« 2025年1月 | メイン | 2025年3月 »

2025年2月

2025年2月27日 (木)

■02/16(日)~02/22(土) のセキュリティ関連情報


目 次
【1】PostgreSQLに不具合
【2】Drupal coreに複数の脆弱性
【3】Movable Typeに複数のクロスサイトスクリプティングの脆弱性
【4】JoomlaにSQLインジェクションの脆弱性
【5】Google Chromeに複数の脆弱性
【6】複数のAtlassian製品に脆弱性
【7】富士フイルムビジネスイノベーション製複合機(MFP)における境界外書き込みの脆弱性
【8】経済産業省が「AIの利用・開発に関する契約チェックリスト」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】PostgreSQLに不具合
情報源
https://www.postgresql.org/about/news/postgresql-174-168-1512-1417-and-1320-released-3018/

概要
PostgreSQLには、引用符の不適切な無害化の脆弱性(CVE-2025-1094)があります。この脆弱性は、2/13に対策されましたが、その後、不具合が見つかり、修正バージョンが公開されました。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.postgresql.org/about/news/postgresql-173-167-1511-1416-and-1319-released-3015/


【2】Drupal coreに複数の脆弱性
情報源
https://www.drupal.org/sa-core-2025-001

概要
Drupal coreには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.drupal.org/security


【3】Movable Typeに複数のクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN48742353/

概要
Movable Typeには、複数のクロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.sixapart.jp/movabletype/news/2025/02/19-1100.html


【4】JoomlaにSQLインジェクションの脆弱性
情報源
https://www.joomla.org/announcements/release-news/5920-joomla-5-2-4-security-bugfix-release.html

概要
Joomlaには、SQLインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://developer.joomla.org/security-centre/958-20250201-core-sql-injection-vulnerability-in-scheduled-tasks-component.html


【5】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/02/stable-channel-update-for-desktop_18.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【6】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/security-bulletin-february-18-2025-1510670627.html

概要
複数のAtlassian製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【7】富士フイルムビジネスイノベーション製複合機(MFP)における境界外書き込みの脆弱性
情報源
https://jvn.jp/vu/JVNVU96297631/

概要
富士フイルムビジネスイノベーション製複合機(MFP)には、境界外書き込みの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fujifilm.com/fbglobal/eng/company/news/notice/2025/0217_announce.html


【8】経済産業省が「AIの利用・開発に関する契約チェックリスト」を公開
情報源
https://www.meti.go.jp/press/2024/02/20250218003/20250218003.html

概要
経済産業省は、「AIの利用・開発に関する契約チェックリスト」を公開しました。このチェックリストでは、AI技術を用いたサービスを導入する事業者が、契約時にチェックするべきポイントなどがまとめられています。

投稿時刻 10:33 セキュリティ | | コメント (0)

2025年2月19日 (水)

■02/09(日)~02/15(土) のセキュリティ関連情報


目 次
【1】PostgreSQLに脆弱性
【2】NEC Atermシリーズに複数の脆弱性
【3】Centeミドルウェアに境界外読み取りの脆弱性
【4】OpenSSLにRFC7250ハンドシェイクによる認証の失敗を検知できない問題
【5】ファイルめがねに複数の脆弱性
【6】複数のPalo Alto Networks製品に脆弱性
【7】Google Chromeに複数の脆弱性
【8】複数のアドビ製品に脆弱性
【9】複数のIntel製品に脆弱性
【10】acmailer CGIおよびacmailer DBに脆弱性
【11】複数のApple製品に脆弱性
【12】JPCERT/CCが「Ivanti Connect Secureの脆弱性を利用して設置されたマルウェアSPAWNCHIMERA」に関するブログを公開
【13】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】PostgreSQLに脆弱性
情報源
https://www.postgresql.org/about/news/postgresql-173-167-1511-1416-and-1319-released-3015/

概要
PostgreSQLには、引用符の不適切な無害化の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。


【2】NEC Atermシリーズに複数の脆弱性
情報源
https://jvn.jp/jp/JVN65447879/

概要
日本電気株式会社が提供するAtermシリーズには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新したり回避策を適用したりすることで解決します。なお、一部製品はすでにサポートが終了しており、開発者は後続製品への乗り換えなどの検討を推奨しています。詳細は、開発者が提供する情報を参照してください。
関連文書
https://jpn.nec.com/security-info/secinfo/nv25-003.html


【3】Centeミドルウェアに境界外読み取りの脆弱性
情報源
https://jvn.jp/vu/JVNVU92227620/

概要
DMG MORI Digital株式会社が開発し、NXTech株式会社が提供するCenteミドルウェアTCP/IPネットワークシリーズの一部製品には、境界外読み取りの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.cente.jp/obstacle/5451/


【4】OpenSSLにRFC7250ハンドシェイクによる認証の失敗を検知できない問題
情報源
https://jvn.jp/vu/JVNVU91390536/

概要
OpenSSLには、RFC7250で定義されたRaw Public Key(RPK)を用いてサーバー認証を行う際に、認証の失敗をクライアント側で検知できない脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://openssl-library.org/news/secadv/20250211.txt


【5】ファイルめがねに複数の脆弱性
情報源
https://jvn.jp/jp/JVN80527854/

概要
ジップインフォブリッジ株式会社が提供するファイルめがねには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.info-brdg.co.jp/support/report/megane/sec20250201.html


【6】複数のPalo Alto Networks製品に脆弱性
情報源
https://security.paloaltonetworks.com/CVE-2025-0108

概要
複数のPalo Alto Networks製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新するか、緩和策などを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://security.paloaltonetworks.com/


【7】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/02/stable-channel-update-for-desktop_12.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【8】複数のアドビ製品に脆弱性
情報源
https://helpx.adobe.com/security/products/magento/apsb25-08.html

概要
複数のアドビ製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://helpx.adobe.com/security/security-bulletin.html


【9】複数のIntel製品に脆弱性
情報源
https://jvn.jp/vu/JVNVU95019921/

概要
複数のIntel製品には、脆弱性があります。対象となる製品およびバージョンは多岐にわたります。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.intel.com/content/www/us/en/security-center/default.html


【10】acmailer CGIおよびacmailer DBに脆弱性
情報源
https://jvn.jp/jp/JVN84319378/

概要
エクストライノベーション株式会社が提供するacmailer CGIおよびacmailer DBには、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://acmailer.jp/info/de.cgi?id=113

https://jvn.jp/jp/JVN96957439/


【11】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/122174

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。Appleは脆弱性を悪用された可能性があるという報告を確認しているとのことです。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/122173


【12】JPCERT/CCが「Ivanti Connect Secureの脆弱性を利用して設置されたマルウェアSPAWNCHIMERA」に関するブログを公開
情報源
https://blogs.jpcert.or.jp/ja/2025/02/spawnchimera.html

概要
JPCERT/CCが対応したインシデントの中で、Ivanti Connect Secureの脆弱性(CVE-2025-0282)悪用後に感染するマルウェアSPAWNファミリーのアップデートを確認しました。JPCERT/CCが公開した本記事では、アップデートされたSPAWN(SPAWNCHIMERA)について解説します。


【13】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250004.html

概要
複数のマイクロソフト製品には、脆弱性があります。同社は、今回修正された一部の脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2025/02/202502-security-update/

投稿時刻 10:46 セキュリティ |

2025年2月14日 (金)

■02/02(日)~02/08(土) のセキュリティ関連情報


目 次
【1】複数のCisco製品に脆弱性
【2】Defense Platform Home Editionに複数の脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のMozilla製品に脆弱性
【5】内閣サイバーセキュリティセンターが「DDoS 攻撃への対策について(注意喚起)」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-multivuls-FTW9AOXF

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計8件(Critical 1件、High 1件、Medium 6件)公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x


【2】Defense Platform Home Editionに複数の脆弱性
情報源
https://jvn.jp/jp/JVN66673020/

概要
ハミングヘッズ株式会社が提供するDefense Platform Home Editionには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.hummingheads.co.jp/dep/storelist/


【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/02/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【4】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-07/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbird、およびThunderbird ESRが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-08/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-09/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-10/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-11/


【5】内閣サイバーセキュリティセンターが「DDoS 攻撃への対策について(注意喚起)」を公開
情報源
https://www.nisc.go.jp/pdf/news/press/20250204_ddos.pdf

概要
内閣サイバーセキュリティセンター(NISC)は、2024年12月から2025年1月の年末年始にかけて相次いだDDoS攻撃を受け、各事業者、各インターネット利用者に対して注意喚起を公開しました。本文書に記載された事項を参照の上、リスク低減に向けたセキュリティ対策を進めてください。

投稿時刻 09:49 セキュリティ |

2025年2月 5日 (水)

■01/26(日)~02/01(土) のセキュリティ関連情報

目 次
【1】ISC BIND 9に複数の脆弱性
【2】Google Chromeに複数の脆弱性
【3】キヤノン製スモールオフィス向け複合機およびレーザービームプリンターにおける複数の脆弱性
【4】WordPress用プラグインSimple Image Sizesにクロスサイトスクリプティングの脆弱性
【5】複数のApple製品に脆弱性
【6】IPA が「情報セキュリティ10大脅威 2025」を公表
【7】JSSECが『Android アプリのセキュア設計・セキュアコーディングガイド』2025年1月29日版を公開
【8】フィッシング対策協議会が「送信ドメイン認証技術「DMARC」の導入状況と必要性について」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】ISC BIND 9に複数の脆弱性
情報源
https://www.jpcert.or.jp/newsflash/2025013001.html

概要
ISC BIND 9には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://kb.isc.org/docs/cve-2024-12705

https://kb.isc.org/docs/cve-2024-11187


【2】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_28.html


概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【3】キヤノン製スモールオフィス向け複合機およびレーザービームプリンターにおける複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU93455283/

概要
キヤノン製スモールオフィス向け複合機およびレーザービームプリンターには、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://canon.jp/support/support-info/250127vulnerability-response


【4】WordPress用プラグインSimple Image Sizesにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN88046370/

概要
WordPress用プラグインSimple Image Sizesには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://ja.wordpress.org/plugins/simple-image-sizes/#developers


【5】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/122066

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。Appleは脆弱性を悪用された可能性があるという報告を確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/122067

https://support.apple.com/ja-jp/122068

https://support.apple.com/ja-jp/122069

https://support.apple.com/ja-jp/122070

https://support.apple.com/ja-jp/122071

https://support.apple.com/ja-jp/122072

https://support.apple.com/ja-jp/122073

https://support.apple.com/ja-jp/122074

https://support.apple.com/ja-jp/121866


【6】IPA が「情報セキュリティ10大脅威 2025」を公表
情報源
https://www.ipa.go.jp/security/10threats/10threats2025.html

概要
IPAは「情報セキュリティ10大脅威 2025」を公表しました。「情報セキュリティ10大脅威 2025」は、2024年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者などのメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。


【7】JSSECが『Android アプリのセキュア設計・セキュアコーディングガイド』2025年1月29日版を公開
情報源
https://www.jssec.org/report/android_securecoding_20250129.html

概要
一般社団法人日本スマートフォンセキュリティ協会(JSSEC)は、2012年6月に公開した『Android アプリのセキュア設計・セキュアコーディングガイド』の16版目の改定版である2025年1月29日版を公開しました。本ガイドはAndroidアプリケーションのセキュリティを考慮した設計・開発のノウハウを集めた文書です。


【8】フィッシング対策協議会が「送信ドメイン認証技術「DMARC」の導入状況と必要性について」を公開
情報源
https://www.antiphishing.jp/report/wg/cert_explaindoc_20250130.html

概要
フィッシング対策協議会は、国内のフィッシング詐欺における送信ドメイン認証技術「DMARC」の導入状況と必要性を解説する文書を公開しました。本文書では、国内企業におけるDMARCの導入状況と運用実態を示すとともに、より強力な対策を実現するためにポリシー強度を引きあげる必要があることを指摘しています。

投稿時刻 10:16 セキュリティ |