[過去ログ] セキュリティに関するニュースを淡々と伝えるスレ9 [無断転載禁止]©2ch.net (1002レス)
上下前次1-新
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
667: 2020/10/26(月)10:46 AAS
PCのセットアップ自動化ツール「Boxstarter」に脆弱性 〜“JVN”が注意を喚起
DLLファイルの検索パスが適切に制御されておらず、任意コードの実行につながる可能性
外部リンク[html]:forest.watch.impress.co.jp
脆弱性ポータルサイト“JVN”は10月23日(現地時間)、「Boxstarter」にDLL
読み込みに関する脆弱性(CVE-2020-15264)が存在すると発表した。
「Boxstarter」は、PCのセットアップを自動化するツール。簡単なスクリプトで
パッケージ管理システム「Chocolatey」経由でアプリケーションをインストールしたり、
OSの機能を有効化・無効化できる。PCをリセットしたり、OSを再インストールした
あとの環境構築作業を効率よく行うことができる。
“JVN”が公開した脆弱性レポート(JVNVU#90267651)によると、「Boxstarter」
v2.12.0およびそれ以前のバージョンは、セットアップ時にインストールフォルダーの
アクセス権限が適切に設定されず、管理者権限のないユーザーでもDLLを配置できて
しまう欠陥がある。このフォルダーにはシステム環境変数“PATH”にも追加されるため、
悪意のあるファイルを読み込んでしまうとシステム権限で任意のコードが実行できて
しまう可能性がある。
開発元のChocolateyはこの脆弱性の深刻度を“high”と評価し、対策を施した最新版
v2.13.0を公開中。できるだけ早い対処が望ましい。
上下前次1-新書関写板覧索設栞歴
あと 335 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.088s*