ミニ・いんふぉめーしょん

目　次
【1】SonicOSに不適切なアクセス制御の脆弱性
【2】SolarWinds Web help deskにハードコードされた認証情報の脆弱性
【3】複数のセーフィー製品にサーバ証明書の検証不備の脆弱性
【4】スマートフォンアプリ「楽天市場アプリ」にアクセス制限不備の脆弱性
【5】JPCERT/CCが「TSUBAMEレポート Overflow（2024年4-6月）」を公表
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】SonicOSに不適切なアクセス制御の脆弱性
情報源
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0015

概要
SonicWallが提供するSonicOSには、不適切なアクセス制御の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】SolarWinds Web help deskにハードコードされた認証情報の脆弱性
情報源
https://support.solarwinds.com/SuccessCenter/s/article/SolarWinds-Web-Help-Desk-12-8-3-Hotfix-2

概要
SolarWinds Web help deskには、ハードコードされた認証情報の脆弱性があります。この問題は、当該製品にホットフィックスを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28987

【3】複数のセーフィー製品にサーバ証明書の検証不備の脆弱性
情報源
https://jvn.jp/jp/JVN83440451/

概要
セーフィー株式会社が提供する複数の製品には、サーバ証明書の検証不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://safie.jp/information/post_6933/

【4】スマートフォンアプリ「楽天市場アプリ」にアクセス制限不備の脆弱性
情報源
https://jvn.jp/jp/JVN56648919/

概要
楽天グループ株式会社が提供するスマートフォンアプリ「楽天市場アプリ」には、アクセス制限不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。

【5】JPCERT/CCが「TSUBAMEレポート Overflow（2024年4-6月）」を公表
情報源
https://blogs.jpcert.or.jp/ja/2024/08/tsubame_overflow_2024-04-06.html

概要
JPCERT/CCは、ブログ「TSUBAMEレポート Overflow（2024年4-6月）」を公表しました。2024年4-6月の観測結果として、海外に設置しているセンサーの観測動向の比較や、その他の活動などについて紹介しています。

目　次
【1】SolarWinds Web help deskにリモートコード実行の脆弱性
【2】複数のIntel製品に脆弱性
【3】複数のIvanti製品に脆弱性
【4】Zabbixに複数の脆弱性
【5】複数のアドビ製品に脆弱性
【6】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】SolarWinds Web help deskにリモートコード実行の脆弱性
情報源
https://support.solarwinds.com/SuccessCenter/s/article/WHD-12-8-3-Hotfix-1

概要
SolarWinds Web help deskには、リモートコード実行の脆弱性があります。この問題は、当該製品にホットフィックスを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28986

【2】複数のIntel製品に脆弱性
情報源
https://jvn.jp/vu/JVNVU98459170/

概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center Advisoriesが公開されました。対象となる製品およびバージョンは多岐にわたります。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.intel.com/content/www/us/en/security-center/default.html

【3】複数のIvanti製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/08/13/ivanti-releases-security-updates-avalanche-neurons-itsm-and-virtual-traffic-manager

概要
Ivanti Virtual Traffic Manager（vTM）、Ivanti Neurons for ITSMおよびIvanti Avalancheには、脆弱性があります。この問題は、当該製品にパッチを適用するか、修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Virtual-Traffic-Manager-vTM-CVE-2024-7593

https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Neurons-for-ITSM-CVE-2024-7569-CVE-2024-7570

https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Avalanche-6-4-4-CVE-2024-38652-CVE-2024-38653-CVE-2024-36136-CVE-2024-37399-CVE-2024-37373

【4】Zabbixに複数の脆弱性
情報源
https://support.zabbix.com/browse/ZBX-25016

概要
Zabbixには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.zabbix.com/browse/ZBX-25018

https://www.zabbix.com/security_advisories

【5】複数のアドビ製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2024/at240016.html

概要
複数のアドビ製品に関する脆弱性が公開されています。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://helpx.adobe.com/security.html

【6】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2024/at240015.html

概要
複数のマイクロソフト製品に関する脆弱性が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2024/08/202408-security-update/

目　次
【1】GitLabに複数の脆弱性
【2】Jenkinsに複数の脆弱性
【3】複数のMozilla製品に脆弱性
【4】リコーJavaTM PlatformのファームウェアアップデートによりTLS1.0、TLS1.1が有効になる脆弱性
【5】サイボウズ Officeにカスタムアプリに関する閲覧制限回避の脆弱性
【6】Google Chromeに複数の脆弱性
【7】Kibanaに任意コード実行の脆弱性
【8】ゼクセロン製ZWX-2000CSW2-HNに複数の脆弱性
【9】JPCERT/CCが「インターネット定点観測レポート（2024年 4-6月）」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2024/08/07/patch-release-gitlab-17-2-2-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】Jenkinsに複数の脆弱性
情報源
https://www.jenkins.io/security/advisory/2024-08-07/

概要
Jenkinsには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2024-33/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Firefox for iOS、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2024-34/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-35/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-36/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-37/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-38/

【4】リコーJavaTM PlatformのファームウェアアップデートによりTLS1.0、TLS1.1が有効になる脆弱性
情報源
https://jvn.jp/jp/JVN78728294/

概要
株式会社リコーが提供するプリンターおよび複合機の拡張機能JavaTM Platformには、ファームウェアのアップデートによってTLS1.0、TLS1.1が有効になる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。なお、更新後はTLSが意図する設定になっているか確認してください。詳細は、開発者が提供する情報を参照してください。
関連文書
https://jp.ricoh.com/security/products/vulnerabilities/vul?id=ricoh-2024-000010

【5】サイボウズ Officeにカスタムアプリに関する閲覧制限回避の脆弱性
情報源
https://jvn.jp/jp/JVN29845579/

概要
サイボウズ株式会社が提供するサイボウズ Officeには、カスタムアプリに関する閲覧制限回避の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://kb.cybozu.support/article/38836/

【6】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2024/08/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【7】Kibanaに任意コード実行の脆弱性
情報源
https://discuss.elastic.co/t/kibana-8-14-2-7-17-23-security-update-esa-2024-22/364424

概要
Elasticが提供するKibanaには、任意コード実行の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【8】ゼクセロン製ZWX-2000CSW2-HNに複数の脆弱性
情報源
https://jvn.jp/jp/JVN70666401/

概要
株式会社ゼクセロンが提供する無線LAN機能搭載高速同軸モデムZWX-2000CSW2-HNには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.zexelon.co.jp/pdf/jvn70666401.pdf

【9】JPCERT/CCが「インターネット定点観測レポート（2024年 4-6月）」を公開
情報源
https://www.jpcert.or.jp/tsubame/report/report202404-06.html

概要
2024年8月9日、JPCERT/CCは「インターネット定点観測レポート（2024年 4-6月）」を公開しました。2024年4月から6月の間に、インターネット定点観測システム「TSUBAME」で観測した結果とその分析の概要について紹介しています。

目　次
【1】マルチテナント型のメールリレーサービスに複数の脆弱性
【2】複数のApple製品に脆弱性
【3】エレコム製無線LANルーターに複数の脆弱性
【4】EC-CUBE 4系用プラグイン「EC-CUBE Web API プラグイン」に格納型クロスサイトスクリプティングの脆弱性
【5】EC-CUBE 4系にプラグインインストール時の入力値チェックの不備
【6】FFRI AMCにOSコマンドインジェクションの脆弱性
【7】SKYSEA Client Viewに複数の脆弱性
【8】SDoPにスタックベースのバッファオーバーフローの脆弱性
【9】IPAが「セキュリティ・バイ・デザイン「システム開発のセキュリティ向上0.0」」を公開
【10】IPAがインシデント演習およびIoT/DXのセキュリティ対策に関する2つの啓発コンテンツを公開
【11】DigiCertが発行した一部の証明書にドメイン検証不備があり失効を要することを公表
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】マルチテナント型のメールリレーサービスに複数の脆弱性
情報源
https://kb.cert.org/vuls/id/244112

概要
米CERT/CCは、メール配信のホスティングサービスをマルチテナント型で提供する複数のサービスに、送信ドメイン認証技術が回避され、なりすましメールが送信可能となる脆弱性の情報を公表しました。この問題について、ホスティングプロバイダー向け、ドメイン所有者向け、メール送信者向けにそれぞれワークアラウンドが提供されています。詳細は、米CERT/CCが提供する情報を参照してください。

【2】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/07/30/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/HT201222

【3】エレコム製無線LANルーターに複数の脆弱性
情報源
https://jvn.jp/jp/JVN06672778/

概要
エレコム株式会社が提供する複数の無線LANルーターには、複数の脆弱性が存在します。想定される影響は各脆弱性により異なります。この問題は、当該製品を修正済みのファームウェアにアップデートすることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.elecom.co.jp/news/security/20240730-01/

【4】EC-CUBE 4系用プラグイン「EC-CUBE Web API プラグイン」に格納型クロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN26225832/

概要
株式会社イーシーキューブが提供する EC-CUBE 4系用プラグイン「EC-CUBE Web API プラグイン」のOAuth管理機能には、格納型クロスサイトスクリプティングの脆弱性があります。この問題は、当該プラグインを最新版へアップデートすることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.ec-cube.net/info/weakness/20240701/web_api_plugin.php

【5】EC-CUBE 4系にプラグインインストール時の入力値チェックの不備
情報源
https://jvn.jp/jp/JVN48324254/

概要
株式会社イーシーキューブが提供するEC-CUBE 4系には、プラグインインストール時の入力値チェックに不備があります。この問題は、当該製品に修正パッチを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.ec-cube.net/info/weakness/20240701/index.php

【6】FFRI AMCにOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/jp/JVN26734798/

概要
株式会社ＦＦＲＩセキュリティが提供するFFRI AMCおよびOEM製品には、OSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、各製品の提供元による情報を参照してください。
関連文書
https://www.ffri.jp/assets/files/other_docs/20240729.pdf

https://www.support.nec.co.jp/View.aspx?id=3140109694

https://www.skyseaclientview.net/news/240729_01/

【7】SKYSEA Client Viewに複数の脆弱性
情報源
https://jvn.jp/jp/JVN84326763/

概要
Sky株式会社が提供するSKYSEA Client Viewには、複数の脆弱性が存在します。想定される影響は各脆弱性により異なります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.skyseaclientview.net/news/240729_02/

【8】SDoPにスタックベースのバッファオーバーフローの脆弱性
情報源
https://jvn.jp/jp/JVN16420523/

概要
SDoPには、入力データの取り扱い不備に起因するスタックベースのバッファオーバーフローの脆弱性が存在します。この問題は、修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://github.com/PhilipHazel/SDoP/commit/ff83d851b4b39ff2fd37ab2ab14365649515b023

【9】IPAが「セキュリティ・バイ・デザイン「システム開発のセキュリティ向上0.0」」を公開
情報源
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/security-by-design.html

概要
IPAは、「セキュリティ・バイ・デザイン「システム開発のセキュリティ向上0.0」」を公開しました。組織内の開発チームが、「開発初期」からセキュリティを考慮する事を、セキュリティ・バイ・デザインのポイントと捉え、開発初学者に提供する教育ドキュメントとして作成したとのことです。

【10】IPAがインシデント演習およびIoT/DXのセキュリティ対策に関する2つの啓発コンテンツを公開
情報源
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/incident-response-exercise.html

概要
IPAは、インシデント演習およびIoT/DXのセキュリティ対策に関する2つの啓発コンテンツを公開しました。IPAによると、インシデント対応における情報連携にフォーカスしたカードゲームは、自社組織内の情報連携やコミュニケーションの課題を洗い出すために作成したとのことです。また、IoTやDXに関するサイバー被害と対策を学ぶカードゲームは、IoTやDXに関して発生しうるサイバー被害から原因や対策を考えられる能力を身に付けるために作成したとされています。

【11】DigiCertが発行した一部の証明書にドメイン検証不備があり失効を要することを公表
情報源
https://www.cisa.gov/news-events/alerts/2024/07/30/digicert-certificate-revocations

概要
DigiCertはCNAMEベースのドメイン検証の不備により、一部の証明書を失効させる必要があると公表しました。影響を受ける組織には、DigiCertから個別に通知が行われています。DigiCertは、影響を受けた証明書の再発行を推奨しています。詳細は、DigiCertが提供する情報を参照してください。
関連文書
https://www.digicert.com/support/certificate-revocation-incident

https://status.digicert.com/incidents/3sccz3v31lc9