人気のタグ:
仮想化 DNSセキュリティ 形式的検証 到達可能性解析 C言語 コンパイラエラー マクロの衝突 Web拡張機能 開発フレームワーク コモドール64 すべてのタグ

Pagureにおける複数の重大な脆弱性によりリモートコード実行が可能に

2025-03-23
Pagureにおける複数の重大な脆弱性によりリモートコード実行が可能に

セキュリティ研究者は、Fedoraが使用しているソフトウェアフォージであるPagureにおいて、複数の重大な脆弱性を発見しました。これにより、リモートコード実行(RCE)が可能になります。1つの脆弱性は、PagureRepo.log()関数における引数インジェクションに起因し、攻撃者は任意のファイルに書き込み、任意のコードを実行できます。その他の脆弱性には、パス・トラバーサルやシンボリックリンクの不適切な処理が含まれていました。これらの脆弱性は、Fedoraパッケージの仕様ファイルを改ざんし、悪意のあるコードを導入するために悪用される可能性があります。攻撃者は、`/srv/git/.bashrc`ファイルを上書きして、Pagureサーバーの完全な制御を得ることもできます。Fedoraはこの問題に対処するためにForgejoに移行しましたが、これらの脆弱性はオープンソースソフトウェアのサプライチェーンセキュリティにおける重要な問題点を浮き彫りにしています。

続きを読む
(fenrisk.com)
開発

Linuxディストリビューションのサプライチェーン脆弱性:数日で侵害可能

2025-03-19
Linuxディストリビューションのサプライチェーン脆弱性:数日で侵害可能

研究者らは、Linuxディストリビューションのソフトウェアインフラストラクチャにおける脆弱性を発見しました。これにより、攻撃者は数日以内にシステム全体を侵害できるようになります。依存関係をターゲットとする複雑なサプライチェーン攻撃とは異なり、この研究は、FedoraのPagureやopenSUSEのOpen Build Serviceなど、ディストリビューション自体のインフラストラクチャに焦点を当てています。引数注入の脆弱性を悪用することで、攻撃者はセキュリティコントロールを容易に回避し、悪意のあるコードを注入できました。これは、大規模なオープンソースプロジェクトでさえ、深刻なサプライチェーンセキュリティリスクにさらされていることを示しており、ソフトウェアインフラストラクチャのセキュリティ監査と保護の強化が必要であることを強調しています。

続きを読む
(fenrisk.com)
テクノロジー ソフトウェア脆弱性