エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
プログラミング言語「R」に任意コード実行の脆弱性 悪用の可能性あり更新を
記事へのコメント0件
- 注目コメント
- 新着コメント
このエントリーにコメントしてみましょう。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
プログラミング言語「R」に任意コード実行の脆弱性 悪用の可能性あり更新を
Rはデータシリアライゼーションやデータデシリアライゼーションをサポートしており、シリアライズされた... Rはデータシリアライゼーションやデータデシリアライゼーションをサポートしており、シリアライズされたデータは「.rds」または「.rdx」という拡張子のRDSファイル(R Data Serialization)として保存される。この他、Rは遅延評価機能もサポートしており、必要なタイミングで呼び出し可能となっている。 CVE-2024-27322はこれらの機能や不具合を悪用するというものだ。具体的には、RDS形式で保持されているシリアライズされたPromiseクラスのオブジェクトが「eval()関数」にロードされる際に、オブジェクト内部の値が未評価の状態で参照されると、本来のタイミングではなく直ちに評価が実行される問題だとされている。 HiddenLayerはこの脆弱性がRDSファイルやRパッケージなどを介したサプライチェーン攻撃の一部として悪用される可能性があることを指摘している。該当バージ