ミニ・いんふぉめーしょん

目　次
【1】LINE client for iOSにユニバーサルクロスサイトスクリプティングの脆弱性
【2】IPAが「VMware 製品の脆弱性対策について(CVE-2024-37079 等) 」を公開
【3】複数のトレンドマイクロ製品に複数の脆弱性
【4】WordPress用プラグインSiteGuard WP Pluginに変更したログインパスが漏えいする脆弱性
【5】ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性
【6】IPAが「TLS暗号設定ガイドライン 安全なウェブサイトのために（暗号設定対策編）」を改訂
【7】JPCERT/CC および IPA が「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】LINE client for iOSにユニバーサルクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/vu/JVNVU91384468/

概要
LINE client for iOSのアプリ内ブラウザーには、ユニバーサルクロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://line.github.io/security-advisory-blog/CVE-2024-5739/

【2】IPAが「VMware 製品の脆弱性対策について(CVE-2024-37079 等) 」を公開
情報源
https://www.ipa.go.jp/security/security-alert/2024/alert20240619.html

概要
2024年6月19日、独立行政法人情報処理推進機構（IPA）は「VMware 製品の脆弱性対策について(CVE-2024-37079 等)」を公開しました。IPAによると、本脆弱性を悪用された場合、任意のコードを実行されたり、root権限に昇格される可能性があるとのことです。IPAは、修正プログラムの適用を推奨しています。
関連文書
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453

https://core.vmware.com/resource/vmsa-2024-0012-questions-answers

【3】複数のトレンドマイクロ製品に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU99027428/

概要
複数のトレンドマイクロ製品には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://success.trendmicro.com/dcx/s/solution/000298098?language=ja

https://success.trendmicro.com/dcx/s/solution/000298149?language=ja

https://success.trendmicro.com/dcx/s/solution/000298154?language=ja

【4】WordPress用プラグインSiteGuard WP Pluginに変更したログインパスが漏えいする脆弱性
情報源
https://jvn.jp/jp/JVN60331535/

概要
EGセキュアソリューションズが提供するWordPress用プラグインSiteGuard WP Pluginには、変更したログインパスへのアクセスが、 他のページからのリダイレクトにより可能になる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.jp-secure.com/siteguard_wp_plugin/vuls/WPV2024001.html

【5】ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性
情報源
https://jvn.jp/jp/JVN65171386/

概要
エフサステクノロジーズ株式会社が提供するID リンク・マネージャーおよびFUJITSU Software TIME CREATORには、複数の脆弱性があります。この問題は、当該製品にセキュリティパッチを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fujitsu.com/jp/group/fsas/about/resources/security/2024/0617.html

【6】IPAが「TLS暗号設定ガイドライン 安全なウェブサイトのために（暗号設定対策編）」を改訂
情報源
https://www.ipa.go.jp/security/crypto/guideline/ssl_crypt_config.html

概要
2024年6月21日、独立行政法人情報処理推進機構（IPA）は「TLS暗号設定ガイドライン 安全なウェブサイトのために（暗号設定対策編）」を改訂しました。TLSサーバーの構築者や運営者向けのガイドラインで、CRYPTREC暗号リストを更新するなどの改訂が行われています。チェックリストや設定例なども更新されています。
関連文書
https://www.ipa.go.jp/security/crypto/guideline/gmcbt80000005ufv-att/ipa-cryptrec-gl-3001-3.1.0.pdf

https://www.ipa.go.jp/security/crypto/guideline/gmcbt80000005ufv-att/ipa-cryptrec-gl-3001-3.1-checklists.pdf

https://www.ipa.go.jp/security/crypto/guideline/gmcbt80000005ufv-att/ipa-cryptrec-gl-3001-3.1-checklists.xlsx

【7】JPCERT/CC および IPA が「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂
情報源
https://www.ipa.go.jp/security/guide/vuln/partnership_guide.html

概要
2024年6月18日、JPCERT/CC と独立行政法人情報処理推進機構（IPA）は「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂しました。悪用を示す情報に関する取り扱いや検証ができない脆弱性等の取り扱いの整理、優先情報提供に関する取り扱いの規定改正の反映などを行っています。
関連文書
https://www.ipa.go.jp/security/guide/vuln/ug65p90000019by0-att/partnership_guideline.pdf

目　次
【1】東芝テック製および沖電気製複合機（MFP）に複数の脆弱性
【2】GitLabに複数の脆弱性
【3】IPCOMのWAF機能にサービス運用妨害（DoS）の脆弱性
【4】複数のMozilla製品に脆弱性
【5】Fortinet製FortiOSにスタックベースのバッファーオーバーフローの脆弱性
【6】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】東芝テック製および沖電気製複合機（MFP）に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU97136265/

概要
東芝テック製および沖電気製複合機（MFP）には、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、各開発者が提供する情報を参照してください。
関連文書
https://www.toshibatec.co.jp/information/20240531_01.html

https://www.oki.com/eu/printing/about-us/news-room/security-bulletins/2024/response-to-vulnerabilities-in-digital-multi-function-peripherals/

【2】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2024/06/12/patch-release-gitlab-17-0-2-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】IPCOMのWAF機能にサービス運用妨害（DoS）の脆弱性
情報源
https://jvn.jp/jp/JVN25594256/

概要
エフサステクノロジーズ株式会社が提供するIPCOMのWAF機能には、サービス運用妨害（DoS）の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fujitsu.com/jp/products/network/support/2024/ipcom-02/

【4】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2024-25/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Firefox for iOS、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2024-26/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-27/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-28/

【5】Fortinet製FortiOSにスタックベースのバッファーオーバーフローの脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/06/11/fortinet-releases-security-updates-fortios

概要
Fortinet製FortiOSには、スタックベースのバッファーオーバーフローの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新もしくは移行することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fortiguard.com/psirt/FG-IR-23-460

【6】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2024/at240012.html

概要
複数のマイクロソフト製品に関する脆弱性が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2024/06/202406-security-update/

目　次
【1】WordPress用プラグインMusic Store - WordPress eCommerceにSQLインジェクションの脆弱性
【2】スマートフォンアプリ「FreeFrom - the nostr client」に複数の脆弱性
【3】UNIVERSAL PASSPORT RXに複数の脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】WordPress用プラグインMusic Store - WordPress eCommerceにSQLインジェクションの脆弱性
情報源
https://jvn.jp/jp/JVN79213252/

概要
CodePeopleが提供するWordPress用プラグインMusic Store - WordPress eCommerceには、SQLインジェクションの脆弱性が存在します。この問題は、当該製品を修正済みのバージョンに更新することで解決します。

【2】スマートフォンアプリ「FreeFrom - the nostr client」に複数の脆弱性
情報源
https://jvn.jp/jp/JVN55045256/

概要
FreeFrom株式会社が提供するスマートフォンアプリ「FreeFrom - the nostr client」には、複数の脆弱性が存在します。 この問題は、当該製品を修正済みのバージョンに更新することで解決します。

【3】UNIVERSAL PASSPORT RXに複数の脆弱性
情報源
https://jvn.jp/jp/JVN43215077/

概要
日本システム技術株式会社が提供するUNIVERSAL PASSPORT RXには、複数の脆弱性が存在します。この問題は、当該製品を修正済みのバージョンに更新することで解決します。
■JPCERT/CCからのお願い
本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/

目　次
【1】シャープ製および東芝テック製の複合機（MFP）における複数の脆弱性
【2】セイコーソリューションズ製SkyBridge MB-A100/MB-A110およびSkyBridge BASIC MB-A130にコマンドインジェクションの脆弱性
【3】OpenSSLに解放済みメモリ使用（use-after-free）の脆弱性
【4】Redmine DMSF Pluginにパストラバーサルの脆弱性
【5】エレコム製無線ルーターにOSコマンドインジェクションの脆弱性
【6】UnifierおよびUnifier Castに複数の脆弱性
【7】IPAが「内部不正防止対策・体制整備等に関する中小企業等の状況調査」の2023年度報告書を公開
【8】複数のCheck Point Software Technologies製品のVPN機能に情報漏えいの脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】シャープ製および東芝テック製の複合機（MFP）における複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU93051062/

概要
シャープ製および東芝テック製の複合機（MFP）には、複数の脆弱性が存在します。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://jp.sharp/business/print/information/info_security_2024-05.html

https://www.toshibatec.co.jp/information/20240531_02.html

【2】セイコーソリューションズ製SkyBridge MB-A100/MB-A110およびSkyBridge BASIC MB-A130にコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU94872523/

概要
セイコーソリューションズ株式会社が提供するSkyBridge MB-A100/MB-A110およびSkyBridge BASIC MB-A130には、コマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.seiko-sol.co.jp/archives/82992/

【3】OpenSSLに解放済みメモリ使用（use-after-free）の脆弱性
情報源
https://jvn.jp/vu/JVNVU96872634/

概要
OpenSSLには、特定の条件下において解放済みメモリ使用（use-after-free）の脆弱性があります。本脆弱性の公表時点では修正版は提供されていませんが、今後公開されるバージョンにおいて修正される予定です。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20240528.txt

【4】Redmine DMSF Pluginにパストラバーサルの脆弱性
情報源
https://jvn.jp/jp/JVN22182715/

概要
Kontronが提供するRedmine DMSF Pluginには、パストラバーサルの脆弱性が存在します。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://github.com/danmunn/redmine_dmsf/blob/master/CHANGELOG.md#314-2024-05-06

【5】エレコム製無線ルーターにOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU97214223/

概要
エレコム株式会社が提供する無線ルーターには、OSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのファームウェアにアップデートすることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.elecom.co.jp/news/security/20240528-01/

【6】UnifierおよびUnifier Castに複数の脆弱性
情報源
https://jvn.jp/jp/JVN17680667/

概要
横河レンタ・リース株式会社が提供するUnifierおよびUnifier Castには、複数の脆弱性が存在します。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.yrl.com/fwp_support/info/khvu7f00000000q7.html

【7】IPAが「内部不正防止対策・体制整備等に関する中小企業等の状況調査」の2023年度報告書を公開
情報源
https://www.ipa.go.jp/security/reports/economics/ts-kanri/20240530.html

概要
IPAは、中小企業等における、「守るべき情報資産の認識不足や内部不正防止対策の取組の遅れ」など課題にまつわる実態調査を手掛けています。2023年度の取り組みとして、経営者の意識、基本方針の策定状況、組織体制の整備状況、対策の実態、企業の取り組み事例などの調査を実施し、報告書を公開しました。 中小企業の内部不正対策推進に資する内容となっています。

【8】複数のCheck Point Software Technologies製品のVPN機能に情報漏えいの脆弱性
情報源
https://www.jpcert.or.jp/newsflash/2024053001.html

概要
複数のCheck Point Software Technologies製品のVPN機能には、情報漏えいの脆弱性があります。この問題に対処するHotfixが提供されています。詳細は、開発者が提供する情報を参照してください。
関連文書
https://blog.checkpoint.com/security/enhance-your-vpn-security-posture