■01/14(日)~01/20(土) のセキュリティ関連情報
目 次
【1】FusionPBXにクロスサイトスクリプティングの脆弱性
【2】NetScaler ADCおよびNetScaler Gatewayに複数の脆弱性
【3】Drupal coreにサービス拒否(DoS)の脆弱性
【4】Confluence ServerおよびData Centerにリモートコード実行の脆弱性
【5】2024年1月Oracle Critical Patch Updateについて
【6】GPUカーネル実装に情報漏えいの脆弱性
【7】複数のDahua Technology製品に認証不備の脆弱性
【8】VMware Aria Automationに不適切なアクセス制御の脆弱性
【9】EDK2 NetworkPkg IPスタック実装に複数の脆弱性
【10】複数のSMTP実装にSMTPのデータの終端の処理に関する問題
【11】Google Chromeに複数の脆弱性
【12】OpenSSLにおける不正なRSA公開鍵のチェックに時間を要する問題
【13】プリザンターにクロスサイトスクリプティングの脆弱性
【14】JPCERT/CCが2023年10月-2023年12月分の「活動四半期レポート」などを公開
【15】GitLab Community EditionおよびEnterprise Editionのパスワードリセット機能の脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】FusionPBXにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN67215338/
概要
FusionPBXには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://github.com/fusionpbx/fusionpbx/releases/tag/5.1.0
【2】NetScaler ADCおよびNetScaler Gatewayに複数の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/18/citrix-releases-security-updates-netscaler-adc-and-netscaler-gateway
概要
NetScaler ADCおよびNetScaler Gatewayには、複数の脆弱性があります。Cloud Software Groupは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.citrix.com/article/CTX584986/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20236548-and-cve20236549
【3】Drupal coreにサービス拒否(DoS)の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/18/drupal-releases-security-advisory-drupal-core
概要
Drupal coreには、サービス拒否(DoS)の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、Drupalが提供する情報を参照してください。
関連文書
https://www.drupal.org/sa-core-2024-001
【4】Confluence ServerおよびData Centerにリモートコード実行の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/18/atlassian-releases-security-updates-multiple-products
概要
AtlassianのConfluence ServerおよびData Centerには、リモートコード実行が可能となる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://confluence.atlassian.com/security/cve-2023-22527-rce-remote-code-execution-vulnerability-in-confluence-data-center-and-confluence-server-1333990257.html
【5】2024年1月Oracle Critical Patch Updateについて
情報源
https://www.cisa.gov/news-events/alerts/2024/01/18/oracle-releases-critical-patch-update-advisory-january-2024
概要
Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公開されました。詳細は、Oracleが提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2024/at240003.html
https://www.oracle.com/security-alerts/cpujan2024.html
【6】GPUカーネル実装に情報漏えいの脆弱性
情報源
https://jvn.jp/vu/JVNVU97951800/
概要
GPUカーネルの実装には、情報漏えいの脆弱性があります。参考情報をもとに、ソフトウェア開発に使用するGPU関連のライブラリを最新版にアップデートしてください。また、GPUベンダーが提供する情報をもとに、GPUを使用する処理を実装する際にはデータが適切に保護されることを確認してください。
関連文書
https://kb.cert.org/vuls/id/446598
【7】複数のDahua Technology製品に認証不備の脆弱性
情報源
https://jvn.jp/jp/JVN83655695/
概要
複数のDahua Technology製品には、認証不備の脆弱性があります。本脆弱性に関するアドバイザリは、2021年9月に開発者により公開されましたが、影響製品が新たに検出されています。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.dahuasecurity.com/aboutUs/trustedCenter/details/582
【8】VMware Aria Automationに不適切なアクセス制御の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/17/vmware-releases-security-advisory-aria-operations
概要
VMware Aria Automationには、不適切なアクセス制御の脆弱性があります。この問題は、該当製品に開発者が提供する修正パッチを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.vmware.com/security/advisories/VMSA-2024-0001.html
【9】EDK2 NetworkPkg IPスタック実装に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU96957535/
概要
Tianocoreプロジェクトが提供するEDK2 NetworkPkg IPスタック実装には、複数の脆弱性があります。2024年1月17日時点で、本脆弱性の内の7つはTianocoreプロジェクトによってパッチが提供されています。開発者が提供する最新の情報を確認のうえ、ファームウェアを最新版にアップデートしてください。
関連文書
https://kb.cert.org/vuls/id/132380
【10】複数のSMTP実装にSMTPのデータの終端の処理に関する問題
情報源
https://jvn.jp/vu/JVNVU94855660/
概要
複数のSMTP実装に対して、データの終わりを宣言する文字の解釈が異なることによる問題が報告されています。本問題が悪用された場合、認証メカニズムをバイパスしてなりすましメールを送信される可能性があります。使用している電子メールサービスのベンダーが提供する情報を注視し、回避策やパッチなどを適用してください。
関連文書
https://kb.cert.org/vuls/id/302671
【11】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_16.html
概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。Googleは今回修正された脆弱性の一部を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
【12】OpenSSLにおける不正なRSA公開鍵のチェックに時間を要する問題
情報源
https://jvn.jp/vu/JVNVU90782686/
概要
OpenSSLのEVP_PKEY_public_check()関数を使用してRSA公開鍵をチェックする際、大きすぎる素数の積で構成されたRSA公開鍵のチェックに非常に長い時間を要する問題があります。この問題に対しては、OpenSSL gitリポジトリーで修正commitが提供されています。次回リリースで今回のパッチを反映する予定とのことです。詳細はOpenSSL Projectが提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20240115.txt
https://github.com/openssl/openssl/commit/0b0f7abfb37350794a4b8960fafc292cd5d1b84d
https://github.com/openssl/openssl/commit/a830f551557d3d66a84bbb18a5b889c640c36294
https://github.com/openssl/openssl/commit/18c02492138d1eb8b6548cb26e7b625fb2414a2a
【13】プリザンターにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN51135247/
概要
株式会社インプリムが提供するプリザンターには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://pleasanter.org/archives/vulnerability-update-202401
【14】JPCERT/CCが2023年10月-2023年12月分の「活動四半期レポート」などを公開
情報源
https://www.jpcert.or.jp/pr/2024/PR_Report2023Q3.pdf
概要
2024年1月18日、JPCERT/CCは2023年10月から12月分の「活動四半期レポート」「インシデント報告対応レポート」「ソフトウェア等の脆弱性関連情報に関する届出状況」を公開しました。本四半期中のJPCERT/CCの国内外の活動に加え、JPCERT/CCが報告を受け付けたインシデントの統計や事例などについてまとめています。参考資料としてご活用ください。
関連文書
https://www.jpcert.or.jp/pr/2024/IR_Report2023Q3.pdf
https://www.jpcert.or.jp/pr/2024/vulnREPORT_2023q4.pdf
【15】GitLab Community EditionおよびEnterprise Editionのパスワードリセット機能の脆弱性
情報源
https://www.jpcert.or.jp/newsflash/2024011601.html
概要
GitLabのGitLab Community EditionおよびEnterprise Editionのパスワードリセット機能に脆弱性があります。また、同脆弱性の実証コード(PoC)と見られる情報がすでに公開されています。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/