ミニ・いんふぉめーしょん

目　次
【1】VMware Cloud FoundationおよびvCenter Serverに複数の脆弱性
【2】複数のApple製品に脆弱性
【3】IvantiのCloud Services Applianceにパストラバーサルの脆弱性
【4】複数のAtlassian製品に脆弱性
【5】WordPress用プラグインWelcart e-Commerceに複数の脆弱性
【6】Google Chromeに複数の脆弱性
【7】Gitlabにデジタル署名の不適切な検証の脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】VMware Cloud FoundationおよびvCenter Serverに複数の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/09/19/vmware-releases-security-advisory-vmware-cloud-foundation-and-vcenter-server

概要
VMware Cloud FoundationおよびvCenter Serverには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24968

【2】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/09/18/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/100100

【3】IvantiのCloud Services Applianceにパストラバーサルの脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/09/19/ivanti-releases-admin-bypass-security-update-cloud-services-appliance

概要
Ivantiが提供するCloud Serivces Applianceには、パストラバーサルの脆弱性があります。この問題は、修正済みのバージョンにアップグレードするか、パッチを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-CSA-4-6-Cloud-Services-Appliance-CVE-2024-8963

【4】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/security-bulletin-september-17-2024-1431249025.html

概要
複数のAtlassian製品には、脆弱性があります。対象はConfluence Server、Confluence Data Center、Bamboo Server、Bamboo Data Center、Bitbucket Server、Bitbucket Data Center、Crowd ServerおよびCrowd Data Centerです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】WordPress用プラグインWelcart e-Commerceに複数の脆弱性
情報源
https://jvn.jp/jp/JVN19766555/

概要
WordPress用プラグインWelcart e-Commerceには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.welcart.com/archives/22581.html

【6】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2024/09/stable-channel-update-for-desktop_17.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【7】Gitlabにデジタル署名の不適切な検証の脆弱性
情報源
https://about.gitlab.com/releases/2024/09/17/patch-release-gitlab-17-3-3-released/

概要
Gitlabには、デジタル署名の不適切な検証の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

目　次
【1】Cisco IOS XRソフトウェアに複数の脆弱性
【2】GitLabに複数の脆弱性
【3】複数のPalo Alto Networks製品に脆弱性
【4】複数のIntel製品に脆弱性
【5】Windows向けCitrix Workspaceアプリに複数の脆弱性
【6】複数のIvanti製品に脆弱性
【7】複数のアルプスシステムインテグレーション製品およびOEM製品におけるCSRFの脆弱性
【8】Kibanaに複数の脆弱性
【9】複数のアドビ製品に脆弱性
【10】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Cisco IOS XRソフトウェアに複数の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/09/12/cisco-releases-security-updates-ios-xr-software

概要
Cisco IOS XRソフトウェアには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/viewErp.x?alertId=ERP-75416

【2】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2024/09/11/patch-release-gitlab-17-3-2-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】複数のPalo Alto Networks製品に脆弱性
情報源
https://security.paloaltonetworks.com/CVE-2024-8686

概要
複数のPalo Alto Networks製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://security.paloaltonetworks.com/

【4】複数のIntel製品に脆弱性
情報源
https://jvn.jp/vu/JVNVU99809283/

概要
複数のIntel製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.intel.com/content/www/us/en/security-center/default.html

【5】Windows向けCitrix Workspaceアプリに複数の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/09/10/citrix-releases-security-updates-citrix-workspace-app-windows

概要
Windows向けCitrix Workspaceアプリには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.citrix.com/s/article/CTX691485-citrix-workspace-app-for-windows-security-bulletin-cve20247889-and-cve20247890

【6】複数のIvanti製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/09/10/ivanti-releases-security-updates-endpoint-manager-cloud-service-application-and-workspace-control

概要
Ivanti Endpoint Manager、Ivanti Cloud Service ApplianceおよびIvanti Workspace Controlには、脆弱性があります。この問題は、当該製品にパッチを適用するか、修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://forums.ivanti.com/s/article/Security-Advisory-EPM-September-2024-for-EPM-2024-and-EPM-2022

https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Cloud-Service-Appliance-CSA-CVE-2024-8190

https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Workspace-Control-IWC

【7】複数のアルプスシステムインテグレーション製品およびOEM製品におけるCSRFの脆弱性
情報源
https://jvn.jp/jp/JVN05579230/

概要
複数のアルプスシステムインテグレーション製品およびそのOEM製品には、クロスサイトリクエストフォージェリ（CSRF）の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新するかワークアラウンドを実施することで解決します。詳細は、開発者が提供する情報を参照してください。

【8】Kibanaに複数の脆弱性
情報源
https://discuss.elastic.co/t/kibana-8-15-1-security-update-esa-2024-27-esa-2024-28/366119

概要
Elasticが提供するKibanaには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【9】複数のアドビ製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2024/at240018.html

概要
複数のアドビ製品に関する脆弱性が公開されています。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://helpx.adobe.com/security.html

【10】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2024/at240017.html

概要
複数のマイクロソフト製品に関する脆弱性が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2024/09/202409-security-update/

目　次
【1】複数のキングソフト製品にパストラバーサルの脆弱性
【2】PRIMERGYにSecure Bootを回避される脆弱性
【3】OpenSSLにサービス運用妨害（DoS）の脆弱性
【4】WordPress用プラグインAdvanced Custom Fieldsにクロスサイトスクリプティングの脆弱性
【5】複数のVeeam製品に脆弱性
【6】複数のCisco製品に脆弱性
【7】複数のMozilla製品に脆弱性
【8】VMware Fusionに安全でない環境変数の使用によるコード実行の脆弱性
【9】Google Chromeに複数の脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のキングソフト製品にパストラバーサルの脆弱性
情報源
https://jvn.jp/jp/JVN32529796/

概要
Kingsoft Office Softwareが提供するWPS Office、キングソフト株式会社が日本国内向けにローカライズしたWPS Officeおよびその関連製品には、パストラバーサルの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.kingsoft.jp/support-info/20240906.html

【2】PRIMERGYにSecure Bootを回避される脆弱性
情報源
https://jvn.jp/jp/JVN49873988/

概要
エフサステクノロジーズ株式会社が提供するPRIMERGYには、Secure Bootを回避される脆弱性があります。この問題は、Platforｍ Keyを変更する、または当該製品のBIOSを更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fujitsu.com/jp/group/fsas/about/resources/security/2024/0826.html

【3】OpenSSLにサービス運用妨害（DoS）の脆弱性
情報源
https://jvn.jp/vu/JVNVU91755094/

概要
OpenSSLには、OpenSSLを用いるアプリケーションにおいてX.509サーバー証明書の検証を行う際、Subject Alternative Nameフィールド内のotherNameの検証時に誤ったメモリアドレスを参照してアクセスエラーが生じる問題があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://openssl-library.org/news/secadv/20240903.txt

【4】WordPress用プラグインAdvanced Custom Fieldsにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN67963942/

概要
WP Engineが提供するWordPress用プラグインAdvanced Custom Fieldsには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.advancedcustomfields.com/blog/acf-6-3-6/

【5】複数のVeeam製品に脆弱性
情報源
https://www.veeam.com/kb4649

概要
複数のVeeam製品には、脆弱性があります。Veeam Backup & Replication、Veeam ONE、Veeam Service Provider Console、Veeam Agent for Linux、Veeam Backup for Nutanix AHV、Veeam Backup for Oracle Linux Virtualization Manager and Red Hat Virtualizationが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【6】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cslu-7gHMzWmw

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計5件（Critical 1件、High 1件、Medium 3件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【7】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2024-39/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Focus for iOS、Thunderbirdが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2024-40/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-41/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-42/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-43/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-44/

【8】VMware Fusionに安全でない環境変数の使用によるコード実行の脆弱性
情報源
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24939

概要
VMware Fusionには、安全でない環境変数の使用によるコード実行の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【9】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2024/09/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

目　次
【1】IPCOMに処理時間の相違に起因する情報漏えいの脆弱性
【2】Moodleにリモートコード実行の脆弱性
【3】Versa Networks製Versa Directorに権限昇格の脆弱性
【4】エレコム製無線LANルーターおよび無線アクセスポイントに複数の脆弱性
【5】IPAが「セキュリティ・アクション・ラボ　実践的な学びのためのプロジェクト」を公開
【6】IPAが「サイバーレジリエンスのためのコミュニケーション　セキュリティ担当者に必要なコミュニケーションスキル集」を公開
【7】経済産業省が「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」を改訂
【8】制御システムセキュリティカンファレンス2025講演募集
【9】第10回フィッシング対策勉強会
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】IPCOMに処理時間の相違に起因する情報漏えいの脆弱性
情報源
https://jvn.jp/jp/JVN29238389/

概要
エフサステクノロジーズ株式会社が提供するIPCOMのSSLアクセラレータ機能およびSSL-VPN機能には、処理時間の相違に起因する情報漏えいの脆弱性が存在します。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fujitsu.com/jp/products/network/support/2024/ipcom-04/index.html

【2】Moodleにリモートコード実行の脆弱性
情報源
https://censys.com/cve-2024-43425/

概要
Moodleには、リモートコード実行の脆弱性があります。本脆弱性を実証するコード（PoC）が公開されています。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://moodle.org/mod/forum/discuss.php?d=461193

【3】Versa Networks製Versa Directorに権限昇格の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/08/27/versa-networks-releases-advisory-vulnerability-versa-director-cve-2024-39717

概要
Versa Networksが提供するVersa Directorには、権限昇格の脆弱性があります。同社は、今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、当該製品にパッチを適用する、あるいは修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://versa-networks.com/blog/versa-security-bulletin-update-on-cve-2024-39717-versa-director-dangerous-file-type-upload-vulnerability/

【4】エレコム製無線LANルーターおよび無線アクセスポイントに複数の脆弱性
情報源
https://jvn.jp/jp/JVN24885537/

概要
エレコム株式会社が提供する無線LANルーターおよび無線アクセスポイントには、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアにアップデートすることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.elecom.co.jp/news/security/20240827-01/

【5】IPAが「セキュリティ・アクション・ラボ　実践的な学びのためのプロジェクト」を公開
情報源
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/security-action-lab.html

概要
独立行政法人情報処理推進機構（IPA）が、「セキュリティ・アクション・ラボ　実践的な学びのためのプロジェクト」を公開しました。本プロジェクトは、ITシステム関係社員のセキュリティに関する知識・意識の向上を目的としたセキュリティ教育コンテンツおよび啓発コンテンツとのことです。
関連文書
https://github.com/sal-project/sal-setup-document

【6】IPAが「サイバーレジリエンスのためのコミュニケーション　セキュリティ担当者に必要なコミュニケーションスキル集」を公開
情報源
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/cyber-resilience-communication.html

概要
独立行政法人情報処理推進機構（IPA）が、「サイバーレジリエンスのためのコミュニケーション　セキュリティ担当者に必要なコミュニケーションスキル集」を公開しました。本書では、組織でサイバーレジリエンスを実施していくために、セキュリティ担当者と他部署のコミュニケーションに着目し、「サイバーレジリエンスのためのコミュニケーション」としてセキュリティ担当者が認識すべきコミュニケーションスキルがまとめられています。

【7】経済産業省が「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」を改訂
情報源
https://www.meti.go.jp/press/2024/08/20240829001/20240829001.html

概要
経済産業省は、ソフトウェアを供給する企業と調達する企業の双方を想定読者として、SBOM（ソフトウェア部品表）を導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた手引書「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」をver2.0に改訂しました。ver2.0では新たに、脆弱性管理プロセスの具体化やSBOM対応モデル、SBOM取引モデルに関する内容が追加されています。

【8】制御システムセキュリティカンファレンス2025講演募集
情報源
https://www.jpcert.or.jp/event/ics-conf-cfp2025/

概要
JPCERTコーディネーションセンターは、来る2025年2月5日（水）に「制御システムセキュリティカンファレンス2025」の開催を予定しております。開催にあたり、講演希望者を広く募集することといたします。講演をご希望の方は、URLに記載の開催概要とCFP募集要項をお読みいただき、講演申込事項を記載の上、メールにてCFP担当までお送りください。皆さまからのたくさんのご応募をお待ちしております。

【9】第10回フィッシング対策勉強会
情報源
https://www.antiphishing.jp/news/event/antiphishing_10th_studygroup.html

概要
フィッシング対策協議会は、2024年9月20日（金）に「第10回フィッシング対策勉強会」をオンラインで開催します。協議会会員のみではなく、フィッシング対策やWebサイトのセキュリティに興味がある方向けに参加を受付けています。講演内容や、参加登録の手順については記載のURLをご参照ください。