オンラインミーティングツール「Apache OpenMeetings」の開発チームは、最新版で深刻な脆弱性に対処したことを明らかにした。
クラスターモードにおいて信頼できないデータをデシリアライズする脆弱性「CVE-2024-54676」について明らかにしたもの。
同脆弱性は、デフォルトのクラスタリング構成において「OpenJPA」の許可リストおよび拒否リストの設定を明示していないことに起因するという。開発チームでは、重要度を4段階中上から2番目にあたる「重要(Important)」とレーティングした。
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」とし、重要度をもっとも高い「クリティカル(Critical)」とレーティングしている。
開発チームでは、現地時間2025年1月3日に同脆弱性を解消した「同8.0.0」をリリース。同バージョンへアップデートするよう求めた。あわせて、アップデート後に「OpenJPA」の許可リストおよび拒否リストを起動スクリプトへ追加するよう呼びかけている。
(Security NEXT – 2025/01/14 )
ツイート
関連リンク
Apache OpenMeetings Project
PR
関連記事
先週注目された記事(2025年1月5日〜2025年1月11日)
VeeamのAzureバックアップソフトに脆弱性 – アップデートで対応
イベント事業の再委託先でランサム被害や誤送信事故 – 郡山市
イベント応募フォーム掲載時に誤リンク、個人情報が流出 – 阿久比町
「研究者業績データベース」に不正アクセス – 中京大
「SecureAge Security Suite」に深刻な脆弱性 – アップデートを
ネットワーク監視ツール「WhatsUp Gold」に深刻な脆弱性
「OpenVPN」に深刻な脆弱性 – 2024年6月の更新で修正済み
Xerox製印刷ワークフロー管理ソフトに複数の脆弱性
SonicWall製ファイアウォールに脆弱性 – 認証回避や権限昇格のおそれ
WACOCA: People, Life, Style.