■09/29(日)~10/05(土) のセキュリティ関連情報
目 次
【1】複数のCisco製品に脆弱性
【2】複数のMozilla製品に脆弱性
【3】CUPSに複数の脆弱性
【4】Google Chromeに複数の脆弱性
【5】Apache TomcatにTLSハンドシェイク処理の不備
【6】複数のセイコーエプソン製品のWeb Configに初期パスワードに関する脆弱性
【7】RevoWorksクラウドに意図しないプロセス実行が可能となる脆弱性
【8】IoT製品に対するセキュリティ要件適合評価・ラベリング制度が2025年3月から開始
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndfc-cmdinj-UvYZrKfr
概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計14件(Critical 1件、High 3件、Medium 10件)公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x
【2】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2024-46/
概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2024-47/
https://www.mozilla.org/en-US/security/advisories/mfsa2024-48/
https://www.mozilla.org/en-US/security/advisories/mfsa2024-49/
https://www.mozilla.org/en-US/security/advisories/mfsa2024-50/
【3】CUPSに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU91741031/
概要
インターネット印刷プロトコル(IPP)の実装であるCUPSを採用している印刷システムには複数の脆弱性があり、システム上で任意のコードあるいはコマンドが実行される可能性があります。この問題は、CUPSにおいてcups-browsedによるブラウジングサービスを無効化することで回避可能です。修正版CUPSパッケージは、各Linuxディストリビューターの提供する情報を確認してください。
関連文書
https://github.com/OpenPrinting/cups-browsed/security/advisories/GHSA-rj88-6mr5-rcw8
https://github.com/OpenPrinting/libcupsfilters/security/advisories/GHSA-w63j-6g73-wmg5
https://github.com/OpenPrinting/libppd/security/advisories/GHSA-7xfx-47qg-grp6
https://github.com/OpenPrinting/cups-filters/security/advisories/GHSA-p9rh-jxmq-gq47
https://github.com/advisories/GHSA-phc2-g348-384g
【4】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2024/10/stable-channel-update-for-desktop.html
概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【5】Apache TomcatにTLSハンドシェイク処理の不備
情報源
https://jvn.jp/jp/JVN72148744/
概要
Apache Tomcatにはサービス運用妨害(DoS)の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://lists.apache.org/thread/wms60cvbsz3fpbz9psxtfx8r41jl6d4s
【6】複数のセイコーエプソン製品のWeb Configに初期パスワードに関する脆弱性
情報源
https://jvn.jp/vu/JVNVU95133448/
概要
セイコーエプソンが提供する製品に導入されているWeb Configには、初期状態では管理者パスワードが設定されていない脆弱性があります。この問題は、当該製品に管理者パスワードを設定することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.epson.jp/support/misc_t/240930_03_oshirase.htm
https://www.epson.jp/support/misc/cautions_for_connection.htm
【7】RevoWorksクラウドに意図しないプロセス実行が可能となる脆弱性
情報源
https://jvn.jp/jp/JVN39280069/
概要
ジェイズ・コミュニケーション株式会社が提供するRevoWorksクラウドには、意図しないプロセス実行が可能となる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://jscom.jp/news-20240918/
【8】IoT製品に対するセキュリティ要件適合評価・ラベリング制度が2025年3月から開始
情報源
https://www.ipa.go.jp/pressrelease/2024/press20240930.html
概要
独立行政法人情報処理推進機構(IPA)は、IoT製品に対するセキュリティ適合性評価制度となる「セキュリティ要件適合評価およびラベリング制度(JC-STAR)」の運用を2025年3月から開始します。IPAでは、本制度の説明会を11月頃に予定しています。また、具体的な申請方法や申請料、適合基準について紹介するガイド等をIPA公式Webサイトで公開予定とのことです。
