7月3日:サイバーセキュリティ関連ニュース
Xbox Liveが世界中でダウン ログインやプレイができない状態に
BleepingComputer – July 2, 2024
Xbox Liveで大規模な障害が発生。Xboxアカウントへのログインやゲームのプレイができなくなるなど、世界中のユーザーに影響が生じた。
この障害により、クラウドゲーミングやXbox Oneコンソール、Windows用Xboxアプリ、Android端末用アプリ、Apple端末用アプリ、Webサービス版などさまざまなプラットフォームが影響を受け、ダウンディテクターにはサービスの問題に関する報告が何十万件も寄せられる事態となった。
現在では問題が解決され、正常に稼働しているようだ。
Apache HTTPサーバーに複数の脆弱性 今すぐ対策を(CVE-2024-36387、CVE-2024-38472他)
Securityonline[.]info – JULY 1, 2024
Apacheソフトウェア財団が緊急のセキュリティアドバイザリを公開。Apache HTTPサーバーに複数の脆弱性が広く存在することを明かした。これらの欠陥(CVE-2024-36387〜CVE-2024-39573)は、DoS攻撃からリモートコード実行、不正アクセスといったインシデントのリスクをもたらすほか、数百万件のサイトをサイバー攻撃の危険にさらす可能性がある。
特に重大な問題となっている脆弱性の一部は以下の通り。
- CVE-2024-38472(深刻度は「重要」):Windowsシステム上におけるサーバーサイドリクエストフォージェリ(SSRF)の脆弱性。機微なNTMLハッシュが漏洩する可能性がある。
- CVE-2024-38474(深刻度は「重要」):後方参照で符号化した疑問符を介し、コードが実行され、ソースが流出する恐れのある脆弱性。
- CVE-2024-38475(深刻度は「重要」):mod_rewriteモジュールにおける不適切なエスケープ処理の脆弱性。ファイルシステムが存在する場所に不正アクセスされる可能性がある。
- CVE-2024-38476(深刻度は「重要」):有害なバックエンドアプリケーションからの出力を利用して情報開示、SSRF、またはローカルでのスクリプト実行が行われる可能性のある脆弱性。
同財団は、報告された脆弱性すべてに対処しているバージョン2.4.60をリリースした。ユーザーはこのバージョンへ直ちにアップグレードすることが強く推奨される。
また組織はmod_proxyとmod_rewriteルールの見直しを行い、必要であれば更新を行うほか、ログを監視したり、WAFを導入したりすることが望ましい。