■06/16(日)~06/22(土) のセキュリティ関連情報
目 次
【1】LINE client for iOSにユニバーサルクロスサイトスクリプティングの脆弱性
【2】IPAが「VMware 製品の脆弱性対策について(CVE-2024-37079 等) 」を公開
【3】複数のトレンドマイクロ製品に複数の脆弱性
【4】WordPress用プラグインSiteGuard WP Pluginに変更したログインパスが漏えいする脆弱性
【5】ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性
【6】IPAが「TLS暗号設定ガイドライン 安全なウェブサイトのために(暗号設定対策編)」を改訂
【7】JPCERT/CC および IPA が「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】LINE client for iOSにユニバーサルクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/vu/JVNVU91384468/
概要
LINE client for iOSのアプリ内ブラウザーには、ユニバーサルクロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://line.github.io/security-advisory-blog/CVE-2024-5739/
【2】IPAが「VMware 製品の脆弱性対策について(CVE-2024-37079 等) 」を公開
情報源
https://www.ipa.go.jp/security/security-alert/2024/alert20240619.html
概要
2024年6月19日、独立行政法人情報処理推進機構(IPA)は「VMware 製品の脆弱性対策について(CVE-2024-37079 等)」を公開しました。IPAによると、本脆弱性を悪用された場合、任意のコードを実行されたり、root権限に昇格される可能性があるとのことです。IPAは、修正プログラムの適用を推奨しています。
関連文書
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453
https://core.vmware.com/resource/vmsa-2024-0012-questions-answers
【3】複数のトレンドマイクロ製品に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU99027428/
概要
複数のトレンドマイクロ製品には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://success.trendmicro.com/dcx/s/solution/000298098?language=ja
https://success.trendmicro.com/dcx/s/solution/000298149?language=ja
https://success.trendmicro.com/dcx/s/solution/000298154?language=ja
【4】WordPress用プラグインSiteGuard WP Pluginに変更したログインパスが漏えいする脆弱性
情報源
https://jvn.jp/jp/JVN60331535/
概要
EGセキュアソリューションズが提供するWordPress用プラグインSiteGuard WP Pluginには、変更したログインパスへのアクセスが、 他のページからのリダイレクトにより可能になる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.jp-secure.com/siteguard_wp_plugin/vuls/WPV2024001.html
【5】ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性
情報源
https://jvn.jp/jp/JVN65171386/
概要
エフサステクノロジーズ株式会社が提供するID リンク・マネージャーおよびFUJITSU Software TIME CREATORには、複数の脆弱性があります。この問題は、当該製品にセキュリティパッチを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fujitsu.com/jp/group/fsas/about/resources/security/2024/0617.html
【6】IPAが「TLS暗号設定ガイドライン 安全なウェブサイトのために(暗号設定対策編)」を改訂
情報源
https://www.ipa.go.jp/security/crypto/guideline/ssl_crypt_config.html
概要
2024年6月21日、独立行政法人情報処理推進機構(IPA)は「TLS暗号設定ガイドライン 安全なウェブサイトのために(暗号設定対策編)」を改訂しました。TLSサーバーの構築者や運営者向けのガイドラインで、CRYPTREC暗号リストを更新するなどの改訂が行われています。チェックリストや設定例なども更新されています。
関連文書
https://www.ipa.go.jp/security/crypto/guideline/gmcbt80000005ufv-att/ipa-cryptrec-gl-3001-3.1.0.pdf
https://www.ipa.go.jp/security/crypto/guideline/gmcbt80000005ufv-att/ipa-cryptrec-gl-3001-3.1-checklists.pdf
https://www.ipa.go.jp/security/crypto/guideline/gmcbt80000005ufv-att/ipa-cryptrec-gl-3001-3.1-checklists.xlsx
【7】JPCERT/CC および IPA が「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂
情報源
https://www.ipa.go.jp/security/guide/vuln/partnership_guide.html
概要
2024年6月18日、JPCERT/CC と独立行政法人情報処理推進機構(IPA)は「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂しました。悪用を示す情報に関する取り扱いや検証ができない脆弱性等の取り扱いの整理、優先情報提供に関する取り扱いの規定改正の反映などを行っています。
関連文書
https://www.ipa.go.jp/security/guide/vuln/ug65p90000019by0-att/partnership_guideline.pdf
