広く使用されているPythonのRequestsライブラリに、重大なセキュリティ脆弱性(CVE-2024-47081)が発見されました。攻撃者は特定のAPI呼び出しを利用して、.netrcファイルに保存されている認証情報を第三者に漏洩させる可能性があります。この脆弱性は、ライブラリのURL処理に起因し、2024年9月に報告されましたが、まだ修正されていません。回避策として、ユーザーはすべてのAPI呼び出しで認証情報を明示的に指定することをお勧めします。
続きを読む
Qualysセキュリティアドバイザリは、Ubuntu 24.04の非特権ユーザーネームスペース制限で発見された3つのバイパスを詳述しています。攻撃者は、aa-execやbusyboxなどのデフォルトでインストールされているツールを利用したり、LD_PRELOADを使用してネームスペース内で管理者権限を取得したりすることで、セキュリティ対策を回避できます。これらの脆弱性は、完全な機能を持つネームスペースの作成を許可するAppArmorプロファイルを悪用しており、CAP_SYS_ADMINやCAP_NET_ADMINなどの権限を必要とするカーネルの脆弱性の悪用を可能にする可能性があります。
続きを読む
セキュリティ研究者のGeorgi Guninskiは、Python 3.12の公式ドキュメントのCGIモジュールのコード例に、重大なクロスサイトスクリプティング(XSS)の脆弱性があることを発見しました。この脆弱性は、ユーザーが提供したフォームデータを、セキュリティ上のサニタイズなしで直接出力することから生じています。これは、PythonによるWeb開発に大きなリスクをもたらし、ChatGPTやDeepseekなどのAI生成コードにも影響を与える可能性があります。Python 3.13ではCGIモジュールが削除されましたが、相当量のレガシーコードが依然として脆弱なままです。
続きを読む