2.2. 解決した問題

CVE-2024-29180: webpack-dev-middleware パッケージに不具合により、提供された URL アドレスを十分に検証できない

バージョン 7.1.0 および 6.1.2 より前のバージョンの webpack-dev-middleware パッケージに、ローカルファイルを返す前に、提供された URL アドレスを十分に検証できないという不具合が見つかりました。この不具合により、攻撃者が URL を作成し、開発者のマシンから任意のローカルファイルを返すことができました。ミドルウェアを呼び出す前に正規化が行われていなかったため、攻撃者はターゲット環境に対してパストラバーサル攻撃を実行することもできました。

CVE-2023-45288: Golang: net/http、x/net/http2: CONTINUATION フレームの数が無制限であるため、サービス拒否 (DoS) 攻撃が発生する可能性がある

Go プログラミング言語での HTTP/2 プロトコルの実装に不具合が発見されました。単一のストリーム内で送信される CONTINUATION フレームの数に対する制限が不十分でした。攻撃者はこれを悪用してサービス拒否 (DoS) 攻撃を引き起こす可能性があります。

CVE-2023-45857: Axios の不具合により、Cookie に保存された機密データが漏洩する可能性がある

Axios に不具合が見つかりました。この不具合により、Cookie に保存されている機密情報の XSRF-TOKEN が、ホストに対するすべてのリクエストの HTTP ヘッダー X-XSRF-TOKEN に追加されて公開される可能性があります。この問題により、リモートの攻撃者がセキュリティー対策を回避し、機密データを閲覧できる可能性があります。

CVE-2023-45286: go-resty: github.com/go-resty/resty/v2 での HTTP リクエストボディーの公開

go-resty の競合状態により、リクエスト間で HTTP リクエストボディーが公開される可能性があります。リクエストの再試行中に sync.Pool.Put が同じ bytes.Buffer で複数回呼び出されると、競合状態が発生する可能性があります。これにより、無関係なサーバーがリクエストボディーを受信し、機密情報が公開される状況が発生する可能性があります。 

CVE-2023-26364: CSS ツール: 不適切な入力検証により、正規表現によるサービス拒否が発生する

Adobe CSS ツールに不具合が見つかりました。解析コンポーネントを使用して悪意のある CSS を解析する際に、操作入力の検証により、軽度のサービス拒否が発生する可能性があります。ユーザーインタラクションや権限がなくても、環境を危険にさらすことができます。

CVE-2023-45287: Golang: crypto/tls: RSA ベースの TLS 鍵交換におけるタイミングサイドチャネル攻撃

Golang crypto/tls 標準ライブラリーに不具合が見つかりました。1.20 より前のバージョンでは、RSA ベースの Transport Layer Security (TLS) 鍵交換にかかる一定ではない時間を確認することで、パッケージを対象にタイミングサイドチャネル攻撃を実行できました。この不具合により、タイミング攻撃を受け、PKCS#1 パディングの削除によってセッションキーのビットが漏洩および公開される可能性がありました。

CVE-2023-39326: Golang: net/http/internal: HTTP リクエストからのリソース消費によって引き起こされるサービス拒否 (DoS)

Golang の net/http/internal パッケージに不具合が見つかりました。この不具合により、悪意のある HTTP 送信者が、リクエストまたはレスポンスのボディーを読み取る受信者に、ボディーに含まれるバイト数よりも多くのバイトをネットワークから読み取らせる可能性がありました。 この不具合により、受信側がレスポンスを読み取ることができず、サービス拒否 (DoS) が発生する可能性がありました。

CVE-2023-48631: Adobe css-tools に影響する不適切な入力検証の脆弱性

Adobe の css-tools バージョン 4.3.1 以前で CSS を解析する際に正規表現によるサービス拒否 (ReDoS) が発生するという脆弱性が見つかりました。この脆弱性により、CSS を解析しようとしたときに不適切な入力検証が原因でサービス拒否が発生する可能性がありました。特に CSS の解析を試行する際に、攻撃者が入力文字列を使用してサービス拒否を引き起こすことが可能でした。

CVE-2023-26159: follow-redirects パッケージ: url.parse() 関数による URL の不適切な処理によって不適切な入力検証が発生する 

1.15.4 より前のバージョンの follow-redirects パッケージで、url.parse() 関数による URL の不適切な処理が原因で、不適切な入力検証が発生するという不具合が見つかりました。 この不具合が悪用され、新しい URL() がエラーを出力したときにホスト名が操作される可能性がありました。そのため、誤解を招き、悪意のあるサイトへのトラフィックのリダイレクトが発生する可能性がありました。

CVE-2024-24786: Golang の protobuf モジュールに不具合が発見され、アンマーシャル関数が無限ループに入る可能性がある

protojson.Unmarshal 関数に不具合が発見されました。これにより、特定の形式の無効な JSON メッセージをアンマーシャリングするときに関数が無限ループに入る可能性があります。この状態は、google.protobuf.Any 値を含むメッセージにアンマーシャリングするとき、または JSON 形式のメッセージで UnmarshalOptions.DiscardUnknown オプションが設定されているときに発生する可能性があります。

CVE-2024-28849: follow-redirects パッケージ: 認証情報の漏洩を引き起こす可能性がある

1.1.5 より前のバージョンの follow-redirects パッケージに不具合が見つかりました。この不具合は、follow-redirects がクロスドメインのリダイレクトを処理するときに発生します。認証ヘッダーはクリアされますが、認証情報が含まれている可能性がある proxy-authentication ヘッダーはクリアされません。その結果、この脆弱性により機密性の高い認証情報が漏洩する可能性がありました。 

2 つの質問集でアセスメントを実行するときに誤ったアセスメントステータスが発生する問題の修正

MTA 7.0.2 では、2 つの質問集を実行すると、Assessment ステータスが In progress ではなく Not started と表示されました。この更新により、問題が解決されました。その結果、1 つの質問集またはアーキタイプが開始した後に、Assessment ステータスが progress と表示されるようになりました。

Basic 認証を使用した Jira サーバーへの接続が失敗する

MTA 7.0.2 では、Basic 認証 (ユーザー名とパスワード) を使用した Jira サーバーへの接続が失敗しました。この問題は MTA 7.0.3 で解決されました。(MTA-2427)

Enable insecure communication スイッチを有効にできない

MTA 7.0.2 では、Jira インスタンスの作成または編集時に Enable insecure communication スイッチを有効にできませんでした。この問題は MTA 7.0.3 で解決されました。(MTA-2426)

外部依存関係のない JAR ファイルでバイナリー解析が失敗する

MTA 7.0.2 では、外部依存関係のない Java アーカイブ (JAR) ファイルのバイナリー分析が失敗しました。この問題は MTA 7.0.3 で解決されました。(MTA-2661)

IntelliJ IDE プラグインのキーマップアクションが期待どおりに機能しない

MTA の以前のリリースでは、IntelliJ IDE プラグインのキーマップアクションが期待どおりに機能しません。MTA のエクステンションが開いても、それにフォーカスが移動しません。したがって、その他のアクションも機能しません。(MTA-2460)