■03/17(日)~03/23(土) のセキュリティ関連情報
目 次
【1】KDDI製ホームゲートウェイHGW BL1500HMにおける複数の脆弱性
【2】バッファロー製LinkStation 200シリーズにおける任意コード実行の脆弱性
【3】複数のIvanti製品に脆弱性
【4】UDPベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性
【5】Google Chromeに複数の脆弱性
【6】複数のMozilla製品に脆弱性
【7】複数のAtlassian製品に脆弱性
【8】FitNesseに複数の脆弱性
【9】経済産業省が「電力システムにおけるサイバーセキュリティリスク点検ガイド」と「電力システムにおけるサイバーセキュリティ対策状況可視化ツール」を公表
【10】経済産業省が「クレジットカード・セキュリティガイドライン【5.0版】」を公表
【11】JPCERT/CCが「JSAC2024開催レポート Workshop & Lightning Talk」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】KDDI製ホームゲートウェイHGW BL1500HMにおける複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU93546510/
概要
KDDI株式会社が提供するホームゲートウェイHGW BL1500HMには、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.au.com/support/service/internet/guide/modem/bl1500hm/firmware/
【2】バッファロー製LinkStation 200シリーズにおける任意コード実行の脆弱性
情報源
https://jvn.jp/vu/JVNVU90953541/
概要
株式会社バッファローが提供するLinkStation 200シリーズには、ダウンロードしたデータの完全性検証が十分に行われていないことに起因して、任意のコード実行が可能となる脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.buffalo.jp/news/detail/20240321-01.html
【3】複数のIvanti製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/03/21/ivanti-releases-security-updates-neurons-itsm-and-standalone-sentry
概要
Ivanti Neurons for ITSMおよびIvanti Standalone Sentryには、それぞれ脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
関連文書
https://forums.ivanti.com/s/article/SA-CVE-2023-46808-Authenticated-Remote-File-Write-for-Ivanti-Neurons-for-ITSM
https://forums.ivanti.com/s/article/CVE-2023-41724-Remote-Code-Execution-for-Ivanti-Standalone-Sentry
【4】UDPベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性
情報源
https://jvn.jp/vu/JVNVU93188600/
概要
UDPを利用するアプリケーション層のプロトコル実装には、サービス運用妨害(DoS)の脆弱性があります。各開発者が提供するアップデートの適用、もしくはワークアラウンドの実施が推奨されています。詳細は、各開発者が提供する情報を参照してください。
関連文書
https://kb.cert.org/vuls/id/417980
【5】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2024/03/stable-channel-update-for-desktop_19.html
概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【6】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2024-12/
概要
複数のMozilla製品には、脆弱性があります。対象はFirefox、Firefox ESR、Thunderbirdです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2024-14/
https://www.mozilla.org/en-US/security/advisories/mfsa2024-13/
【7】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/security-bulletin-march-19-2024-1369444862.html
概要
複数のAtlassian製品には、脆弱性があります。対象はConfluence Server、Confluence Data Center、Jira Software Server、Jira Software Data Center、Bitbucket Server、Bitbucket Data Center、Bamboo ServerおよびBamboo Data Centerです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【8】FitNesseに複数の脆弱性
情報源
https://jvn.jp/jp/JVN94521208/
概要
ソフトウェアテストフレームワークFitNesseには、当該製品のユーザーにより任意のOSコマンドを実行されるなどの複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://fitnesse.org/FitNesseDownload
【9】経済産業省が「電力システムにおけるサイバーセキュリティリスク点検ガイド」と「電力システムにおけるサイバーセキュリティ対策状況可視化ツール」を公表
情報源
https://www.meti.go.jp/press/2023/03/20240322003/20240322003.html
概要
2024年3月22日、経済産業省が「電力システムにおけるサイバーセキュリティリスク点検ガイド」と「電力システムにおけるサイバーセキュリティ対策状況可視化ツール」を公表しました。これらの文書は、主に発電事業者、小売り電気事業者、アグリゲーター、自家用電気工作物設備設置者が保有する電力制御システムおよびITシステムを対象としています。
【10】経済産業省が「クレジットカード・セキュリティガイドライン【5.0版】」を公表
情報源
https://www.meti.go.jp/press/2023/03/20240315002/20240315002.html
概要
2024年3月15日、経済産業省が「クレジットカード・セキュリティガイドライン」を改訂し、5.0版を公表しました。本文書は、クレジットカード会社、加盟店、PSP(Payment Service Provider)等のクレジットカード決済に関係する事業者が実施すべきクレジットカード情報の漏えいおよび不正利用防止のためのセキュリティ対策の取組を取りまとめたものです。
【11】JPCERT/CCが「JSAC2024開催レポート Workshop & Lightning Talk」を公開
情報源
https://blogs.jpcert.or.jp/ja/2024/03/jsac2024-workshop-lightning-talk.html
概要
2024年3月18日、JPCERT/CCはブログ「JSAC2024開催レポート Workshop & Lightning Talk」を公開しました。本稿では、JSAC2024の2日目に行われたワークショップやライトニングトーク、3月7日に行われたAfter JSAC2024の様子を紹介しています。1日目、2日目の講演の様子については関連文書を参照してください。
関連文書
https://blogs.jpcert.or.jp/ja/2024/03/jsac2024day1.html
https://blogs.jpcert.or.jp/ja/2024/03/jsac2024day2.html