« ■01/12(日)~01/18(土) のセキュリティ関連情報 | メイン | ■01/26(日)~02/01(土) のセキュリティ関連情報 »

2025年1月31日 (金)

■01/19(日)~01/25(土) のセキュリティ関連情報

目 次
【1】SonicWall SMA1000 AMCおよびCMCに信頼されていないデータがデシリアライズされる脆弱性
【2】Google Chromeに複数の脆弱性
【3】GitLabに複数の脆弱性
【4】アイ・オー・データ製ルーターUD-LT2における複数の脆弱性
【5】複数のAtlassian製品に脆弱性
【6】2025年1月Oracle Critical Patch Updateについて
【7】JPCERT/CCが2024年10月-12月分の「JPCERT/CC 活動四半期レポート」などを公開
【8】JPCERT/CCが「APTアクターの分類“中毒” -Lazarus のサブグループ分類に見るアトリビューションの実務的課題-」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】SonicWall SMA1000 AMCおよびCMCに信頼されていないデータがデシリアライズされる脆弱性
情報源
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0002

概要
SonicWallが提供するSMA1000 アプライアンス管理コンソール(AMC)および中央管理コンソール(CMC)には、信頼されていないデータがデシリアライズされる脆弱性があり、悪用も確認されています。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【2】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_22.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【3】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/01/22/patch-release-gitlab-17-8-1-released/

概要
Gitlabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【4】アイ・オー・データ製ルーターUD-LT2における複数の脆弱性
情報源
https://jvn.jp/jp/JVN15293958/

概要
株式会社アイ・オー・データ機器が提供するルーターUD-LT2には、OS コマンドインジェクションとドキュメント化されていない機能の脆弱性が存在します。 詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.ipa.go.jp/security/security-alert/2024/20250122-jvn.html

【5】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/security-bulletin-january-21-2025-1489803942.html

概要
複数のAtlassian製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【6】2025年1月Oracle Critical Patch Updateについて
情報源
https://www.oracle.com/security-alerts/cpujan2025.html

概要
Oracleから、複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公表されました。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.ipa.go.jp/security/security-alert/2024/0122-jre.html

【7】JPCERT/CCが2024年10月-12月分の「JPCERT/CC 活動四半期レポート」などを公開
情報源
https://www.jpcert.or.jp/pr/2025/PR_Report2024Q3.pdf

概要
JPCERT/CCは、2024年10月から12月分の「JPCERT/CC 活動四半期レポート」「JPCERT/CC インシデント報告対応レポート」「ソフトウェア等の脆弱性関連情報に関する届出状況」を公開しました。JPCERT/CCの国内外の活動に加え、報告を受けたインシデントの統計や事例などについてまとめています。参考資料としてご活用ください。
関連文書
https://www.jpcert.or.jp/pr/2025/IR_Report2024Q3.pdf

https://www.jpcert.or.jp/pr/2025/vulnREPORT_2024q4.pdf

【8】JPCERT/CCが「APTアクターの分類“中毒” -Lazarus のサブグループ分類に見るアトリビューションの実務的課題-」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/01/grouping-lazarus-subgroups.html

概要
JPCERT/CCが公開した本記事では、APTグループLazarusを構成する多数のサブグループの攻撃活動を、それぞれサブグループ単位で特定する必要性と利点を解説しています。

投稿時刻 18:19 セキュリティ |