メディア

ServiceNowのNow Platformに「緊急」の脆弱性　リモートコード実行のリスク：セキュリティニュース

ServiceNowはNow Platformの重大な脆弱性CVE-2024-8923および8924に対応したパッチを公表した。リモートからの不正アクセスやコード実行を許可する可能性があるため注意が必要だ。

» 2024年11月02日 07時00分公開

[後藤大地，有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

　ServiceNowは2024年10月29日（現地時間）、各種業務のワークフローやデータを一元管理する「Now Platform」に深刻な影響を与える複数の脆弱（ぜいじゃく）性に対処したと発表した。

　これらの脆弱性が悪用された場合、認証されていないユーザーにリモートから任意のコードが実行されたり、許可されていないデータにアクセスされたりする可能性がある。

Now Platformに複数の脆弱性　深刻度「緊急」に分類されるものもあり注意

　今回対処した脆弱性の情報は以下の通りだ。

CVE-2024-8923：　サンドボックスエスケープの脆弱性。認証されていないユーザーがNow Platformのコンテキスト内でリモートでコードを実行できる可能性がある。共通脆弱性評価システム（CVSS）v3.1のスコア値は9.8で深刻度「緊急」（Critical）と評価されている
CVE-2024-8924：　ブラインドSQLインジェクションの脆弱性。認証されていないユーザーがNow Platform内に保存されているデータを不正に取得できる可能性がある。CVSS v3.1のスコア値は7.5で深刻度「重要」（High）と評価されている

　CVE-2024-8923については2024年8月のパッチプログラムで対応している。その際に修正されたプロダクトおよびバージョンは以下の通りだ。

Xanadu GA Release
Washington DC Patch 4 Hot Fix 1a
Washington DC Patch 5
Vancouver Patch 9 Hot Fix 2a
Vancouver Patch 10

　CVE-2024-8924については2024年10月のパッチプログラムで対応している。その際に修正されたプロダクトおよびバージョンは以下の通りだ。

Xanadu Patch 1
Washington DC Patch 4 Hot Fix 2b
Washington DC Patch 6 Hot Fix 1
Washington DC Patch 7
Vancouver Patch 9 Hot Fix 3b
Vancouver Patch 10 Hot Fix 2

　ServiceNowはインスタンスに関連するセキュリティパッチをできるだけ早く適用することを推奨している。特にCVE-2024-8923は深刻度が非常に高く注意が必要だ。該当製品を使用している場合、速やかに脆弱性が修正されたバージョンにアップグレードすることが求められる。

サポート切れが迫るのはWin10だけじゃない？　注意しておきたいもう一つのリミット
ついにWindows 10のサポート終了まで1年を切りました。さまざまな事情があるかとは思いますが、セキュリティ的にもOSのアップグレードは必須でしょう。これに加えてもう一つ、無視できない“サポート終了”の期限が迫っているようです。
イセトーのランサムウェア被害、感染経路はVPN　調査結果で明らかに
イセトーは2024年5月26日に発生したランサムウェア被害について、外部専門家によるフォレンジック調査の結果を公開した。それによると、ランサムウェアの感染経路はVPNであることが明らかになった。
「定期的に変更するな」　NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表
NISTはパスワードに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を公開した。定期的なパスワード変更や異なる文字タイプの混在を要求しない方針を示している。
企業がOSSメンテナーに“ただ乗り”　この風潮はいつ是正されるのか？
オープンソースソフトウェアの開発者と企業をはじめとしたソフトウェアユーザーとの間には、依然として格差が存在している。ソフトウェアユーザーが高いセキュリティ基準を求める一方で必要な投資をしないため、この風潮は変わっていない。