独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は12月25日、MQTT.jsが提供するMQTT用のクライアントライブラリ「MQTT.js」に、PUBLISHパケットの扱いに関する問題が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3によるBase Scoreは4.3。株式会社富士通研究所の坂口昌隆氏、野田敏達氏、兒島尚氏が報告を行った。「MQTT.js 2.15.0 より前の 2 系」には、PUBLISHパケットの扱いに関する脆弱性(CVE-2017-10910)が存在する。この脆弱性により、MQTTのBrokerから多数のPUBLISHパケットを受信することで、DoS)攻撃を受ける可能性がある。JVNでは、MQTT.jsを使用したアプリケーションを開発している場合、MQTT.jsをアップデートしてからアプリケーションをリビルドするよう呼びかけている。
Windows Credential Manager から一般権限で一部の認証情報を取得するスクリプト Invoke-WCMDump(Scan Tech Report)2017.12.25 Mon 8:30
