「Chef Manage」にリモートコード実行の脆弱性（JVN）

IPAおよびJPCERT/CCは、Chef Software, Inc.が提供する「Chef Manage」（旧称：opscode-manage）にリモートから任意のコードを実行される脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

28 views

2016.5.19 Thu 8:00

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は5月18日、Chef Software, Inc.が提供する「Chef Manage」（旧称：opscode-manage）にリモートから任意のコードを実行される脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。CVSS v3によるBase Scoreは9.8。

「Chef Manage アドオン version 1.11.4 およびそれ以前」は、ユーザから渡された Cookie を適切に検証することなくデシリアライズすることが原因で脆弱性（CVE-2016-4326）が存在する。この脆弱性が悪用されると、リモートの第三者から送られた、細工された Cookie を当該製品がデシリアライズすることで、Webサーバの権限で任意のコードを実行される可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》

特集

アクセスランキング

ランキングをもっと見る

PageTop

「Chef Manage」にリモートコード実行の脆弱性（JVN）

関連記事

アップルが「iOS」や「OS X」などのセキュリティアップデートを公開（JVN）

「Lantronix xPrintServer」に複数の脆弱性、アップデートを呼びかけ（JVN）

スマホアプリ「サイボウズ KUNAI」にSSLサーバ証明書検証不備の脆弱性（JVN）

WordPress用プラグイン「Ninja Forms」に任意のPHPコード実行の脆弱性（JVN）

特集

関連リンク

アクセスランキング

マイクロソフトが 5 月のセキュリティ情報公開、CVSS 基本値が 9.8 以上と高いスコアの脆弱性が 4 件

セキュリティ統制構築セミナーを開催（NTTデータ・セキュリティ、TDCソフトウェアエンジニアリング）

2位とトリプルスコア～ AnthropicバグバウンティプログラムでGMO Flatt SecurityのRyotaK氏が1位を記録

20万2,581件のスパムメール送信の可能性～国交省「子育てエコホーム支援事業」事務事業者博報堂が利用するメールサーバに不正アクセス

スマートフォンアプリ「くら寿司公式アプリ」に証明書検証不備の脆弱性

関連記事

アップルが「iOS」や「OS X」などのセキュリティアップデートを公開（JVN）

「Lantronix xPrintServer」に複数の脆弱性、アップデートを呼びかけ（JVN）

スマホアプリ「サイボウズ KUNAI」にSSLサーバ証明書検証不備の脆弱性（JVN）

WordPress用プラグイン「Ninja Forms」に任意のPHPコード実行の脆弱性（JVN）

特集

関連リンク

アクセスランキング

マイクロソフトが 5 月のセキュリティ情報公開、CVSS 基本値が 9.8 以上と高いスコアの脆弱性が 4 件

セキュリティ統制構築セミナーを開催（NTTデータ・セキュリティ、TDCソフトウェアエンジニアリング）

2位とトリプルスコア ～ AnthropicバグバウンティプログラムでGMO Flatt SecurityのRyotaK氏が1位を記録

20万2,581件のスパムメール送信の可能性 ～ 国交省「子育てエコホーム支援事業」事務事業者 博報堂が利用するメールサーバに不正アクセス

スマートフォンアプリ「くら寿司 公式アプリ」に証明書検証不備の脆弱性

2位とトリプルスコア～ AnthropicバグバウンティプログラムでGMO Flatt SecurityのRyotaK氏が1位を記録

20万2,581件のスパムメール送信の可能性～国交省「子育てエコホーム支援事業」事務事業者博報堂が利用するメールサーバに不正アクセス

スマートフォンアプリ「くら寿司公式アプリ」に証明書検証不備の脆弱性