ミニ・いんふぉめーしょん

目　次
【1】HOME SPOT CUBE2に複数のバッファオーバーフローの脆弱性
【2】トレンドマイクロ製Airサポートに不適切なアクセス権の割り当ての脆弱性
【3】Group Officeにクロスサイトスクリプティングの脆弱性
【4】ペイメントEXに情報漏えいの脆弱性
【5】Docker関連コンポーネントに複数の脆弱性
【6】シャープ製クラウド連携エネルギーコントローラ（機器連携コントローラ）に複数の脆弱性
【7】複数のJuniper Networks製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】HOME SPOT CUBE2に複数のバッファオーバーフローの脆弱性
情報源
https://jvn.jp/vu/JVNVU93740658/

概要
KDDI株式会社が提供するHOME SPOT CUBE2には、複数のバッファオーバーフローの脆弱性があります。当該製品はサポートを終了しており修正アップデートは提供されません。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.au.com/support/service/mobile/guide/wlan/home_spot_cube_2/

【2】トレンドマイクロ製Airサポートに不適切なアクセス権の割り当ての脆弱性
情報源
https://jvn.jp/vu/JVNVU99844997/

概要
トレンドマイクロ株式会社が提供するAirサポートには、不適切なアクセス権の割り当ての脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://helpcenter.trendmicro.com/ja-jp/article/tmka-12132

【3】Group Officeにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN63567545/

概要
Intermesh BVが提供するGroup Officeには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.group-office.com/

【4】ペイメントEXに情報漏えいの脆弱性
情報源
https://jvn.jp/jp/JVN41129639/

概要
シンプルサイトが提供するペイメントEXには、情報漏えいの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【5】Docker関連コンポーネントに複数の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/02/01/moby-and-open-container-initiative-release-critical-updates-multiple-vulnerabilities-affecting

概要
Docker関連コンポーネントであるMoby BuildKitやOCI runcには、脆弱性があります。この問題は、当該コンポーネントを修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv

https://github.com/moby/buildkit/security/advisories/GHSA-m3r6-h7wv-7xxv

https://github.com/moby/buildkit/security/advisories/GHSA-4v98-7qmw-rqr8

https://github.com/moby/buildkit/security/advisories/GHSA-wr6v-9f75-vh2g

https://snyk.io/blog/leaky-vessels-docker-runc-container-breakout-vulnerabilities/

【6】シャープ製クラウド連携エネルギーコントローラ（機器連携コントローラ）に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU94591337/

概要
シャープ株式会社が提供するクラウド連携エネルギーコントローラ（機器連携コントローラ）には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://jp.sharp/support/taiyo/info/JVNVU94591337_jp.pdf

【7】複数のJuniper Networks製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/29/juniper-networks-releases-security-bulletin-j-web-junos-os-srx-series-and-ex-series

概要
Juniper NetworksのSRXシリーズおよびEXシリーズにおけるJunos OSのJ-Webコンポーネントには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://supportportal.juniper.net/s/article/2024-01-Out-of-Cycle-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Multiple-vulnerabilities-in-J-Web-have-been-addressed?language=en_US

目　次
【1】OpenSSLにNULLポインタ参照の脆弱性
【2】複数のCisco Unified CommunicationsおよびContact Center Solutions製品にリモートコード実行の脆弱性
【3】複数のMozilla製品に脆弱性
【4】Androidアプリ「メルカリ」にアクセス制限不備の脆弱性
【5】複数のApple製品に脆弱性
【6】国土交通省が提供する電子納品チェックシステムおよび電子納品物検査支援システムにXML外部実体参照(XXE)に関する脆弱性
【7】電子納品チェックシステム（農林水産省農業農村整備事業版）にXML外部実体参照 (XXE) に関する脆弱性
【8】防衛省が提供する電子納品物作成支援ツールにXML外部実体参照 (XXE) に関する脆弱性
【9】ヤマハ製無線LANアクセスポイントに利用可能なデバッグ機能が存在している脆弱性
【10】エレコム製無線LANルーターにOSコマンドインジェクションの脆弱性
【11】アクセス解析CGI An-Analyzerにオープンリダイレクトの脆弱性
【12】a-blog cmsに複数の脆弱性
【13】Apache Tomcatに情報漏えいの脆弱性
【14】IPAが「情報セキュリティ10大脅威 2024」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】OpenSSLにNULLポインタ参照の脆弱性
情報源
https://jvn.jp/vu/JVNVU93108954/

概要
OpenSSLには、NULLポインタ参照の脆弱性があります。2024年1月31日現在、修正版は提供されていませんが、今後公開されるバージョンにおいて修正される予定です。 詳細は開発者が提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20240125.txt

【2】複数のCisco Unified CommunicationsおよびContact Center Solutions製品にリモートコード実行の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/25/cisco-releases-security-advisory-multiple-unified-communications-and-contact-center-solutions

概要
複数のCisco Unified CommunicationsおよびContact Center Solutions製品には、リモートコード実行が可能な脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-rce-bWNzQcUm

【3】複数のMozilla製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/24/mozilla-releases-security-updates-thunderbird-and-firefox

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2024-01/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-02/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-04/

【4】Androidアプリ「メルカリ」にアクセス制限不備の脆弱性
情報源
https://jvn.jp/jp/JVN70818619/

概要
Androidアプリ「メルカリ」には、アクセス制限不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。

【5】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/23/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。Appleは脆弱性を悪用された可能性があるという報告を確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/HT201222

https://www.jpcert.or.jp/newsflash/2024012301.html

【6】国土交通省が提供する電子納品チェックシステムおよび電子納品物検査支援システムにXML外部実体参照(XXE)に関する脆弱性
情報源
https://jvn.jp/jp/JVN77736613/

概要
国土交通省が提供する電子納品チェックシステムおよび電子納品物検査支援システムには、XML外部実体参照(XXE)に関する脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.ysk.nilim.go.jp/cals/

【7】電子納品チェックシステム（農林水産省農業農村整備事業版）にXML外部実体参照 (XXE) に関する脆弱性
情報源
https://jvn.jp/jp/JVN01434915/

概要
農林水産省が提供する電子納品チェックシステム（農林水産省農業農村整備事業版）には、XML外部実体参照 (XXE) に関する脆弱性あります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.maff.go.jp/j/nousin/seko/nouhin_youryou/densi.html

【8】防衛省が提供する電子納品物作成支援ツールにXML外部実体参照 (XXE) に関する脆弱性
情報源
https://jvn.jp/jp/JVN40049211/

概要
防衛省が提供する「電子納品物作成支援ツール（工事版）」および「電子納品物作成支援ツール（業務版）」には、XML外部実体参照 (XXE) に関する脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.dfeg.mod.go.jp/hp/contents-dfis/tool.html

【9】ヤマハ製無線LANアクセスポイントに利用可能なデバッグ機能が存在している脆弱性
情報源
https://jvn.jp/vu/JVNVU99896362/

概要
ヤマハ株式会社が提供する無線LANアクセスポイント製品には、利用可能なデバッグ機能が存在しています。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVNVU99896362.html

【10】エレコム製無線LANルーターにOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU90908488/

概要
エレコム株式会社が提供する複数の無線LANルーターには、OSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.elecom.co.jp/news/security/20240123-01/

【11】アクセス解析CGI An-Analyzerにオープンリダイレクトの脆弱性
情報源
https://jvn.jp/jp/JVN73587943/

概要
有限会社アングラーズネットが提供するアクセス解析CGI An-Analyzerには、オープンリダイレクトの脆弱性があります。この問題はワークアラウンドを実施することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.anglers-net.com/anlog/update/index.html

【12】a-blog cmsに複数の脆弱性
情報源
https://jvn.jp/jp/JVN34565930/

概要
a-blog cmsには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新し、特定のオプションを有効化することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://developer.a-blogcms.jp/blog/news/JVN-34565930.html

【13】Apache Tomcatに情報漏えいの脆弱性
情報源
https://jvn.jp/vu/JVNVU98698305/

概要
Apache Tomcatには、情報漏えいの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.44

https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.64

【14】IPAが「情報セキュリティ10大脅威 2024」を公開
情報源
https://www.ipa.go.jp/security/10threats/10threats2024.html

概要
2024年1月24日、独立行政法人情報処理推進機構（IPA）は「情報セキュリティ10大脅威 2024」を公開しました。「情報セキュリティ10大脅威 2024」は、2023年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。

目　次
【1】FusionPBXにクロスサイトスクリプティングの脆弱性
【2】NetScaler ADCおよびNetScaler Gatewayに複数の脆弱性
【3】Drupal coreにサービス拒否（DoS）の脆弱性
【4】Confluence ServerおよびData Centerにリモートコード実行の脆弱性
【5】2024年1月Oracle Critical Patch Updateについて
【6】GPUカーネル実装に情報漏えいの脆弱性
【7】複数のDahua Technology製品に認証不備の脆弱性
【8】VMware Aria Automationに不適切なアクセス制御の脆弱性
【9】EDK2 NetworkPkg IPスタック実装に複数の脆弱性
【10】複数のSMTP実装にSMTPのデータの終端の処理に関する問題
【11】Google Chromeに複数の脆弱性
【12】OpenSSLにおける不正なRSA公開鍵のチェックに時間を要する問題
【13】プリザンターにクロスサイトスクリプティングの脆弱性
【14】JPCERT/CCが2023年10月-2023年12月分の「活動四半期レポート」などを公開
【15】GitLab Community EditionおよびEnterprise Editionのパスワードリセット機能の脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】FusionPBXにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN67215338/

概要
FusionPBXには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://github.com/fusionpbx/fusionpbx/releases/tag/5.1.0

【2】NetScaler ADCおよびNetScaler Gatewayに複数の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/18/citrix-releases-security-updates-netscaler-adc-and-netscaler-gateway

概要
NetScaler ADCおよびNetScaler Gatewayには、複数の脆弱性があります。Cloud Software Groupは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.citrix.com/article/CTX584986/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20236548-and-cve20236549

【3】Drupal coreにサービス拒否（DoS）の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/18/drupal-releases-security-advisory-drupal-core

概要
Drupal coreには、サービス拒否（DoS）の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、Drupalが提供する情報を参照してください。
関連文書
https://www.drupal.org/sa-core-2024-001

【4】Confluence ServerおよびData Centerにリモートコード実行の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/18/atlassian-releases-security-updates-multiple-products

概要
AtlassianのConfluence ServerおよびData Centerには、リモートコード実行が可能となる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://confluence.atlassian.com/security/cve-2023-22527-rce-remote-code-execution-vulnerability-in-confluence-data-center-and-confluence-server-1333990257.html

【5】2024年1月Oracle Critical Patch Updateについて
情報源
https://www.cisa.gov/news-events/alerts/2024/01/18/oracle-releases-critical-patch-update-advisory-january-2024

概要
Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公開されました。詳細は、Oracleが提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2024/at240003.html

https://www.oracle.com/security-alerts/cpujan2024.html

【6】GPUカーネル実装に情報漏えいの脆弱性
情報源
https://jvn.jp/vu/JVNVU97951800/

概要
GPUカーネルの実装には、情報漏えいの脆弱性があります。参考情報をもとに、ソフトウェア開発に使用するGPU関連のライブラリを最新版にアップデートしてください。また、GPUベンダーが提供する情報をもとに、GPUを使用する処理を実装する際にはデータが適切に保護されることを確認してください。
関連文書
https://kb.cert.org/vuls/id/446598

【7】複数のDahua Technology製品に認証不備の脆弱性
情報源
https://jvn.jp/jp/JVN83655695/

概要
複数のDahua Technology製品には、認証不備の脆弱性があります。本脆弱性に関するアドバイザリは、2021年9月に開発者により公開されましたが、影響製品が新たに検出されています。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.dahuasecurity.com/aboutUs/trustedCenter/details/582

【8】VMware Aria Automationに不適切なアクセス制御の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/17/vmware-releases-security-advisory-aria-operations

概要
VMware Aria Automationには、不適切なアクセス制御の脆弱性があります。この問題は、該当製品に開発者が提供する修正パッチを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.vmware.com/security/advisories/VMSA-2024-0001.html

【9】EDK2 NetworkPkg IPスタック実装に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU96957535/

概要
Tianocoreプロジェクトが提供するEDK2 NetworkPkg IPスタック実装には、複数の脆弱性があります。2024年1月17日時点で、本脆弱性の内の7つはTianocoreプロジェクトによってパッチが提供されています。開発者が提供する最新の情報を確認のうえ、ファームウェアを最新版にアップデートしてください。
関連文書
https://kb.cert.org/vuls/id/132380

【10】複数のSMTP実装にSMTPのデータの終端の処理に関する問題
情報源
https://jvn.jp/vu/JVNVU94855660/

概要
複数のSMTP実装に対して、データの終わりを宣言する文字の解釈が異なることによる問題が報告されています。本問題が悪用された場合、認証メカニズムをバイパスしてなりすましメールを送信される可能性があります。使用している電子メールサービスのベンダーが提供する情報を注視し、回避策やパッチなどを適用してください。
関連文書
https://kb.cert.org/vuls/id/302671

【11】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_16.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。Googleは今回修正された脆弱性の一部を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。

【12】OpenSSLにおける不正なRSA公開鍵のチェックに時間を要する問題
情報源
https://jvn.jp/vu/JVNVU90782686/

概要
OpenSSLのEVP_PKEY_public_check()関数を使用してRSA公開鍵をチェックする際、大きすぎる素数の積で構成されたRSA公開鍵のチェックに非常に長い時間を要する問題があります。この問題に対しては、OpenSSL gitリポジトリーで修正commitが提供されています。次回リリースで今回のパッチを反映する予定とのことです。詳細はOpenSSL Projectが提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20240115.txt

https://github.com/openssl/openssl/commit/0b0f7abfb37350794a4b8960fafc292cd5d1b84d

https://github.com/openssl/openssl/commit/a830f551557d3d66a84bbb18a5b889c640c36294

https://github.com/openssl/openssl/commit/18c02492138d1eb8b6548cb26e7b625fb2414a2a

【13】プリザンターにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN51135247/

概要
株式会社インプリムが提供するプリザンターには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://pleasanter.org/archives/vulnerability-update-202401

【14】JPCERT/CCが2023年10月-2023年12月分の「活動四半期レポート」などを公開
情報源
https://www.jpcert.or.jp/pr/2024/PR_Report2023Q3.pdf

概要
2024年1月18日、JPCERT/CCは2023年10月から12月分の「活動四半期レポート」「インシデント報告対応レポート」「ソフトウェア等の脆弱性関連情報に関する届出状況」を公開しました。本四半期中のJPCERT/CCの国内外の活動に加え、JPCERT/CCが報告を受け付けたインシデントの統計や事例などについてまとめています。参考資料としてご活用ください。
関連文書
https://www.jpcert.or.jp/pr/2024/IR_Report2023Q3.pdf

https://www.jpcert.or.jp/pr/2024/vulnREPORT_2023q4.pdf

【15】GitLab Community EditionおよびEnterprise Editionのパスワードリセット機能の脆弱性
情報源
https://www.jpcert.or.jp/newsflash/2024011601.html

概要
GitLabのGitLab Community EditionおよびEnterprise Editionのパスワードリセット機能に脆弱性があります。また、同脆弱性の実証コード（PoC）と見られる情報がすでに公開されています。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/

目　次
【1】複数のCisco製品に脆弱性
【2】複数のJuniper Networks製品に脆弱性
【3】WordPress用プラグインWordPress Quiz Maker Pluginに不適切な入力確認の脆弱性
【4】OpenSSLにPOLY1305 MAC実装不備の問題
【5】複数のマイクロソフト製品に脆弱性
【6】複数のFortinet製品に脆弱性
【7】複数のIntel製品に脆弱性
【8】Panasonic製Control FPWIN Pro7に複数の脆弱性
【9】複数のTP-Link製品にOSコマンドインジェクションの脆弱性
【10】Ivanti Connect SecureおよびIvanti Policy Secureに複数の脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のCisco製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/11/cisco-releases-security-advisory-cisco-unity-connection

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計7件（Critical 1件、Medium 6件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【2】複数のJuniper Networks製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/11/juniper-networks-releases-security-bulletin-junos-os-and-junos-os-evolved

概要
Juniper Networksは同社製品における脆弱性に関するアドバイザリを計28件（Critical 4件、High 9件、Medium 15件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=%40sfcec_community_publish_date_formula__c%20descending&numberOfResults=50&f:ctype=[Security%20Advisories]

【3】WordPress用プラグインWordPress Quiz Maker Pluginに不適切な入力確認の脆弱性
情報源
https://jvn.jp/jp/JVN37326856/

概要
WordPress用プラグインWordPress Quiz Maker Pluginには、不適切な入力確認の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://ja.wordpress.org/plugins/quiz-maker/

【4】OpenSSLにPOLY1305 MAC実装不備の問題
情報源
https://jvn.jp/vu/JVNVU98269979/

概要
OpenSSLのPOLY1305 MAC（メッセージ認証コード）実装には、ベクトルレジスタに保存された値の復元処理に問題があり、アプリケーション内部状態の破損を招くことがあります。この問題に対しては、OpenSSL gitリポジトリーでcommitが提供されています。次回リリースで今回のパッチを反映する予定とのことです。詳細はOpenSSL Projectが提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20240109.txt

【5】複数のマイクロソフト製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/09/microsoft-releases-security-updates-multiple-products

概要
複数のマイクロソフト製品に関する脆弱性が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2024/at240001.html

【6】複数のFortinet製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/09/fortinet-releases-security-updates-fortios-and-fortiproxy

概要
Fortinetは同社製品における脆弱性に関するアドバイザリを計5件（High 1件、Medium 4件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fortiguard.com/psirt

【7】複数のIntel製品に脆弱性
情報源
https://jvn.jp/vu/JVNVU91449435/

概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center Advisoriesが公開されました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.intel.com/content/www/us/en/security-center/default.html

【8】Panasonic製Control FPWIN Pro7に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU92102247/

概要
Panasonicが提供するControl FPWIN Pro7には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://holdings.panasonic/global/corporate/product-security/psirt/advisories.html

https://www3.panasonic.biz/ac/j/dl/software/index.jsp?series_cd=3359

【9】複数のTP-Link製品にOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU91401812/

概要
TP-Linkが提供する複数の製品には、OSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.tp-link.com/jp/support/download/

【10】Ivanti Connect SecureおよびIvanti Policy Secureに複数の脆弱性
情報源
https://www.jpcert.or.jp/at/2024/at240002.html

概要
IvantiはIvanti Connect Secure（旧：Pulse Connect Secure）およびIvanti Policy Secureゲートウェイにおける脆弱性に関するアドバイザリを公開しました。JPCERT/CCは、本脆弱性を悪用したとみられる攻撃が国内組織に対しても行われた可能性があることを確認しています。同製品を利用している場合は速やかに対処や調査などの実施を検討してください。
関連文書
https://jvn.jp/vu/JVNVU92420039/

https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways

https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways

目　次
【1】Juniper Secure Analyticsに複数の脆弱性
【2】SSH接続の安全性を低下させる攻撃手法Terrapin Attackについて
【3】PowerCMSに複数の脆弱性
【4】バッファロー製VR-S1000に複数の脆弱性
【5】Barracuda ESGおよびPerlモジュール「Spreadsheet::ParseExcel」の脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Juniper Secure Analyticsに複数の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/01/02/juniper-releases-security-advisory-juniper-secure-analytics

概要
Juniper Networksが提供するJuniper Secure Analyticsには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://supportportal.juniper.net/s/article/2023-12-Security-Bulletin-JSA-Series-Multiple-vulnerabilities-resolved

【2】SSH接続の安全性を低下させる攻撃手法Terrapin Attackについて
情報源
https://jvn.jp/ta/JVNTA95077890/

概要
SSH接続においてハンドシェイク中にシーケンス番号を不正に操作をすることで接続の安全性を低下させる攻撃手法「Terrapin Attack」が報告されています。使用するSSH実装のアップデート情報を注視し、パッチやアップデートを適用してください。
関連文書
https://terrapin-attack.com/

【3】PowerCMSに複数の脆弱性
情報源
https://jvn.jp/jp/JVN32646742/

概要
アルファサード株式会社が提供するPowerCMSには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.powercms.jp/news/release-powercms-202312.html

【4】バッファロー製VR-S1000に複数の脆弱性
情報源
https://jvn.jp/jp/JVN23771490/

概要
株式会社バッファローが提供するVR-S1000には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.buffalo.jp/news/detail/20231225-01.html

【5】Barracuda ESGおよびPerlモジュール「Spreadsheet::ParseExcel」の脆弱性
情報源
https://www.ipa.go.jp/security/security-alert/2023/alert20231225.html

概要
Barracuda Networksが提供するBarracuda Email Security Gateway（ESG）には、任意のコード実行の脆弱性（CVE-2023-7102）があります。これはPerlモジュール「Spreadsheet::ParseExcel」の脆弱性（CVE-2023-7101）に起因するものです。開発者が提供する最新の情報を参考に、脆弱性を修正するアップデートが適用されているか確認してください。また、「Spreadsheet::ParseExcel」を利用している製品開発者などは同モジュールを最新のバージョンへアップデートしてください。
関連文書
https://www.barracuda.com/company/legal/esg-vulnerability

https://metacpan.org/dist/Spreadsheet-ParseExcel/changes

目　次
【1】QNAP製VioStor NVRにOSコマンドインジェクションの脆弱性
【2】ブラザー製iPrint&Scan Desktop for Windowsにファイルアクセス時のリンク解釈が不適切な脆弱性
【3】Google Chromeにバッファオーバーフローの脆弱性
【4】Apple macOSにセッションのレンダリングの問題
【5】複数のMozilla製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】QNAP製VioStor NVRにOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU96089700/

概要
QNAPが提供するVioStor NVRには、OSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.qnap.com/en/security-advisory/qsa-23-48

【2】ブラザー製iPrint&Scan Desktop for Windowsにファイルアクセス時のリンク解釈が不適切な脆弱性
情報源
http://jvn.jp/vu/JVNVU97943829/

概要
ブラザー工業株式会社が提供するiPrint&Scan Desktop for Windowsには、ファイルアクセス時のリンク解釈が不適切な脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【3】Google Chromeにバッファオーバーフローの脆弱性
情報源
https://chromereleases.googleblog.com/2023/12/stable-channel-update-for-desktop_20.html

概要
Google Chromeには、バッファオーバーフローの脆弱性があります。Googleは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【4】Apple macOSにセッションのレンダリングの問題
情報源
https://www.cisa.gov/news-events/alerts/2023/12/20/apple-releases-security-updates-multiple-products

概要
AppleからmacOSに関するセキュリティアップデートが公開されました。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/en-us/HT214048

【5】複数のMozilla製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/12/20/mozilla-releases-security-updates-firefox-and-thunderbird

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2023-54/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-55/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-56/

目　次
【1】複数のFortinet製品に脆弱性
【2】WordPress用プラグインMW WP Formに任意のファイルをアップロードされる脆弱性
【3】Google Chromeに複数の脆弱性
【4】GROWIに複数の脆弱性
【5】複数のApple製品に脆弱性
【6】複数のマイクロソフト製品に脆弱性
【7】複数のアドビ製品に脆弱性
【8】複数のエレコム製無線LANルーターにOSコマンドインジェクションの脆弱性
【9】フィッシング対策協議会が「2023/11 フィッシング報告状況」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のFortinet製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/12/14/fortiguard-releases-security-updates-multiple-products

概要
Fortinetは同社製品における脆弱性に関するアドバイザリを計12件（Critical 1件、High 5件、Medium 3件、Low 3件）公開しました。対象製品および影響は多岐にわたり、対策は製品により異なります。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fortiguard.com/psirt/FG-IR-23-196

https://www.fortiguard.com/psirt/FG-IR-22-038

https://www.fortiguard.com/psirt/FG-IR-23-138

https://www.fortiguard.com/psirt

【2】WordPress用プラグインMW WP Formに任意のファイルをアップロードされる脆弱性
情報源
https://jvn.jp/vu/JVNVU97876221/

概要
株式会社Webの相談所が提供するWordPress用プラグインMW WP Formには、任意のファイルをアップロードされる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。なお、開発者は本製品の開発を停止しており、他のプラグインへの乗り換えを呼びかけています。詳細は開発者が提供する情報を参照してください。
関連文書
https://ja.wordpress.org/plugins/mw-wp-form/

https://mw-wp-form.web-soudan.co.jp/

【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/12/stable-channel-update-for-desktop_12.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【4】GROWIに複数の脆弱性
情報源
https://jvn.jp/jp/JVN18715935/

概要
株式会社WESEEKが提供するGROWIには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://weseek.co.jp/ja/news/2023/11/21/growi-prevent-xss6/

【5】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/12/12/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。対象は多岐にわたります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。Appleは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/newsflash/2023120101.html

【6】複数のマイクロソフト製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/12/12/microsoft-releases-security-updates-multiple-products

概要
複数のマイクロソフト製品に関する脆弱性が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2023/at230030.html

【7】複数のアドビ製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/12/12/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品に関する脆弱性が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/newsflash/2023121301.html

【8】複数のエレコム製無線LANルーターにOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU97499577/

概要
エレコム株式会社が提供する複数の無線LANルーターには、OSコマンドインジェクションの脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.elecom.co.jp/news/security/20231212-01/

【9】フィッシング対策協議会が「2023/11 フィッシング報告状況」を公開
情報源
https://www.antiphishing.jp/news/info/202311.html

概要
2023年12月12日、フィッシング対策協議会は「2023/11 フィッシング報告状況」を公開しました。フィッシング報告件数、フィッシングサイトのURL件数、フィッシングに悪用されたブランド件数の報告状況などの情報が纏められています。

目　次
【1】Apache Struts 2に外部からアクセス可能なファイルの脆弱性
【2】Edgecross 基本ソフトウェア Windows版に複数の脆弱性
【3】複数のAtlassian製品に脆弱性
【4】UEFI実装に組み込まれた画像処理ライブラリに複数の脆弱性
【5】複数のCODESYS Control製品にOSコマンドインジェクションの脆弱性
【6】FXC製無線LANルーター「AE1021PE」および「AE1021」にOSコマンドインジェクションの脆弱性
【7】Google Chromeに複数の脆弱性
【8】楽々Document Plusにディレクトリトラバーサルの脆弱性
【9】JPCERT/CCが「サイバー攻撃被害に係る情報の意図しない開示がもたらす情報共有活動への影響について」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Apache Struts 2に外部からアクセス可能なファイルの脆弱性
情報源
https://jvn.jp/vu/JVNVU96961218/

概要
The Apache Software Foundationが提供するApache Struts 2には、外部からアクセス可能なファイルの脆弱性が存在し、結果として任意のコードが実行される可能性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://cwiki.apache.org/confluence/display/WW/S2-066

https://lists.apache.org/thread/yh09b3fkf6vz5d6jdgrlvmg60lfwtqhj

https://struts.apache.org/announce-2023#a20231207-1

https://struts.apache.org/announce-2023#a20231207-2

【2】Edgecross 基本ソフトウェア Windows版に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU98954443/

概要
一般社団法人Edgecrossコンソーシアムが提供するEdgecross 基本ソフトウェア Windows版には、複数の脆弱性が存在します。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20230207.txt

https://www.edgecross.org/ja/data-download/pdf/ECD-TE10-0006-01-JA.pdf

https://github.com/madler/zlib/issues/605

【3】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/cve-2023-22522-rce-vulnerability-in-confluence-data-center-and-confluence-server-1319570362.html

概要
Atlassianは、Confluence Data CenterおよびConfluence Serverを含む複数の製品について脆弱性情報を公開しています。影響する製品および詳細は、開発者が提供する情報を参照してください。
関連文書
https://confluence.atlassian.com/security/december-2023-security-advisories-overview-1318892103.html

【4】UEFI実装に組み込まれた画像処理ライブラリに複数の脆弱性
情報源
https://kb.cert.org/vuls/id/811862

概要
UEFI実装に用いられる複数の画像処理ライブラリに、種々の脆弱性が発見されています。幾つかの製品ベンダーは、この問題への緩和策や修正に関する情報を提供しています。CERT/CCは、この問題に関して製品ベンダーの対応状況を横断的に示していますので、ご確認のうえ対処をご検討ください。
関連文書
https://jvn.jp/vu/JVNVU90984676/

https://binarly.io/posts/finding_logofail_the_dangers_of_image_parsing_during_system_boot

【5】複数のCODESYS Control製品にOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU97256167/

概要
CODESYS GmbHが提供する複数のCODESYS Control製品には、OSコマンドインジェクションの脆弱性が存在します。当該製品の一部は修正済みのバージョンに更新することで、この問題は解決します。また、その他の製品についてもアップデートバージョンが2024年1月に提供予定とのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://cert.vde.com/en/advisories/VDE-2023-066/

https://customers.codesys.com/index.php?eID=dumpFile&t=f&f=18027&token=43109051cf95d3445bc616e4efb8414336ebcc47

【6】FXC製無線LANルーター「AE1021PE」および「AE1021」にOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU92152057/

概要
FXC株式会社が提供する情報コンセント対応型無線LANルーター「AE1021PE」および「AE1021」には、OSコマンドインジェクションの脆弱性が存在します。当該製品の問題は、ファームウェアをアップデートし、適切な設定を行うことで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fxc.jp/news/20231206

【7】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/12/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【8】楽々Document Plusにディレクトリトラバーサルの脆弱性
情報源
https://jvn.jp/jp/JVN46895889/

概要
住友電工情報システム株式会社が提供する楽々Document Plusには、ディレクトリトラバーサルの脆弱性が存在します。開発者によると、この問題へ対応した修正バージョンは2024年1月に提供予定であり、本アドバイザリ公表時点では、修正パッチを提供しています。詳細は、開発者が提供する情報を参照してください（関連文書に掲載するサイトはログインが必要です）。
関連文書
https://rakrak.jp/RakDocSupport/rkspServlet

【9】JPCERT/CCが「サイバー攻撃被害に係る情報の意図しない開示がもたらす情報共有活動への影響について」を公開
情報源
https://blogs.jpcert.or.jp/ja/2023/12/leaks-and-breaking-trust.html

概要
2023年12月5日、JPCERT/CCはブログ「サイバー攻撃被害に係る情報の意図しない開示がもたらす情報共有活動への影響について」を公開しました。サイバー攻撃の被害組織や、被害組織以外で被害情報を扱う関係者が留意すべき点についてお示しした内容となっております。関連のご相談も、記事に記載の弊センター窓口までお気軽にご連絡ください。

目　次
【1】Ruckus Access Pointにクロスサイトスクリプティングの脆弱性
【2】Apache Tomcatにリクエストスマグリングの脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のApple製品に脆弱性
【5】JPCERT/CCが「ICS脆弱性分析レポート - 2023年度上期 -」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Ruckus Access Pointにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN45891816/

概要
Ruckus Access Pointには、クロスサイトスクリプティングの脆弱性があります。対象となる製品やバージョンは多岐にわたります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.ruckuswireless.com/security_bulletins/323

【2】Apache Tomcatにリクエストスマグリングの脆弱性
情報源
https://jvn.jp/vu/JVNVU96182160/

概要
Apache Tomcatには、リクエストスマグリングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M11

https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.16

https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.83

https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.96

【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_28.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。Googleは今回修正された脆弱性の一部を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。

【4】複数のApple製品に脆弱性
情報源
https://www.jpcert.or.jp/newsflash/2023120101.html

概要
AppleからiOSおよびiPadOS、macOS、Safariに関するセキュリティアップデートが公開されました。Appleは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/HT214031

https://support.apple.com/ja-jp/HT214032

https://support.apple.com/ja-jp/HT214033

【5】JPCERT/CCが「ICS脆弱性分析レポート - 2023年度上期 -」を公開
情報源
https://www.jpcert.or.jp/ics/ICS_VulsAnalysisReport2023H1.pdf

概要
2023年11月30日、JPCERT/CCは「ICS脆弱性分析レポート - 2023年度上期 -」を公開しました。本文書は、2023年度上期に公表されたICS関連製品の脆弱性情報の中から特徴的なものをピックアップし、その内容やICS全体への影響などを解説しています。ICSユーザー組織のセキュリティ担当者がICS関連製品の脆弱性情報を認識、理解する上での参考情報としてご活用ください。

目　次
【1】複数のMozilla製品に脆弱性
【2】LuxCal Web Calendarに複数の脆弱性
【3】経済産業省が「サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のMozilla製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/11/22/mozilla-releases-security-updates-firefox-and-thunderbird

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Firefox for iOS、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2023-52/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-51/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-50/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-49/

【2】LuxCal Web Calendarに複数の脆弱性
情報源
https://jvn.jp/jp/JVN15005948/

概要
LuxSoftが提供するLuxCal Web Calendarには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.luxsoft.eu/lcforum/viewtopic.php?id=476

【3】経済産業省が「サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書」を公開
情報源
https://www.meti.go.jp/press/2023/11/20231122002/20231122002.html

概要
2023年11月22日、経済産業省は同年5月より開催していた「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書等を取りまとめました。最終報告書では、サイバー攻撃の被害企業の同意を個別に得ることなく速やかな情報共有の対象となり得る「攻撃技術情報」についての考え方を整理し、そうした考え方に基づく専門組織間での円滑な情報共有を提言しています。関連文書については、2023年11月22日から12月22日までの間、意見を募集しています。