ミニ・いんふぉめーしょん

目　次
【1】ＫＤＤＩ製ホームゲートウェイHGW BL1500HMにおける複数の脆弱性
【2】バッファロー製LinkStation 200シリーズにおける任意コード実行の脆弱性
【3】複数のIvanti製品に脆弱性
【4】UDPベースのアプリケーション層プロトコル実装にサービス運用妨害（DoS）の脆弱性
【5】Google Chromeに複数の脆弱性
【6】複数のMozilla製品に脆弱性
【7】複数のAtlassian製品に脆弱性
【8】FitNesseに複数の脆弱性
【9】経済産業省が「電力システムにおけるサイバーセキュリティリスク点検ガイド」と「電力システムにおけるサイバーセキュリティ対策状況可視化ツール」を公表
【10】経済産業省が「クレジットカード・セキュリティガイドライン【5.0版】」を公表
【11】JPCERT/CCが「JSAC2024開催レポート Workshop & Lightning Talk」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】ＫＤＤＩ製ホームゲートウェイHGW BL1500HMにおける複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU93546510/

概要
ＫＤＤＩ株式会社が提供するホームゲートウェイHGW BL1500HMには、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.au.com/support/service/internet/guide/modem/bl1500hm/firmware/

【2】バッファロー製LinkStation 200シリーズにおける任意コード実行の脆弱性
情報源
https://jvn.jp/vu/JVNVU90953541/

概要
株式会社バッファローが提供するLinkStation 200シリーズには、ダウンロードしたデータの完全性検証が十分に行われていないことに起因して、任意のコード実行が可能となる脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.buffalo.jp/news/detail/20240321-01.html

【3】複数のIvanti製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/03/21/ivanti-releases-security-updates-neurons-itsm-and-standalone-sentry

概要
Ivanti Neurons for ITSMおよびIvanti Standalone Sentryには、それぞれ脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
関連文書
https://forums.ivanti.com/s/article/SA-CVE-2023-46808-Authenticated-Remote-File-Write-for-Ivanti-Neurons-for-ITSM

https://forums.ivanti.com/s/article/CVE-2023-41724-Remote-Code-Execution-for-Ivanti-Standalone-Sentry

【4】UDPベースのアプリケーション層プロトコル実装にサービス運用妨害（DoS）の脆弱性
情報源
https://jvn.jp/vu/JVNVU93188600/

概要
UDPを利用するアプリケーション層のプロトコル実装には、サービス運用妨害（DoS）の脆弱性があります。各開発者が提供するアップデートの適用、もしくはワークアラウンドの実施が推奨されています。詳細は、各開発者が提供する情報を参照してください。
関連文書
https://kb.cert.org/vuls/id/417980

【5】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2024/03/stable-channel-update-for-desktop_19.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【6】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2024-12/

概要
複数のMozilla製品には、脆弱性があります。対象はFirefox、Firefox ESR、Thunderbirdです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2024-14/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-13/

【7】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/security-bulletin-march-19-2024-1369444862.html

概要
複数のAtlassian製品には、脆弱性があります。対象はConfluence Server、Confluence Data Center、Jira Software Server、Jira Software Data Center、Bitbucket Server、Bitbucket Data Center、Bamboo ServerおよびBamboo Data Centerです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【8】FitNesseに複数の脆弱性
情報源
https://jvn.jp/jp/JVN94521208/

概要
ソフトウェアテストフレームワークFitNesseには、当該製品のユーザーにより任意のOSコマンドを実行されるなどの複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://fitnesse.org/FitNesseDownload

【9】経済産業省が「電力システムにおけるサイバーセキュリティリスク点検ガイド」と「電力システムにおけるサイバーセキュリティ対策状況可視化ツール」を公表
情報源
https://www.meti.go.jp/press/2023/03/20240322003/20240322003.html

概要
2024年3月22日、経済産業省が「電力システムにおけるサイバーセキュリティリスク点検ガイド」と「電力システムにおけるサイバーセキュリティ対策状況可視化ツール」を公表しました。これらの文書は、主に発電事業者、小売り電気事業者、アグリゲーター、自家用電気工作物設備設置者が保有する電力制御システムおよびITシステムを対象としています。

【10】経済産業省が「クレジットカード・セキュリティガイドライン【5.0版】」を公表
情報源
https://www.meti.go.jp/press/2023/03/20240315002/20240315002.html

概要
2024年3月15日、経済産業省が「クレジットカード・セキュリティガイドライン」を改訂し、5.0版を公表しました。本文書は、クレジットカード会社、加盟店、PSP（Payment Service Provider）等のクレジットカード決済に関係する事業者が実施すべきクレジットカード情報の漏えいおよび不正利用防止のためのセキュリティ対策の取組を取りまとめたものです。

【11】JPCERT/CCが「JSAC2024開催レポート Workshop & Lightning Talk」を公開
情報源
https://blogs.jpcert.or.jp/ja/2024/03/jsac2024-workshop-lightning-talk.html

概要
2024年3月18日、JPCERT/CCはブログ「JSAC2024開催レポート Workshop & Lightning Talk」を公開しました。本稿では、JSAC2024の2日目に行われたワークショップやライトニングトーク、3月7日に行われたAfter JSAC2024の様子を紹介しています。1日目、2日目の講演の様子については関連文書を参照してください。
関連文書
https://blogs.jpcert.or.jp/ja/2024/03/jsac2024day1.html

https://blogs.jpcert.or.jp/ja/2024/03/jsac2024day2.html

目　次
【1】Androidアプリ「ABEMA（アベマ）」にアクセス制限不備の脆弱性
【2】複数のCisco製品に脆弱性
【3】複数ベンダーのCPUに投機的実行機能に関する脆弱性
【4】Apache Tomcatに複数のサービス運用妨害（DoS）の脆弱性
【5】複数のアドビ製品に脆弱性
【6】複数のマイクロソフト製品に脆弱性
【7】複数のFortinet製品に脆弱性
【8】複数のIntel製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Androidアプリ「ABEMA（アベマ）」にアクセス制限不備の脆弱性
情報源
https://jvn.jp/jp/JVN70640802/

概要
株式会社AbemaTVが提供するAndroidアプリ「ABEMA（アベマ）」には、アクセス制限不備の脆弱性があります。この問題は、当該アプリを修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】複数のCisco製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/03/14/cisco-releases-security-updates-ios-xr-software

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計7件（High 3件、Medium 4件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【3】複数ベンダーのCPUに投機的実行機能に関する脆弱性
情報源
https://kb.cert.org/vuls/id/488902

概要
投機的実行機能を持つCPUに影響を及ぼす投機的競合状態（Speculative Race Condition：SRC）の脆弱性、「GhostRace」が報告されています。幾つかの製品ベンダーは、この問題への対策に関する情報を提供しています。CERT/CCは、この問題に関して製品ベンダーの対応状況を横断的に示していますので、ご確認のうえ対処をご検討ください。
関連文書
https://ibm.github.io/system-security-research-updates/2024/03/12/ghostrace

https://www.vusec.net/projects/ghostrace/

【4】Apache Tomcatに複数のサービス運用妨害（DoS）の脆弱性
情報源
https://jvn.jp/vu/JVNVU99626420/

概要
Apache Tomcatには、複数のサービス運用妨害（DoS）の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M17

https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.19

https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.86

https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.99

【5】複数のアドビ製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/03/12/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品に関する脆弱性が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://helpx.adobe.com/security/products/experience-manager/apsb24-05.html

https://helpx.adobe.com/security/products/premiere_pro/apsb24-12.html

https://helpx.adobe.com/security/products/coldfusion/apsb24-14.html

https://helpx.adobe.com/security/products/bridge/apsb24-15.html

https://helpx.adobe.com/security/products/lightroom/apsb24-17.html

https://helpx.adobe.com/security/products/animate/apsb24-19.html

【6】複数のマイクロソフト製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/03/12/microsoft-releases-security-updates-multiple-products

概要
複数のマイクロソフト製品に関する脆弱性が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2024/at240007.html

【7】複数のFortinet製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/03/12/fortinet-releases-security-updates-multiple-products

概要
Fortinetは同社製品における脆弱性に関するアドバイザリを計8件（Critical 2件、High 3件、Medium 2件、Low 1件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fortiguard.com/psirt

【8】複数のIntel製品に脆弱性
情報源
https://jvn.jp/vu/JVNVU95993502/

概要
Intelは複数の製品に含まれる脆弱性に対応したIntel Product Security Center Advisoriesを公開しました。対象となる製品およびバージョンは多岐にわたります。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.intel.com/content/www/us/en/security-center/default.html

目　次
【1】複数のApple製品に脆弱性
【2】複数のCisco製品に脆弱性
【3】a-blog cmsにディレクトリトラバーサルの脆弱性
【4】SKYSEA Client Viewに複数の脆弱性
【5】複数のVMware製品に脆弱性
【6】富士フイルムビジネスイノベーション製プリンターにクロスサイトリクエストフォージェリの脆弱性
【7】ブラザー製Web Based Managementを実装しているプリンターやスキャナーに複数の脆弱性
【8】スマートフォンアプリ「東横INN公式アプリ」にサーバ証明書の検証不備の脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/03/07/apple-releases-security-updates-ios-and-ipados

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。Appleは脆弱性を悪用された可能性があるという報告を確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/HT201222

https://www.jpcert.or.jp/newsflash/2024030601.html

【2】複数のCisco製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/03/07/cisco-releases-security-updates-secure-client

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計7件（High 2件、Medium 5件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【3】a-blog cmsにディレクトリトラバーサルの脆弱性
情報源
https://jvn.jp/jp/JVN48443978/

概要
有限会社アップルップルが提供するa-blog cmsには、ディレクトリトラバーサルの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。なお、当該一部製品はすでにサポートを終了しており、開発者は回避策を提供しています。詳細は開発者が提供する情報を参照してください。
関連文書
https://developer.a-blogcms.jp/blog/news/JVN-48443978.html

【4】SKYSEA Client Viewに複数の脆弱性
情報源
https://jvn.jp/jp/JVN54451757/

概要
Sky株式会社が提供するSKYSEA Client Viewには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新するか、パッチを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.skyseaclientview.net/news/240307_01/

【5】複数のVMware製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/03/06/vmware-releases-security-advisory-multiple-products

概要
複数のVMware製品には、脆弱性があります。VMware ESXi、VMware Workstation、VMware Fusion、VMware Cloud Foundation、VMware Cloud Directorが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.vmware.com/security/advisories/VMSA-2024-0006.html

https://www.vmware.com/security/advisories/VMSA-2024-0007.html

【6】富士フイルムビジネスイノベーション製プリンターにクロスサイトリクエストフォージェリの脆弱性
情報源
https://jvn.jp/jp/JVN34328023/

概要
富士フイルムビジネスイノベーション製プリンターには、クロスサイトリクエストフォージェリの脆弱性があります。この問題は、回避策を適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fujifilm.com/fb/company/news/notice/2024/0306_2_announce.html

【7】ブラザー製Web Based Managementを実装しているプリンターやスキャナーに複数の脆弱性
情報源
https://jvn.jp/jp/JVN82749078/

概要
ブラザー工業株式会社が提供するWeb Based Managementを実装しているプリンターやスキャナーには、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は各開発者が提供する情報を参照してください。
関連文書
https://faq.brother.co.jp/app/answers/detail/a_id/13704

https://www.fujifilm.com/fb/company/news/notice/2024/0306_1_announce.html

https://www.toshibatec.co.jp/information/20240306_01.html

https://www.ricoh.com/products/security/vulnerabilities/vul?id=ricoh-2024-000002

【8】スマートフォンアプリ「東横INN公式アプリ」にサーバ証明書の検証不備の脆弱性
情報源
https://jvn.jp/jp/JVN52919306/

概要
株式会社東横インIT集客ソリューションが提供するスマートフォンアプリ「東横INN公式アプリ」には、サーバ証明書の検証不備の脆弱性があります。この問題は、当該アプリを修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

目　次
【1】OET-213H-BTS1に不適切な初期設定
【2】RevoWorks製品に保護メカニズムの不具合の脆弱性
【3】OpenPNE用プラグインopTimelinePluginにクロスサイトスクリプティングの脆弱性
【4】複数のCisco製品に脆弱性
【5】Google Chromeに複数の脆弱性
【6】baserCMSに複数の脆弱性
【7】IPAが「情報セキュリティ10大脅威 2024 解説書」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】OET-213H-BTS1に不適切な初期設定
情報源
https://jvn.jp/jp/JVN77203800/

概要
Uniview社が開発しアツミ電氣株式会社が提供するOET-213H-BTS1には、不適切な初期設定の問題があります。この問題は、設定を更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.atsumi.co.jp/info-20240229.html

https://www.atsumi.co.jp/pdf/oet-213h-bts1.pdf

【2】RevoWorks製品に保護メカニズムの不具合の脆弱性
情報源
https://jvn.jp/jp/JVN35928117/

概要
ジェイズ・コミュニケーション株式会社が提供するRevoWorks製品には、保護メカニズムの不具合の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新するかワークアラウンドを実施することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://jscom.jp/news-20240229/

【3】OpenPNE用プラグインopTimelinePluginにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN78084105/

概要
OpenPNEプロジェクトが提供するOpenPNE用プラグインopTimelinePluginには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
http://www.openpne.jp/archives/13458/

【4】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-ebgp-dos-L3QCwVJ

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計5件（High 2件、Medium 3件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【5】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2024/02/stable-channel-update-for-desktop_27.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【6】baserCMSに複数の脆弱性
情報源
https://jvn.jp/jp/JVN73283159/

概要
baserCMSユーザー会が提供するbaserCMSには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://basercms.net/security/JVN_73283159

【7】IPAが「情報セキュリティ10大脅威 2024 解説書」を公開
情報源
https://www.ipa.go.jp/security/10threats/nq6ept000000g22h-att/kaisetsu_2024.pdf

概要
2024年2月29日、IPAは「情報セキュリティ10大脅威 2024 解説書」を公開しました。2023年に発生した情報セキュリティにおける事案をもとに選出した、社会的に影響が大きかったと考えられる10大脅威に関して、手口や対策を解説しています。