「CVE」の記事一覧

• Screenに複数の脆弱性、特権昇格や情報漏洩の可能性

  2025-05-13 11:28

  IT・ネット

  UNIXターミナルマルチプレクサのScreenに複数の脆弱性が発見され、特に5.0.0バージョンのsetuid-root構成ではローカル権限昇格の可能性がある。主要な問題は、ログファイルの再オープン処理における特権降格の欠如、TTYのパーミッション誤設定、ワールドライト可能なPTY作成など。また、信号送信処理の競合状態や、文字列操作の不適切な使用によるクラッシュの問題も指摘されている。影響範囲は広く、Arch LinuxやNetBSDなどが特に影響を受ける。修正パッチが提供されており、パッケージ管理者には構成変更の明示指定が推奨される。

• ASUSドライバにRCE脆弱性、研究者が詳細を公開

  2025-05-11 05:11

  IT・ネット

  セキュリティ研究者は、ASUSのプレインストールソフト「DriverHub」に、ローカルホストを経由したリモートコード実行（RCE）脆弱性があることを発見しました。特定のOriginヘッダー処理の甘さと、署名済みインストーラとの連携を悪用し、管理者権限で任意のコードを実行できる可能性がありました。ASUSは報告後、脆弱性を修正し、CVEも公開済みです。研究者は被害が拡大する前に問題を解決できたと述べています。