■01/21(日)~01/27(土) のセキュリティ関連情報
目 次
【1】OpenSSLにNULLポインタ参照の脆弱性
【2】複数のCisco Unified CommunicationsおよびContact Center Solutions製品にリモートコード実行の脆弱性
【3】複数のMozilla製品に脆弱性
【4】Androidアプリ「メルカリ」にアクセス制限不備の脆弱性
【5】複数のApple製品に脆弱性
【6】国土交通省が提供する電子納品チェックシステムおよび電子納品物検査支援システムにXML外部実体参照(XXE)に関する脆弱性
【7】電子納品チェックシステム(農林水産省農業農村整備事業版)にXML外部実体参照 (XXE) に関する脆弱性
【8】防衛省が提供する電子納品物作成支援ツールにXML外部実体参照 (XXE) に関する脆弱性
【9】ヤマハ製無線LANアクセスポイントに利用可能なデバッグ機能が存在している脆弱性
【10】エレコム製無線LANルーターにOSコマンドインジェクションの脆弱性
【11】アクセス解析CGI An-Analyzerにオープンリダイレクトの脆弱性
【12】a-blog cmsに複数の脆弱性
【13】Apache Tomcatに情報漏えいの脆弱性
【14】IPAが「情報セキュリティ10大脅威 2024」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】OpenSSLにNULLポインタ参照の脆弱性
情報源
https://jvn.jp/vu/JVNVU93108954/
概要
OpenSSLには、NULLポインタ参照の脆弱性があります。2024年1月31日現在、修正版は提供されていませんが、今後公開されるバージョンにおいて修正される予定です。 詳細は開発者が提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20240125.txt
【2】複数のCisco Unified CommunicationsおよびContact Center Solutions製品にリモートコード実行の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/25/cisco-releases-security-advisory-multiple-unified-communications-and-contact-center-solutions
概要
複数のCisco Unified CommunicationsおよびContact Center Solutions製品には、リモートコード実行が可能な脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-rce-bWNzQcUm
【3】複数のMozilla製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/24/mozilla-releases-security-updates-thunderbird-and-firefox
概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2024-01/
https://www.mozilla.org/en-US/security/advisories/mfsa2024-02/
https://www.mozilla.org/en-US/security/advisories/mfsa2024-04/
【4】Androidアプリ「メルカリ」にアクセス制限不備の脆弱性
情報源
https://jvn.jp/jp/JVN70818619/
概要
Androidアプリ「メルカリ」には、アクセス制限不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
【5】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/23/apple-releases-security-updates-multiple-products
概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。Appleは脆弱性を悪用された可能性があるという報告を確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/HT201222
https://www.jpcert.or.jp/newsflash/2024012301.html
【6】国土交通省が提供する電子納品チェックシステムおよび電子納品物検査支援システムにXML外部実体参照(XXE)に関する脆弱性
情報源
https://jvn.jp/jp/JVN77736613/
概要
国土交通省が提供する電子納品チェックシステムおよび電子納品物検査支援システムには、XML外部実体参照(XXE)に関する脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.ysk.nilim.go.jp/cals/
【7】電子納品チェックシステム(農林水産省農業農村整備事業版)にXML外部実体参照 (XXE) に関する脆弱性
情報源
https://jvn.jp/jp/JVN01434915/
概要
農林水産省が提供する電子納品チェックシステム(農林水産省農業農村整備事業版)には、XML外部実体参照 (XXE) に関する脆弱性あります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.maff.go.jp/j/nousin/seko/nouhin_youryou/densi.html
【8】防衛省が提供する電子納品物作成支援ツールにXML外部実体参照 (XXE) に関する脆弱性
情報源
https://jvn.jp/jp/JVN40049211/
概要
防衛省が提供する「電子納品物作成支援ツール(工事版)」および「電子納品物作成支援ツール(業務版)」には、XML外部実体参照 (XXE) に関する脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.dfeg.mod.go.jp/hp/contents-dfis/tool.html
【9】ヤマハ製無線LANアクセスポイントに利用可能なデバッグ機能が存在している脆弱性
情報源
https://jvn.jp/vu/JVNVU99896362/
概要
ヤマハ株式会社が提供する無線LANアクセスポイント製品には、利用可能なデバッグ機能が存在しています。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVNVU99896362.html
【10】エレコム製無線LANルーターにOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU90908488/
概要
エレコム株式会社が提供する複数の無線LANルーターには、OSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.elecom.co.jp/news/security/20240123-01/
【11】アクセス解析CGI An-Analyzerにオープンリダイレクトの脆弱性
情報源
https://jvn.jp/jp/JVN73587943/
概要
有限会社アングラーズネットが提供するアクセス解析CGI An-Analyzerには、オープンリダイレクトの脆弱性があります。この問題はワークアラウンドを実施することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.anglers-net.com/anlog/update/index.html
【12】a-blog cmsに複数の脆弱性
情報源
https://jvn.jp/jp/JVN34565930/
概要
a-blog cmsには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新し、特定のオプションを有効化することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://developer.a-blogcms.jp/blog/news/JVN-34565930.html
【13】Apache Tomcatに情報漏えいの脆弱性
情報源
https://jvn.jp/vu/JVNVU98698305/
概要
Apache Tomcatには、情報漏えいの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.44
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.64
【14】IPAが「情報セキュリティ10大脅威 2024」を公開
情報源
https://www.ipa.go.jp/security/10threats/10threats2024.html
概要
2024年1月24日、独立行政法人情報処理推進機構(IPA)は「情報セキュリティ10大脅威 2024」を公開しました。「情報セキュリティ10大脅威 2024」は、2023年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。