Head Topics

CI/CDツール「TeamCity」に新たに2つの脆弱性 修正版リリースも批判の声:Cybersecurity Dive

日本 ニュース ニュース

CI/CDツール「TeamCity」に新たに2つの脆弱性 修正版リリースも批判の声:Cybersecurity Dive
日本 最新ニュース,日本 見出し
  • 📰 topitmedia
  • ⏱ Reading Time:
  • 43 sec. here
  • 2 min. at publisher
  • 📊 Quality Score:
  • News: 21%
  • Publisher: 51%

JetBrainsのCI/CDツール「TeamCity」に新たに2つの脆弱性が見つかった。同社はこれを受けて早期に修正版をリリースしたが、この対応が批判された。一体なぜだろうか。

セキュリティ研究者は、JetBrainsの継続的インテグレーション/継続的デリバリー(CI/CD)製品「TeamCity」のオンプレミス版に新たに2つの認証回避の脆弱(ぜいじゃく)性があると警告している。JetBrainsは、2024年3月3日(現地時間、以下同)に発表したブログ記事で、顧客に対して、サーバを最新バージョンにアップグレードするか(注1)、セキュリティパッチを適用するよう促している。しかし脆弱性を発見したRapid7は(注2)この対応を批判した。一体なぜだろうか。

サイバーセキュリティに関する情報を収集するThe Shadowserver Foundationの研究者は2024年3月5日に、共通脆弱性評価システム(CVSS)スコアが9.8である最も重大な脆弱性「CVE-2024-27198」を悪用する活動が観察され始めていると警告した(注3)(注4)。 Rapid7によると、この脆弱性はここ数カ月に公開されたTeamCityの重大な欠陥とは無関係だという(注5)。同社のケイトリン・コンドン氏(脆弱性インテリジェンスディレクター)は「これらの脆弱性は、TeamCityの以前のセキュリティ問題と直接関係しているわけではないが、TeamCityは最近、さまざまな攻撃者にとって格好のターゲットとなっている」と話した(注6)。Rapid7が脆弱性に関する調査をリリースする前にTeamCityがセキュリティアップデートをリリースしたことが、今回の争点となっている。Rapid7は以前、適切な調整なしに「サイレントパッチ」を発行する慣行について懸念を表明している(注7)。

JetBrainsは2024年3月5日にブログを公開し(注8)、脆弱なアプリケーションを早期に修正する機会を顧客に提供する意向であることを説明し、「詳細な情報を公開しないつもりはなかった」と述べている。JetBrainsは2024年2月上旬に、「CVE-2024-23917」として記載されている重大な脆弱性が、TeamCityのオンプレミス版に存在することを警告した(注9)(注10)。 2023年12月には、米国当局により、ロシアに関連するハッカーがTeamCityの重大な脆弱性を悪用してサプライチェーン攻撃を仕掛ける可能性があると警告されていた。「Midnight Blizzard」として知られるこの脅威グループは、2020年に発生したマルウェア「Sunburst」攻撃に関連しており、「SolarWinds Orion Platform」のユーザーに影響を与えた。

このニュースをすぐに読めるように要約しました。ニュースに興味がある場合は、ここで全文を読むことができます。 続きを読む:

topitmedia /  🏆 93. in JP

日本 最新ニュース, 日本 見出し

Similar News:他のニュース ソースから収集した、これに似たニュース記事を読むこともできます。

ConnectWise ScreenConnectにCVSS10.0の脆弱性 サイバー攻撃者の悪用を確認:Cybersecurity DiveConnectWise ScreenConnectにCVSS10.0の脆弱性 サイバー攻撃者の悪用を確認:Cybersecurity DiveリモートアクセスツールConnectWise ScreenConnectに見つかった2つの脆弱性は、ランサムウェアグループによって積極的に悪用されている。脆弱性のうち一つはCVSSスコアが10.0と評価されている。
続きを読む »

4/9(火)発売のデビューアルバム「Drive」収録曲'Dive in'パフォーマンスビデオ先行公開【第5世代グローバルボーイグループ「NCHIVE」】4/9(火)発売のデビューアルバム「Drive」収録曲'Dive in'パフォーマンスビデオ先行公開【第5世代グローバルボーイグループ「NCHIVE」】4/9(火)発売のデビューアルバム「Drive」収録曲'Dive in'パフォーマンスビデオ先行公開【第5世代グローバルボーイグループ「NCHIVE」】 株式会社DONGRAMYPROJECTのプレスリリース
続きを読む »

Cyberint、「2024年度Globee® Awards for Cybersecurity」 サイバー脅威インテリジェンス部門で金賞を受賞Cyberint、「2024年度Globee® Awards for Cybersecurity」 サイバー脅威インテリジェンス部門で金賞を受賞Cyberint、「2024年度Globee® Awards for Cybersecurity」 サイバー脅威インテリジェンス部門で金賞を受賞 Cyberint Technologies Ltd.のプレスリリース
続きを読む »

新しい「NIST CSF 2.0」に対するベリタスの提言、同社幹部に聞く新しい「NIST CSF 2.0」に対するベリタスの提言、同社幹部に聞く2月下旬にリリースされた「NIST CyberSecurity Framework 2.0(CSF 2.0)」のパブリックコメントには、データ保護/バックアップ製品ベンダーのベリタステクノロジーズも参加していた。データ保護の観点からどのような提言を行ったのか、同社 フィールドCISOを務めるジョイ・パーサー氏に聞いた。
続きを読む »

JYANNA WORLD×STEREO DIVE FOUNDATION、JYANNAプライムでライブ映像配信決定!JYANNA WORLD×STEREO DIVE FOUNDATION、JYANNAプライムでライブ映像配信決定!JYANNA WORLD×STEREO DIVE FOUNDATION、JYANNAプライムでライブ映像配信決定! 株式会社エンターメディアのプレスリリース
続きを読む »

AI歌唱ソフト「VoiSona」の追加ボイスライブラリとして「Ci flower 2.0」が搭載!AI歌唱ソフト「VoiSona」の追加ボイスライブラリとして「Ci flower 2.0」が搭載!
続きを読む »



Render Time: 2025-02-25 06:12:52