TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

R language flaw allows code execution via RDS/RDX files

【訳】

R言語の欠陥により、RDS/RDXファイル経由でコードが実行される可能性


【要約】

R言語における新たな脆弱性が発見され、特別に細工されたRDSおよびRDXファイルを開くと、攻撃者が任意のコードを実行できる可能性があることが明らかになった。この脆弱性はプロミスオブジェクトと遅延評価を悪用しており、ソーシャルエンジニアリングの要素が含まれる可能性がある。CVE-2024-27322に対処するため、R Coreバージョン4.4.0がリリースされ、任意のコードの実行を防止する制限が導入された。アップグレードができない場合は、サンドボックスやコンテナなどの分離された環境でRDS/RDXファイルを実行し、基盤となるシステム上でのコード実行を防止する必要がある。


【ニュース】

◆R language flaw allows code execution via RDS/RDX files (BleepingComputer, 2024/04/30 14:46)
[R言語の欠陥により、RDS/RDXファイル経由でコードが実行される可能性]
https://www.bleepingcomputer.com/news/security/r-language-flaw-allows-code-execution-via-rds-rdx-files/


【関連まとめ記事】

全体まとめ
 ◆プログラミング言語 (まとめ)

◆R (まとめ)
https://vul.hatenadiary.com/entry/R


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022