの手
ぬこTOP
0.042s