■09/17(日)~09/23(土) のセキュリティ関連情報
目 次
【1】Drupal coreにキャッシュポイズニングの脆弱性
【2】ISC BINDに複数の脆弱性
【3】JenkinsおよびBuild Failure Analyzer Pluginに複数の脆弱性
【4】複数のAtlassian製品に脆弱性
【5】複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品に任意コード実行の脆弱性
【6】GitLabに不適切なアクセス制御の脆弱性
【7】警察庁が「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開
【8】複数のApple製品に脆弱性
【9】JPCERT/CCが「国際カンファレンス参加レポート Black Hat USA, DEF CON」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】Drupal coreにキャッシュポイズニングの脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/09/21/drupal-releases-security-advisory-address-vulnerability-drupal-core
概要
Drupal coreには、キャッシュポイズニングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、Drupalが提供する情報を参照してください。
関連文書
https://www.drupal.org/sa-core-2023-006
【2】ISC BINDに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU94469233/
概要
ISC BINDには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/newsflash/2023092101.html
https://kb.isc.org/docs/cve-2023-3341
https://kb.isc.org/docs/cve-2023-4236
【3】JenkinsおよびBuild Failure Analyzer Pluginに複数の脆弱性
情報源
https://www.jenkins.io/security/advisory/2023-09-20/
概要
JenkinsおよびBuild Failure Analyzer Pluginには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
【4】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/security-bulletin-september-19-2023-1283691616.html
概要
複数のAtlassian製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
【5】複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品に任意コード実行の脆弱性
情報源
https://jvn.jp/vu/JVNVU90967486/
概要
複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品には、任意コード実行の脆弱性があります。Apex One 2019、Apex One SaaS、ウイルスバスタービジネスセキュリティ 10.0 SP1、ウイルスバスタービジネスセキュリティサービスが影響を受けます。Apex One 2019、ウイルスバスタービジネスセキュリティ 10.0 SP1の問題は、当該製品にパッチを適用することで解決します。また、Apex One SaaSは2023年7月のメンテナンス、ウイルスバスタービジネスセキュリティサービスは2023年7月31日のアップデートで修正済みです。トレンドマイクロは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=4886
https://www.jpcert.or.jp/at/2023/at230021.html
https://success.trendmicro.com/jp/solution/000294706
【6】GitLabに不適切なアクセス制御の脆弱性
情報源
https://about.gitlab.com/releases/2023/09/18/security-release-gitlab-16-3-4-released/
概要
GitLabには、不適切なアクセス制御の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。本修正はCVE-2023-3932の修正不備に対応したものです。詳細は開発者が提供する情報を参照してください。
【7】警察庁が「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開
情報源
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R05_kami_cyber_jousei.pdf
概要
2023年9月21日、警察庁は「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開しました。この文書では、令和5年上半期におけるサイバー攻撃やサイバー犯罪の情勢および今後の取組についてまとめられており、今期の脅威情勢として、DDoS攻撃によるWebサイトの閲覧障害の事例、クレジットカードの不正利用被害額の増加、データを暗号化せずに窃取し対価を要求する攻撃の被害などを挙げています。
また同日、警察庁は「令和5年上半期におけるインターネット・ホットラインセンターの運用状況について」を公開しています。
関連文書
https://www.npa.go.jp/bureau/cyber/pdf/R5fh_ihc_unyou.pdf
【8】複数のApple製品に脆弱性
情報源
https://www.jpcert.or.jp/newsflash/2023092201.html
概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。Appleは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/en-us/HT201222
【9】JPCERT/CCが「国際カンファレンス参加レポート Black Hat USA, DEF CON」を公開
情報源
https://blogs.jpcert.or.jp/ja/2023/09/black-hat-usa-def-con.html
概要
2023年9月19日、JPCERT/CCはブログ「国際カンファレンス参加レポート Black Hat USA, DEF CON」を公開しました。JPCERT/CCの職員が世界最大のセキュリティカンファレンスの1つであるBlack Hat USA、そしてハッカーの祭典とも言われるコンベンションDEF CONに参加した際の様子を紹介しています。