ミニ・いんふぉめーしょん

目　次
【1】スマートフォンアプリ「OfferBox」に秘密鍵がハードコードされている問題
【2】DHCPのオプション121を利用したVPNのカプセル化回避の問題
【3】Google Chromeに複数の脆弱性
【4】BIG-IP Next Central Managerに複数の脆弱性
【5】GitLabに複数の脆弱性
【6】トレンドマイクロ製ウイルスバスター クラウドにファイルリンク解決処理の不備
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】スマートフォンアプリ「OfferBox」に秘密鍵がハードコードされている問題
情報源
https://jvn.jp/jp/JVN83405304/

概要
株式会社i-plugが提供するスマートフォンアプリ「OfferBox」には、JWTの秘密鍵がハードコードされています。この秘密鍵は2024年5月8日に開発者によって無効化されており、対策前のバージョンであっても本脆弱性の影響は受けません。そのため、ユーザーは本脆弱性への対応について自発的行動を取る必要はありません。

【2】DHCPのオプション121を利用したVPNのカプセル化回避の問題
情報源
https://jvn.jp/ta/JVNTA94876636/

概要
DHCPのオプション121をサポートする環境でVPN接続する場合、トラフィックの宛先を強制的に変更し、VPNトンネル外に送信することでカプセル化を回避することができる問題（CVE-2024-3661）があります。RFC 3442仕様に従ってDHCPクライアントを実装し、DHCPのオプション121をサポートするオペレーティングシステムかつルーティングルールのみに依存してホストのトラフィックを保護するVPNを利用している場合、VPNを使用していない状態となったり、平文通信しているとすべての通信内容を取得されたりする可能性があります。VPN実装者が実施できる対策およびユーザーが実施できる対策について、情報源を確認のうえ対処を検討してください。
関連文書
https://www.leviathansecurity.com/research/tunnelvision

【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_9.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_7.html

【4】BIG-IP Next Central Managerに複数の脆弱性
情報源
https://my.f5.com/manage/s/article/K000138733

概要
F5 Networksが提供するBIG-IP Next Central Managerには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://my.f5.com/manage/s/article/K000138732

https://my.f5.com/manage/s/article/K000139404

【5】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2024/05/08/patch-release-gitlab-16-11-2-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【6】トレンドマイクロ製ウイルスバスター クラウドにファイルリンク解決処理の不備
情報源
https://jvn.jp/vu/JVNVU97614828/

概要
トレンドマイクロ株式会社が提供するウイルスバスター クラウドには、ファイルリンク解決処理に不備があります。この問題は、アップデートが自動的に配信・適用されて解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://helpcenter.trendmicro.com/ja-jp/article/tmka-12336

目　次
【1】Rプログラミング言語の実装における安全でないデータのデシリアライゼーションが発生する問題
【2】Google Chromeに複数の脆弱性
【3】複数のCisco製品に脆弱性
【4】GitLabに複数の脆弱性
【5】NETGEAR製ルーターにバッファオーバーフローの脆弱性
【6】RoamWiFi R10に複数の脆弱性
【7】 WindowsカーネルドライバーのIOCTL処理にアクセス制御不備の脆弱性
【8】オムロン製Sysmac Studio/CX-OneおよびCX-Programmerに複数の脆弱性
【9】総務省が「クラウドの設定ミス対策ガイドブック」を公開
【10】JPCERT/CCが「インターネット定点観測レポート（2024年 1-3月）」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Rプログラミング言語の実装における安全でないデータのデシリアライゼーションが発生する問題
情報源
https://jvn.jp/vu/JVNVU96606632/

概要
Rプログラミング言語の実装には、システム上で任意のコードが実行される問題があります。この問題は、修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://kb.cert.org/vuls/id/238194

【2】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2024/04/stable-channel-update-for-desktop_30.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://chromereleases.googleblog.com/2024/04/stable-channel-update-for-desktop_24.html

【3】複数のCisco製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/04/24/cisco-releases-security-updates-addressing-arcanedoor-vulnerabilities-cisco-firewall-platforms

概要
Ciscoが提供するCisco Adaptive Security Appliances、Cisco Firepower Threat DefenseおよびCisco IP Phoneには、複数の脆弱性（一部悪用あり）があります。当該製品の修正済みのバージョン、またはHotfixの提供状況など詳細について、開発者が提供する情報を参照して対処をご検討ください。
関連文書
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-websrvs-dos-X8gNucD2

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-rce-FLsNXF4h

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-cmd-inj-ZJV8Wysm

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipphone-multi-vulns-cXAhCvS

https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_attacks_event_response

【4】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2024/04/24/patch-release-gitlab-16-11-1-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】NETGEAR製ルーターにバッファオーバーフローの脆弱性
情報源
https://jvn.jp/vu/JVNVU91883072/

概要
NETGEARが提供する複数のルーター製品には、バッファオーバーフローの脆弱性があります。この問題は、当該製品を修正済みのファームウェアにアップデートすることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://kb.netgear.com/ja/000066096/

【6】RoamWiFi R10に複数の脆弱性
情報源
https://jvn.jp/jp/JVN62737544/

概要
RoamWiFi Technology Co., Ltd.が提供するRoamWiFi R10には、複数の脆弱性があります。この問題は、当該製品の電源を入れると、自動アップデートされて解決します。詳細は、開発者が提供する情報を参照してください。

【7】 WindowsカーネルドライバーのIOCTL処理にアクセス制御不備の脆弱性
情報源
https://jvn.jp/ta/JVNTA90371415/

概要
第三者が提供するWindowsカーネルドライバーに、IOCTL処理におけるアクセス制御不備の脆弱性が報告されています。カーネルドライバーが、IOCTLリクエストの処理に関してアクセス権限の設定や入力データの検証を適切に行っていない場合、予期せぬユーザに操作されたり、想定外の動作をさせられたりする可能性があります。ドライバーベンダが実施できる対策およびユーザが実施できる対策について、情報源を確認のうえ対処を検討してください。

【8】オムロン製Sysmac Studio/CX-OneおよびCX-Programmerに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU98274902/

概要
オムロン株式会社が提供するSysmac Studio/CX-OneおよびCX-Programmerには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fa.omron.co.jp/product/security/assets/pdf/ja/OMSR-2024-003_ja.pdf

https://www.fa.omron.co.jp/product/security/assets/pdf/ja/OMSR-2024-002_ja.pdf

【9】総務省が「クラウドの設定ミス対策ガイドブック」を公開
情報源
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00209.html

概要
総務省は、2023年10月に公開した「クラウドサービス利用・提供における適切な設定のためのガイドライン」の活用促進を図るため、その内容をわかりやすく解説した「クラウドの設定ミス対策ガイドブック」を2024年4月26日に公開しました。

【10】JPCERT/CCが「インターネット定点観測レポート（2024年 1-3月）」を公開
情報源
https://www.jpcert.or.jp/tsubame/report/report202401-03.html

概要
2024年5月2日、JPCERT/CCは「インターネット定点観測レポート（2024年 1-3月）」を公開しました。2024年1月から3月の間に、インターネット定点観測システム「TSUBAME」で観測した結果とその分析の概要について紹介しています。