SJ blog
← タグ一覧

#devops (24 件)

security

Dirty Frag(CVE-2026-43284/43500)——LinuxカーネルのIPsec・RxRPC欠陥で非特権ユーザーがrootになれる仕組みと対策

Linuxカーネルに存在するDirty Frag(CVE-2026-43284/43500)はIPsec(ESP)とRxRPCのページキャッシュ書き込みプリミティブを悪用し、非特権ユーザーが1コマンドでrootを取得できるLPE。公開PoCで実証済み、コンテナ脱出も可能。

#security #linux #cve #kernel #ipsec #privilege-escalation #lpe #devops
記事へ →
devops

Kubernetes v1.36「ハル」——セキュリティデフォルト強化とAIワークロード対応が同時に成熟した70件の強化まとめ

Kubernetes v1.36(2026年4月22日リリース、テーマ名「ハル」)はUser Namespaces・Fine-Grained Kubelet API Authorization・Mutating Admission PoliciesがGA。DRAによるAI/MLワークロード向け改善も含む70件の強化。

#kubernetes #k8s #devops #security #release #user-namespaces #ai-workloads #container #admission-webhook
記事へ →
devops

Cloudflare Agents Week 2026まとめ——Dynamic Workers・Agent Memory・Artifacts・AI Gatewayで「エージェントクラウド」のインフラが揃った

Cloudflareが2026年4月にAIエージェント向け20以上の新機能を発表。安全なコード実行・永続メモリ・Gitストレージ・統合推論ゲートウェイで本番エージェントインフラの全体像を解説。

#cloudflare #ai-agents #infrastructure #workers #devops #cloud #ai #mcp #agent-memory
記事へ →
security

CISA+五カ国連合が初の「AIエージェント安全運用ガイドライン」を公開——最小権限・ゼロトラスト・可逆性の原則を本番エージェントに適用する実践

Five Eyes六機関が初のAIエージェント安全ガイドラインを共同発行。権限・設計・行動・構造・サプライチェーンの5リスクを整理し、最小権限・ゼロトラスト・可逆性の原則を本番エージェントへ適用する実践を解説する。

#security #cisa #five-eyes #ai-agents #zero-trust #least-privilege #agentic-ai #compliance #devops
記事へ →
security

Copy Fail(CVE-2026-31431):2017年から潜伏していたLinuxカーネルのLPE——732バイトのPythonスクリプトで全主要ディストリビューションがroot権限を奪われる

Theoriが4月29日に開示したCVE-2026-31431(CVSS 7.8)はLinuxカーネルのalgif_aeadモジュールの論理バグで、非特権ユーザーがAF_ALG+spliceを組み合わせるだけでpage cacheに4バイト書き込みを行い、setuidバイナリを書き換えてroot取得できる。2017年以降のすべてのカーネル(4.14〜6.18.21)が対象。

#security #linux #kernel #cve #lpe #privilege-escalation #cryptography #af-alg #devops #server
記事へ →
backend

Node.js 20がEOL——2026年4月30日以降はセキュリティパッチなし。Node 22 LTS vs Node 24への移行手順と破壊的変更まとめ

Node.js 20は2026年4月30日に公式サポートを終了。以降はCVEを含む全パッチが停止される。Node 22 LTS(推奨)とNode 24の選択基準、主要な破壊的変更(require(esm)・crypto API削除・V8更新によるネイティブアドオン再ビルド)、AWS Lambda・Vercel・Docker環境での移行手順を解説する。

#nodejs #javascript #backend #migration #eol #lts #node22 #node24 #security #devops
記事へ →
security

GitHub CVE-2026-3854:git push 1回でサーバー完全制圧——セルフホストの88%が影響圏

git pushのオプション値をサービスヘッダーに未サニタイズで渡していたコマンドインジェクション(CVSS 8.7)がGitHub.comとEnterprise Server全バージョンに影響。プッシュアクセスさえあれば全リポジトリ・全シークレットを奪える。Enterprise Server向けパッチが4月29日公開済み。

#security #github #cve #rce #git #enterprise #devops #command-injection #vulnerability
記事へ →
tools

Microsoft Agent 365が5月1日GA:エンタープライズAIエージェントの管理・観測・権限を一元化する制御プレーン

Microsoft Agent 365が2026年5月1日に一般提供(GA)を開始する。$15/ユーザー/月で、組織内のAIエージェントにEntra IDベースの身元管理・観測・セキュリティポリシーを適用する制御プレーン。Agent 365 SDKはOpenAI・LangChain・Agent Frameworkと統合可能で、Foundryとネイティブに連携する。

#microsoft #ai-agents #enterprise #agent-365 #sdk #governance #azure #tools #devops
記事へ →
security

npm CanisterSprawlワーム——自己増殖するサプライチェーン攻撃がpostinstallでAI APIキー・クラウド認証情報を窃取

2026年4月21〜22日に発見された自己増殖型npmワーム「CanisterSprawl」は、postinstallフックで約40カテゴリの秘密情報を収集し、盗んだnpmトークンで被害者の全パッケージに感染を拡大する。PyPIにも波及するマルチエコシステム攻撃の仕組みと対策を解説。

#security #npm #supply-chain #package-manager #malware #ci-cd #javascript #devops
記事へ →