重要情報 1. CVE番号: - CVE-2024-8285 2. 公開日: - 2024年8月27日 3. 最終更新日: - 2024年8月30日 4. 深刻度: - 中程度 5. 説明: - Kroxyliciousは、アップストリームのKafkaサーバーとの間でTLSセキュア接続を確立する際、サーバーのホスト名を正しく検証しない欠陥により、安全でない接続を許容する問題があります。 6. 攻撃ベクトル: - 中間者攻撃(Man-in-the-Middle)の実行、またはDNSやネットワークルーティング設定などの外部システムのいずれかを乗っ取る必要があります。 7. 影響: - データの完全性と機密性に影響します。 8. 影響を受けるパッケージおよびRed Hatのセキュリティパッチ: - kroxylicious-annotations、kroxylicious-api、kroxylicious-app-licensesなど、複数のKroxyliciousコンポーネントが含まれます。 9. CVSSスコア: - CVSS v3 ベーススコア: 7.3 - CVSS v3 ベクトル: CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N 10. よくある質問: - なぜRed HatのCVSSスコアや影響度が他のベンダーと異なるのですか? - 製品が「調査中」または「影響あり」としてリストされている場合、Red Hatはいつ修正を提供しますか? - 製品が「修正不可」としてリストされている場合、どのように対応すべきですか? - 緩和策とは何ですか? - Red Hat製品を持っていますが、上記のリストには含まれていません。この脆弱性の影響を受けますか? - 私の製品バージョンが修正済みまたは影響を受けない場合でも、セキュリティスキャナが製品の脆弱性を報告するのはなぜですか? その他の情報 外部参照: - CVE-2024-8285の詳細 - NVD詳細 免責事項: - このページはシステムによって自動的に生成されており、エラーや抜け漏れは確認されていません。 - clarificationや修正については、Red Hat製品セキュリティチームまでお問い合わせください。 著作権: - CVE説明の著作権 © 2021