■04/14(日)~04/20(土) のセキュリティ関連情報
目 次
【1】TensorFlowベースのKerasモデルに含まれるLambdaレイヤにコードインジェクションが発生する問題
【2】LINEヤフー社製Armeria-samlにおけるSAMLメッセージ取り扱い不備
【3】LINE client for iOSにおけるサーバ証明書の検証不備の脆弱性
【4】2024年4月Oracle Critical Patch Updateについて
【5】PuTTY SSHクライアントのECDSA署名処理に脆弱性
【6】WordPress用プラグインForminatorにおける複数の脆弱性
【7】Proscend Communications製M330-WおよびM330-W5におけるOSコマンドインジェクションの脆弱性
【8】バッファロー製無線LANルーターに複数の脆弱性
【9】経済産業省が「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」および「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊:スマート化を進める上でのポイント】」の英訳版を公表
【10】IPAが「アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃」に関する注意喚起を公表
【11】CISAが「Deploying AI Systems Securely」を公表
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】TensorFlowベースのKerasモデルに含まれるLambdaレイヤにコードインジェクションが発生する問題
情報源
https://jvn.jp/ta/JVNTA95942420/
概要
Keras 2.13より前のバージョンで作成されたTensorFlowベースのKerasモデルには、モデルに含まれるLambdaレイヤの安全性を確認できない問題があります。この問題は、バージョン 2.13以上のKeras 2またはKeras 3を利用し、モデルをロードする際はsafe_modeをTrueに設定することで解決します。詳細は、CERT/CCが提供する情報を参照してください。
関連文書
https://kb.cert.org/vuls/id/253266
【2】LINEヤフー社製Armeria-samlにおけるSAMLメッセージ取り扱い不備
情報源
https://jvn.jp/vu/JVNVU91216202/
概要
LINEヤフー株式会社が提供するArmeria-samlには、SAMLメッセージの取り扱いに不備があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://line.github.io/security-advisory-blog/CVE-2024-1735/
https://github.com/line/armeria/security/advisories/GHSA-4m6j-23p2-8c54
【3】LINE client for iOSにおけるサーバ証明書の検証不備の脆弱性
情報源
https://jvn.jp/vu/JVNVU91696361/
概要
LINE client for iOSに組み込まれている金融系モジュールには、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://line.github.io/security-advisory-blog/CVE-2023-5554/
【4】2024年4月Oracle Critical Patch Updateについて
情報源
https://www.cisa.gov/news-events/alerts/2024/04/18/oracle-releases-critical-patch-update-advisory-april-2024
概要
Oracleから、複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公表されました。詳細は、Oracleが提供する情報を参照してください。
関連文書
https://www.oracle.com/security-alerts/cpuapr2024.html
【5】PuTTY SSHクライアントのECDSA署名処理に脆弱性
情報源
https://jvn.jp/vu/JVNVU91264077/
概要
PuTTY SSHクライアントには、ECDSA署名処理の実装に脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。また、NIST P521秘密鍵を使用している場合は、鍵対の更新も必要になります。詳細は、ベンダーが提供する情報を参照してください。
関連文書
https://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/vuln-p521-bias.html
https://winscp.net/tracker/2285
https://gitlab.com/tortoisegit/tortoisegit/-/commit/e9c1f3f4d4e15060821978d7bf80a2ee9b6d1235
https://sourceforge.net/p/tortoisesvn/code/29685/
https://svn.filezilla-project.org/filezilla?revision=11142&view=revision
【6】WordPress用プラグインForminatorにおける複数の脆弱性
情報源
https://jvn.jp/jp/JVN50132400/
概要
WPMU DEVが提供するWordPress用プラグインForminatorには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://ja.wordpress.org/plugins/forminator/
https://wpmudev.com/
【7】Proscend Communications製M330-WおよびM330-W5におけるOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/jp/JVN23835228/
概要
Proscend Communications Inc.が提供するM330-WおよびM330-W5には、脆弱性があります。この問題は、修正済みのファームウェアに更新することで解決します。
関連文書
https://drive.google.com/file/d/1ouGAh6ty7G2VDlA5fc0aC246BsgcAzw6/view?usp=sharing
【8】バッファロー製無線LANルーターに複数の脆弱性
情報源
https://jvn.jp/jp/JVN58236836/
概要
株式会社バッファローが提供する無線LANルーターの複数のモデルには、脆弱性があります。対象となる製品は、多岐にわたります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.buffalo.jp/news/detail/20240410-01.html
【9】経済産業省が「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」および「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊:スマート化を進める上でのポイント】」の英訳版を公表
情報源
https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline.html
概要
2024年4月17日、経済産業省は「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」および「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊:スマート化を進める上でのポイント】」の英訳版を公表しました。本ガイドラインでは、工場システムのセキュリティ対策を実施する上で参照すべき考え方やステップを手引きとして示し 、必要最小限と考えられる対策事項として脅威に対する技術的な対策から運用・管理面の対策までを明記しています。
【10】IPAが「アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃」に関する注意喚起を公表
情報源
https://www.ipa.go.jp/security/security-alert/2024/alert_orb.html
概要
2024年4月18日、独立行政法人情報処理推進機構(IPA)は、「アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃」と題して注意喚起を公表しました。IPAによると、本脆弱性を悪用した攻撃による被害を確認しており、国内の複数組織においてwebshellが設置されていたとのことです。IPAは、当該製品を修正済みバージョンに更新することや、通信ログなどからの攻撃の被害を確認することを推奨しています。
関連文書
https://helpx.adobe.com/jp/security/products/coldfusion/apsb23-40.html
【11】CISAが「Deploying AI Systems Securely」を公表
情報源
https://www.cisa.gov/news-events/alerts/2024/04/15/joint-guidance-deploying-ai-systems-securely
概要
2024年4月15日、CISAが「Deploying AI Systems Securely」と題してガイダンスを公表しました。本ガイダンスは、外部で開発された人工知能(AI)システムを導入および運用するためのベストプラクティスを取りまとめたものです。
