ミニ・いんふぉめーしょん

目　次
【1】OpenSSLにNULLポインタ参照の脆弱性
【2】複数のCisco Unified CommunicationsおよびContact Center Solutions製品にリモートコード実行の脆弱性
【3】複数のMozilla製品に脆弱性
【4】Androidアプリ「メルカリ」にアクセス制限不備の脆弱性
【5】複数のApple製品に脆弱性
【6】国土交通省が提供する電子納品チェックシステムおよび電子納品物検査支援システムにXML外部実体参照(XXE)に関する脆弱性
【7】電子納品チェックシステム（農林水産省農業農村整備事業版）にXML外部実体参照 (XXE) に関する脆弱性
【8】防衛省が提供する電子納品物作成支援ツールにXML外部実体参照 (XXE) に関する脆弱性
【9】ヤマハ製無線LANアクセスポイントに利用可能なデバッグ機能が存在している脆弱性
【10】エレコム製無線LANルーターにOSコマンドインジェクションの脆弱性
【11】アクセス解析CGI An-Analyzerにオープンリダイレクトの脆弱性
【12】a-blog cmsに複数の脆弱性
【13】Apache Tomcatに情報漏えいの脆弱性
【14】IPAが「情報セキュリティ10大脅威 2024」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】OpenSSLにNULLポインタ参照の脆弱性
情報源
https://jvn.jp/vu/JVNVU93108954/

概要
OpenSSLには、NULLポインタ参照の脆弱性があります。2024年1月31日現在、修正版は提供されていませんが、今後公開されるバージョンにおいて修正される予定です。 詳細は開発者が提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20240125.txt

【2】複数のCisco Unified CommunicationsおよびContact Center Solutions製品にリモートコード実行の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/25/cisco-releases-security-advisory-multiple-unified-communications-and-contact-center-solutions

概要
複数のCisco Unified CommunicationsおよびContact Center Solutions製品には、リモートコード実行が可能な脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-rce-bWNzQcUm

【3】複数のMozilla製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/24/mozilla-releases-security-updates-thunderbird-and-firefox

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2024-01/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-02/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-04/

【4】Androidアプリ「メルカリ」にアクセス制限不備の脆弱性
情報源
https://jvn.jp/jp/JVN70818619/

概要
Androidアプリ「メルカリ」には、アクセス制限不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。

【5】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/23/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。Appleは脆弱性を悪用された可能性があるという報告を確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/HT201222

https://www.jpcert.or.jp/newsflash/2024012301.html

【6】国土交通省が提供する電子納品チェックシステムおよび電子納品物検査支援システムにXML外部実体参照(XXE)に関する脆弱性
情報源
https://jvn.jp/jp/JVN77736613/

概要
国土交通省が提供する電子納品チェックシステムおよび電子納品物検査支援システムには、XML外部実体参照(XXE)に関する脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.ysk.nilim.go.jp/cals/

【7】電子納品チェックシステム（農林水産省農業農村整備事業版）にXML外部実体参照 (XXE) に関する脆弱性
情報源
https://jvn.jp/jp/JVN01434915/

概要
農林水産省が提供する電子納品チェックシステム（農林水産省農業農村整備事業版）には、XML外部実体参照 (XXE) に関する脆弱性あります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.maff.go.jp/j/nousin/seko/nouhin_youryou/densi.html

【8】防衛省が提供する電子納品物作成支援ツールにXML外部実体参照 (XXE) に関する脆弱性
情報源
https://jvn.jp/jp/JVN40049211/

概要
防衛省が提供する「電子納品物作成支援ツール（工事版）」および「電子納品物作成支援ツール（業務版）」には、XML外部実体参照 (XXE) に関する脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.dfeg.mod.go.jp/hp/contents-dfis/tool.html

【9】ヤマハ製無線LANアクセスポイントに利用可能なデバッグ機能が存在している脆弱性
情報源
https://jvn.jp/vu/JVNVU99896362/

概要
ヤマハ株式会社が提供する無線LANアクセスポイント製品には、利用可能なデバッグ機能が存在しています。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVNVU99896362.html

【10】エレコム製無線LANルーターにOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU90908488/

概要
エレコム株式会社が提供する複数の無線LANルーターには、OSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.elecom.co.jp/news/security/20240123-01/

【11】アクセス解析CGI An-Analyzerにオープンリダイレクトの脆弱性
情報源
https://jvn.jp/jp/JVN73587943/

概要
有限会社アングラーズネットが提供するアクセス解析CGI An-Analyzerには、オープンリダイレクトの脆弱性があります。この問題はワークアラウンドを実施することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.anglers-net.com/anlog/update/index.html

【12】a-blog cmsに複数の脆弱性
情報源
https://jvn.jp/jp/JVN34565930/

概要
a-blog cmsには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新し、特定のオプションを有効化することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://developer.a-blogcms.jp/blog/news/JVN-34565930.html

【13】Apache Tomcatに情報漏えいの脆弱性
情報源
https://jvn.jp/vu/JVNVU98698305/

概要
Apache Tomcatには、情報漏えいの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.44

https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.64

【14】IPAが「情報セキュリティ10大脅威 2024」を公開
情報源
https://www.ipa.go.jp/security/10threats/10threats2024.html

概要
2024年1月24日、独立行政法人情報処理推進機構（IPA）は「情報セキュリティ10大脅威 2024」を公開しました。「情報セキュリティ10大脅威 2024」は、2023年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。

目　次
【1】FusionPBXにクロスサイトスクリプティングの脆弱性
【2】NetScaler ADCおよびNetScaler Gatewayに複数の脆弱性
【3】Drupal coreにサービス拒否（DoS）の脆弱性
【4】Confluence ServerおよびData Centerにリモートコード実行の脆弱性
【5】2024年1月Oracle Critical Patch Updateについて
【6】GPUカーネル実装に情報漏えいの脆弱性
【7】複数のDahua Technology製品に認証不備の脆弱性
【8】VMware Aria Automationに不適切なアクセス制御の脆弱性
【9】EDK2 NetworkPkg IPスタック実装に複数の脆弱性
【10】複数のSMTP実装にSMTPのデータの終端の処理に関する問題
【11】Google Chromeに複数の脆弱性
【12】OpenSSLにおける不正なRSA公開鍵のチェックに時間を要する問題
【13】プリザンターにクロスサイトスクリプティングの脆弱性
【14】JPCERT/CCが2023年10月-2023年12月分の「活動四半期レポート」などを公開
【15】GitLab Community EditionおよびEnterprise Editionのパスワードリセット機能の脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】FusionPBXにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN67215338/

概要
FusionPBXには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://github.com/fusionpbx/fusionpbx/releases/tag/5.1.0

【2】NetScaler ADCおよびNetScaler Gatewayに複数の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/18/citrix-releases-security-updates-netscaler-adc-and-netscaler-gateway

概要
NetScaler ADCおよびNetScaler Gatewayには、複数の脆弱性があります。Cloud Software Groupは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.citrix.com/article/CTX584986/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20236548-and-cve20236549

【3】Drupal coreにサービス拒否（DoS）の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/18/drupal-releases-security-advisory-drupal-core

概要
Drupal coreには、サービス拒否（DoS）の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、Drupalが提供する情報を参照してください。
関連文書
https://www.drupal.org/sa-core-2024-001

【4】Confluence ServerおよびData Centerにリモートコード実行の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/18/atlassian-releases-security-updates-multiple-products

概要
AtlassianのConfluence ServerおよびData Centerには、リモートコード実行が可能となる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://confluence.atlassian.com/security/cve-2023-22527-rce-remote-code-execution-vulnerability-in-confluence-data-center-and-confluence-server-1333990257.html

【5】2024年1月Oracle Critical Patch Updateについて
情報源
https://www.cisa.gov/news-events/alerts/2024/01/18/oracle-releases-critical-patch-update-advisory-january-2024

概要
Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公開されました。詳細は、Oracleが提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2024/at240003.html

https://www.oracle.com/security-alerts/cpujan2024.html

【6】GPUカーネル実装に情報漏えいの脆弱性
情報源
https://jvn.jp/vu/JVNVU97951800/

概要
GPUカーネルの実装には、情報漏えいの脆弱性があります。参考情報をもとに、ソフトウェア開発に使用するGPU関連のライブラリを最新版にアップデートしてください。また、GPUベンダーが提供する情報をもとに、GPUを使用する処理を実装する際にはデータが適切に保護されることを確認してください。
関連文書
https://kb.cert.org/vuls/id/446598

【7】複数のDahua Technology製品に認証不備の脆弱性
情報源
https://jvn.jp/jp/JVN83655695/

概要
複数のDahua Technology製品には、認証不備の脆弱性があります。本脆弱性に関するアドバイザリは、2021年9月に開発者により公開されましたが、影響製品が新たに検出されています。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.dahuasecurity.com/aboutUs/trustedCenter/details/582

【8】VMware Aria Automationに不適切なアクセス制御の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/17/vmware-releases-security-advisory-aria-operations

概要
VMware Aria Automationには、不適切なアクセス制御の脆弱性があります。この問題は、該当製品に開発者が提供する修正パッチを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.vmware.com/security/advisories/VMSA-2024-0001.html

【9】EDK2 NetworkPkg IPスタック実装に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU96957535/

概要
Tianocoreプロジェクトが提供するEDK2 NetworkPkg IPスタック実装には、複数の脆弱性があります。2024年1月17日時点で、本脆弱性の内の7つはTianocoreプロジェクトによってパッチが提供されています。開発者が提供する最新の情報を確認のうえ、ファームウェアを最新版にアップデートしてください。
関連文書
https://kb.cert.org/vuls/id/132380

【10】複数のSMTP実装にSMTPのデータの終端の処理に関する問題
情報源
https://jvn.jp/vu/JVNVU94855660/

概要
複数のSMTP実装に対して、データの終わりを宣言する文字の解釈が異なることによる問題が報告されています。本問題が悪用された場合、認証メカニズムをバイパスしてなりすましメールを送信される可能性があります。使用している電子メールサービスのベンダーが提供する情報を注視し、回避策やパッチなどを適用してください。
関連文書
https://kb.cert.org/vuls/id/302671

【11】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_16.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。Googleは今回修正された脆弱性の一部を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。

【12】OpenSSLにおける不正なRSA公開鍵のチェックに時間を要する問題
情報源
https://jvn.jp/vu/JVNVU90782686/

概要
OpenSSLのEVP_PKEY_public_check()関数を使用してRSA公開鍵をチェックする際、大きすぎる素数の積で構成されたRSA公開鍵のチェックに非常に長い時間を要する問題があります。この問題に対しては、OpenSSL gitリポジトリーで修正commitが提供されています。次回リリースで今回のパッチを反映する予定とのことです。詳細はOpenSSL Projectが提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20240115.txt

https://github.com/openssl/openssl/commit/0b0f7abfb37350794a4b8960fafc292cd5d1b84d

https://github.com/openssl/openssl/commit/a830f551557d3d66a84bbb18a5b889c640c36294

https://github.com/openssl/openssl/commit/18c02492138d1eb8b6548cb26e7b625fb2414a2a

【13】プリザンターにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN51135247/

概要
株式会社インプリムが提供するプリザンターには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://pleasanter.org/archives/vulnerability-update-202401

【14】JPCERT/CCが2023年10月-2023年12月分の「活動四半期レポート」などを公開
情報源
https://www.jpcert.or.jp/pr/2024/PR_Report2023Q3.pdf

概要
2024年1月18日、JPCERT/CCは2023年10月から12月分の「活動四半期レポート」「インシデント報告対応レポート」「ソフトウェア等の脆弱性関連情報に関する届出状況」を公開しました。本四半期中のJPCERT/CCの国内外の活動に加え、JPCERT/CCが報告を受け付けたインシデントの統計や事例などについてまとめています。参考資料としてご活用ください。
関連文書
https://www.jpcert.or.jp/pr/2024/IR_Report2023Q3.pdf

https://www.jpcert.or.jp/pr/2024/vulnREPORT_2023q4.pdf

【15】GitLab Community EditionおよびEnterprise Editionのパスワードリセット機能の脆弱性
情報源
https://www.jpcert.or.jp/newsflash/2024011601.html

概要
GitLabのGitLab Community EditionおよびEnterprise Editionのパスワードリセット機能に脆弱性があります。また、同脆弱性の実証コード（PoC）と見られる情報がすでに公開されています。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/

目　次
【1】複数のCisco製品に脆弱性
【2】複数のJuniper Networks製品に脆弱性
【3】WordPress用プラグインWordPress Quiz Maker Pluginに不適切な入力確認の脆弱性
【4】OpenSSLにPOLY1305 MAC実装不備の問題
【5】複数のマイクロソフト製品に脆弱性
【6】複数のFortinet製品に脆弱性
【7】複数のIntel製品に脆弱性
【8】Panasonic製Control FPWIN Pro7に複数の脆弱性
【9】複数のTP-Link製品にOSコマンドインジェクションの脆弱性
【10】Ivanti Connect SecureおよびIvanti Policy Secureに複数の脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のCisco製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/11/cisco-releases-security-advisory-cisco-unity-connection

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計7件（Critical 1件、Medium 6件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【2】複数のJuniper Networks製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/11/juniper-networks-releases-security-bulletin-junos-os-and-junos-os-evolved

概要
Juniper Networksは同社製品における脆弱性に関するアドバイザリを計28件（Critical 4件、High 9件、Medium 15件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=%40sfcec_community_publish_date_formula__c%20descending&numberOfResults=50&f:ctype=[Security%20Advisories]

【3】WordPress用プラグインWordPress Quiz Maker Pluginに不適切な入力確認の脆弱性
情報源
https://jvn.jp/jp/JVN37326856/

概要
WordPress用プラグインWordPress Quiz Maker Pluginには、不適切な入力確認の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://ja.wordpress.org/plugins/quiz-maker/

【4】OpenSSLにPOLY1305 MAC実装不備の問題
情報源
https://jvn.jp/vu/JVNVU98269979/

概要
OpenSSLのPOLY1305 MAC（メッセージ認証コード）実装には、ベクトルレジスタに保存された値の復元処理に問題があり、アプリケーション内部状態の破損を招くことがあります。この問題に対しては、OpenSSL gitリポジトリーでcommitが提供されています。次回リリースで今回のパッチを反映する予定とのことです。詳細はOpenSSL Projectが提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20240109.txt

【5】複数のマイクロソフト製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/09/microsoft-releases-security-updates-multiple-products

概要
複数のマイクロソフト製品に関する脆弱性が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2024/at240001.html

【6】複数のFortinet製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/09/fortinet-releases-security-updates-fortios-and-fortiproxy

概要
Fortinetは同社製品における脆弱性に関するアドバイザリを計5件（High 1件、Medium 4件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fortiguard.com/psirt

【7】複数のIntel製品に脆弱性
情報源
https://jvn.jp/vu/JVNVU91449435/

概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center Advisoriesが公開されました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.intel.com/content/www/us/en/security-center/default.html

【8】Panasonic製Control FPWIN Pro7に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU92102247/

概要
Panasonicが提供するControl FPWIN Pro7には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://holdings.panasonic/global/corporate/product-security/psirt/advisories.html

https://www3.panasonic.biz/ac/j/dl/software/index.jsp?series_cd=3359

【9】複数のTP-Link製品にOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU91401812/

概要
TP-Linkが提供する複数の製品には、OSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.tp-link.com/jp/support/download/

【10】Ivanti Connect SecureおよびIvanti Policy Secureに複数の脆弱性
情報源
https://www.jpcert.or.jp/at/2024/at240002.html

概要
IvantiはIvanti Connect Secure（旧：Pulse Connect Secure）およびIvanti Policy Secureゲートウェイにおける脆弱性に関するアドバイザリを公開しました。JPCERT/CCは、本脆弱性を悪用したとみられる攻撃が国内組織に対しても行われた可能性があることを確認しています。同製品を利用している場合は速やかに対処や調査などの実施を検討してください。
関連文書
https://jvn.jp/vu/JVNVU92420039/

https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways

https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways

目　次
【1】Juniper Secure Analyticsに複数の脆弱性
【2】SSH接続の安全性を低下させる攻撃手法Terrapin Attackについて
【3】PowerCMSに複数の脆弱性
【4】バッファロー製VR-S1000に複数の脆弱性
【5】Barracuda ESGおよびPerlモジュール「Spreadsheet::ParseExcel」の脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Juniper Secure Analyticsに複数の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/02/juniper-releases-security-advisory-juniper-secure-analytics

概要
Juniper Networksが提供するJuniper Secure Analyticsには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://supportportal.juniper.net/s/article/2023-12-Security-Bulletin-JSA-Series-Multiple-vulnerabilities-resolved

【2】SSH接続の安全性を低下させる攻撃手法Terrapin Attackについて
情報源
https://jvn.jp/ta/JVNTA95077890/

概要
SSH接続においてハンドシェイク中にシーケンス番号を不正に操作をすることで接続の安全性を低下させる攻撃手法「Terrapin Attack」が報告されています。使用するSSH実装のアップデート情報を注視し、パッチやアップデートを適用してください。
関連文書
https://terrapin-attack.com/

【3】PowerCMSに複数の脆弱性
情報源
https://jvn.jp/jp/JVN32646742/

概要
アルファサード株式会社が提供するPowerCMSには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.powercms.jp/news/release-powercms-202312.html

【4】バッファロー製VR-S1000に複数の脆弱性
情報源
https://jvn.jp/jp/JVN23771490/

概要
株式会社バッファローが提供するVR-S1000には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.buffalo.jp/news/detail/20231225-01.html

【5】Barracuda ESGおよびPerlモジュール「Spreadsheet::ParseExcel」の脆弱性
情報源
https://www.ipa.go.jp/security/security-alert/2023/alert20231225.html

概要
Barracuda Networksが提供するBarracuda Email Security Gateway（ESG）には、任意のコード実行の脆弱性（CVE-2023-7102）があります。これはPerlモジュール「Spreadsheet::ParseExcel」の脆弱性（CVE-2023-7101）に起因するものです。開発者が提供する最新の情報を参考に、脆弱性を修正するアップデートが適用されているか確認してください。また、「Spreadsheet::ParseExcel」を利用している製品開発者などは同モジュールを最新のバージョンへアップデートしてください。
関連文書
https://www.barracuda.com/company/legal/esg-vulnerability

https://metacpan.org/dist/Spreadsheet-ParseExcel/changes