2023年11月29日 (水)

■11/19(日)~11/25(土) のセキュリティ関連情報

目 次
【1】複数のMozilla製品に脆弱性
【2】LuxCal Web Calendarに複数の脆弱性
【3】経済産業省が「サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】複数のMozilla製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/11/22/mozilla-releases-security-updates-firefox-and-thunderbird

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Firefox for iOS、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2023-52/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-51/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-50/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-49/


【2】LuxCal Web Calendarに複数の脆弱性
情報源
https://jvn.jp/jp/JVN15005948/

概要
LuxSoftが提供するLuxCal Web Calendarには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.luxsoft.eu/lcforum/viewtopic.php?id=476


【3】経済産業省が「サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書」を公開
情報源
https://www.meti.go.jp/press/2023/11/20231122002/20231122002.html

概要
2023年11月22日、経済産業省は同年5月より開催していた「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書等を取りまとめました。最終報告書では、サイバー攻撃の被害企業の同意を個別に得ることなく速やかな情報共有の対象となり得る「攻撃技術情報」についての考え方を整理し、そうした考え方に基づく専門組織間での円滑な情報共有を提言しています。関連文書については、2023年11月22日から12月22日までの間、意見を募集しています。

投稿時刻 10:14 セキュリティ |

2023年11月22日 (水)

■11/12(日)~11/18(土) のセキュリティ関連情報

目 次
【1】CLUSTERPRO Xに複数の脆弱性
【2】CubeCartに複数の脆弱性
【3】Redmineにクロスサイトスクリプティングの脆弱性
【4】Citrix Hypervisorに複数の脆弱性
【5】Apache ActiveMQにリモートコード実行の脆弱性
【6】ファースト製DVRに複数の脆弱性
【7】複数のアドビ製品に脆弱性
【8】複数のマイクロソフト製品に脆弱性
【9】複数のFortinet製品に脆弱性
【10】VMware Cloud Director Applianceに認証バイパスの脆弱性
【11】複数のIntel製品に脆弱性
【12】ASUSTeK COMPUTER製RT-AC87Uに不適切なアクセス制御の脆弱性
【13】エレコム製およびロジテック製ルーターに複数の脆弱性
【14】OSS CalendarにSQLインジェクションの脆弱性
【15】プリザンターに複数の脆弱性
【16】HOTELDRUIDにクロスサイトスクリプティングの脆弱性
【17】日本の組織を標的にした外部からアクセス可能なIT資産を狙う複数の標的型サイバー攻撃活動に関する注意喚起
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】CLUSTERPRO Xに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU98954968/

概要
日本電気株式会社が提供するCLUSTERPRO XのWebManager/Cluster WebUIには、複数の脆弱性があります。対策は当該製品のバージョンにより異なります。詳細は開発者が提供する情報を参照してください。
関連文書
https://jpn.nec.com/security-info/secinfo/nv23-009.html


【2】CubeCartに複数の脆弱性
情報源
https://jvn.jp/jp/JVN22220399/

概要
CubeCart Limitedが提供するCubeCartには、複数の脆弱性があります。対策は脆弱性により異なります。詳細は開発者が提供する情報を参照してください。
関連文書
https://forums.cubecart.com/topic/58736-cubecart-653-released-security-update/


【3】Redmineにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN13618065/

概要
Redmineには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.redmine.org/projects/redmine/wiki/Security_Advisories

https://www.redmine.org/news/141

https://www.redmine.org/projects/redmine/wiki/Download


【4】Citrix Hypervisorに複数の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/11/16/citrix-releases-security-updates-citrix-hypervisor-0

概要
Citrix Hypervisorには複数の脆弱性があります。この問題は、当該製品に更新プログラムを適用することで解決します。詳細は開発者が提供する情報を参照してください。


【5】Apache ActiveMQにリモートコード実行の脆弱性
情報源
https://jvn.jp/vu/JVNVU98585341/

概要
Apache ActiveMQおよびApache ActiveMQ Legacy OpenWire Moduleにはリモートコード実行が可能となる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://activemq.apache.org/security-advisories.data/CVE-2023-46604

https://activemq.apache.org/news/cve-2023-46604


【6】ファースト製DVRに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU99077347/

概要
株式会社ファーストが提供するDigital Video Recorder(DVR)には、複数の脆弱性があります。対策は製品により異なります。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.c-first.co.jp/wp/wp-content/uploads/2023/11/tuushin.pdf

https://www.c-first.co.jp/information/ddososhirase/


【7】複数のアドビ製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/11/14/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品に関する脆弱性が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2023/at230027.html

https://www.jpcert.or.jp/newsflash/2023111501.html


【8】複数のマイクロソフト製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/11/14/microsoft-releases-november-2023-security-updates

概要
複数のマイクロソフト製品に関する脆弱性が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2023/at230028.html


【9】複数のFortinet製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/11/14/fortinet-releases-security-updates-forticlient-and-fortigate

概要
Fortinetは同社製品における脆弱性に関するアドバイザリを21件(Critical 2件 High 6件を含む)公開しました。対象製品および影響は多岐にわたり、対策は製品により異なります。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fortiguard.com/psirt/FG-IR-22-299

https://www.fortiguard.com/psirt/FG-IR-23-274

https://www.fortiguard.com/psirt/FG-IR-23-135

https://www.fortiguard.com/psirt/FG-IR-23-142

https://www.fortiguard.com/psirt/FG-IR-23-061

https://www.fortiguard.com/psirt/FG-IR-23-143

https://www.fortiguard.com/psirt/FG-IR-23-265

https://www.fortiguard.com/psirt/FG-IR-22-292


【10】VMware Cloud Director Applianceに認証バイパスの脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/11/14/vmware-releases-security-update-cloud-director-appliance

概要
VMware Cloud Director Applianceには、認証バイパスの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.vmware.com/security/advisories/VMSA-2023-0026.html


【11】複数のIntel製品に脆弱性
情報源
https://jvn.jp/vu/JVNVU96399390/

概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center Advisoriesが公開されました。詳細は、Intelが提供する情報を参照してください。
関連文書
https://www.intel.com/content/www/us/en/security-center/default.html

https://www.jpcert.or.jp/newsflash/2023111502.html


【12】ASUSTeK COMPUTER製RT-AC87Uに不適切なアクセス制御の脆弱性
情報源
https://jvn.jp/vu/JVNVU96079387/

概要
ASUSTeK COMPUTER INC.が提供するRT-AC87Uには、不適切なアクセス制御の脆弱性があります。この問題は、ワークアラウンドを実施する、または後継製品に移行することで解決します。詳細は開発者が提供する情報を参照してください。


【13】エレコム製およびロジテック製ルーターに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU94119876/

概要
エレコム株式会社およびロジテック株式会社が提供するルーターには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新、ワークアラウンドを実施、または後継製品に移行することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.elecom.co.jp/news/security/20230810-01/

https://www.elecom.co.jp/news/security/20231114-01/

https://www.elecom.co.jp/news/security/20210706-01/


【14】OSS CalendarにSQLインジェクションの脆弱性
情報源
https://jvn.jp/jp/JVN67822421/

概要
シンキングリード株式会社が提供するOSS Calendarには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://oss-calendar.com/news/20231113/


【15】プリザンターに複数の脆弱性
情報源
https://jvn.jp/jp/JVN96209256/

概要
株式会社インプリムが提供するプリザンターには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://pleasanter.org/archives/vulnerability-update-202311


【16】HOTELDRUIDにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN99177549/

概要
DigitalDruid.Netが提供するHOTELDRUIDには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.hoteldruid.com/en/download.html


【17】日本の組織を標的にした外部からアクセス可能なIT資産を狙う複数の標的型サイバー攻撃活動に関する注意喚起
情報源
https://www.jpcert.or.jp/at/2023/at230029.html

概要
2023年11月16日、JPCERT/CCは日本の組織を標的にした外部からアクセス可能なIT資産を狙う複数の標的型サイバー攻撃活動に関する注意喚起を公開しました。複数の製品を対象とした攻撃活動を確認しておりますので、調査および対策の実施を推奨します。

投稿時刻 13:02 セキュリティ |

2023年11月15日 (水)

■11/05(日)~11/11(土) のセキュリティ関連情報

目 次
【1】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性
【2】OpenSSLにDHキー生成とパラメータチェックに過剰な時間がかかる問題
【3】EC-CUBE 3系および4系に任意のコードを実行される脆弱性
【4】JPCERT/CCがブログ「RFC 9116「security.txt」の紹介(2022年8月)の続報」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU98040889/

概要
Trend Micro Apex OneおよびTrend Micro Apex One SaaSには、複数の脆弱性があります。この問題は、当該製品にパッチを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://success.trendmicro.com/jp/solution/000295594


【2】OpenSSLにDHキー生成とパラメータチェックに過剰な時間がかかる問題
情報源
https://jvn.jp/vu/JVNVU99711420/

概要
OpenSSLのDH_generate_key()関数およびDH_check_pub_key()関数には、特定のパラメータが大きすぎる場合に処理速度が遅くなる問題があります。この問題に対しては、OpenSSL gitリポジトリーでcommitが提供されています。次回のリリースで今回のパッチを反映する予定とのことです。詳細はOpenSSL Projectが提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20231106.txt


【3】EC-CUBE 3系および4系に任意のコードを実行される脆弱性
情報源
https://jvn.jp/jp/JVN29195731/

概要
株式会社イーシーキューブが提供するEC-CUBE 3系および4系には、任意のコードが実行可能な脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新するか、パッチを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.ec-cube.net/info/weakness/20231026/index_40.php

https://www.ec-cube.net/info/weakness/20231026/

https://www.ec-cube.net/info/weakness/20231026/index_3.php


【4】JPCERT/CCがブログ「RFC 9116「security.txt」の紹介(2022年8月)の続報」を公開
情報源
https://blogs.jpcert.or.jp/ja/2023/11/rfc-9116-follow-up.html

概要
2023年11月10日、JPCERT/CCはブログ「RFC 9116「security.txt」の紹介(2022年8月)の続報」を公開しました。前回のブログで紹介したRFC 9116について、開発者との脆弱性関連情報のコーディネーション(調整)がスムーズにできた事例などを紹介しています。
関連文書
https://blogs.jpcert.or.jp/ja/2022/08/rfc9116-introduction.html

投稿時刻 11:35 セキュリティ |

2023年11月 8日 (水)

■10/29(日)~11/04(土) のセキュリティ関連情報

目 次
【1】e-TaxソフトにXML外部実体参照(XXE)に関する脆弱性
【2】複数のCisco製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】富士フイルムビジネスイノベーション製およびXerox Corporation製複合機(MFP)に脆弱性
【5】Atlassian製Confluence Data CenterおよびConfluence Serverに不適切な認可の脆弱性
【6】サイボウズ リモートサービスにリソース枯渇の脆弱性
【7】MCL Technologies製MCL-Netにディレクトリトラバーサルの脆弱性
【8】Inkdropにコードインジェクションの脆弱性
【9】複数のVMware製品に脆弱性
【10】JPCERT/CCが「TSUBAMEレポート Overflow(2023年7-9月)」を公開
【11】JPCERT/CC ベストレポーター賞 2023
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】e-TaxソフトにXML外部実体参照(XXE)に関する脆弱性
情報源
https://jvn.jp/jp/JVN14762986/

概要
国税庁が提供するe-Taxソフトには、同製品が内包するXMLパーサの実装方法に起因したXML外部実体参照(XXE)に関する脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.e-tax.nta.go.jp/topics/topics_20231102.htm


【2】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-cmd-inj-29MP49hN

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計24件(Critical 1件、High 9件、Medium 14件)公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x


【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop_31.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。


【4】富士フイルムビジネスイノベーション製およびXerox Corporation製複合機(MFP)に脆弱性
情報源
https://jvn.jp/vu/JVNVU96482726/

概要
富士フイルムビジネスイノベーション製およびXerox Corporation製の複数の複合機(MFP)では、アドレス帳に格納された情報をエクスポートする際、十分な強度の暗号化を行っていません。この問題は、ファームウェアをアップデートすることで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fujifilm.com/fb/company/news/notice/2023/1031_addressbook_announce.html

https://securitydocs.business.xerox.com/wp-content/uploads/2023/11/XRX23-015_Security-Bulletin-for-Primelink-Versalink-and-WorkCentre-CVE-023-46327.pdf


【5】Atlassian製Confluence Data CenterおよびConfluence Serverに不適切な認可の脆弱性
情報源
https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html

概要
Atlassian社が提供するConfluence Data CenterおよびConfluence Serverには、不適切な認可の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。


【6】サイボウズ リモートサービスにリソース枯渇の脆弱性
情報源
https://jvn.jp/jp/JVN94132951/

概要
サイボウズ株式会社が提供するサイボウズ リモートサービスには、リソース枯渇の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://cs.cybozu.co.jp/2023/010657.html

https://kb.cybozu.support/article/38564/


【7】MCL Technologies製MCL-Netにディレクトリトラバーサルの脆弱性
情報源
https://jvn.jp/vu/JVNVU99565391/

概要
MCL Technologiesが提供するMCL-Netには、ディレクトリトラバーサルの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.mcl-mobilityplatform.com/downloads.php

https://download.mcl4e.com/mcl4/help/releasenotes/Release%20Notes%20MCL%20Net%204.6.pdf

https://holdings.panasonic/global/corporate/product-security/psirt/advisories.html


【8】Inkdropにコードインジェクションの脆弱性
情報源
https://jvn.jp/jp/JVN48057522/

概要
Inkdropには、コードインジェクションの脆弱性があります。該当製品にはオートアップデート機能があり、これにより自動的に修正版にアップデートされます。詳細は開発者が提供する情報を参照してください。
関連文書
https://forum.inkdrop.app/t/inkdrop-desktop-v5-6-0/4211


【9】複数のVMware製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/10/30/vmware-releases-advisory-vmware-tools-vulnerabilities

概要
VMware ToolsおよびWorkspace ONE UEMには、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.vmware.com/security/advisories/VMSA-2023-0024.html

https://www.vmware.com/security/advisories/VMSA-2023-0025.html


【10】JPCERT/CCが「TSUBAMEレポート Overflow(2023年7-9月)」を公開
情報源
https://blogs.jpcert.or.jp/ja/2023/10/tsubame_overflow_2023-07-09.html

概要
2023年10月31日、JPCERT/CCは「TSUBAMEレポート Overflow(2023年7-9月)」に関するブログを公開しました。2023年7-9月の観測結果として、海外に設置しているセンサーの観測動向の比較や、その他の活動などについて紹介しています。
関連文書
https://www.jpcert.or.jp/tsubame/report/report202307-09.html


【11】JPCERT/CC ベストレポーター賞 2023
情報源
https://www.jpcert.or.jp/award/best-reporter-award/2023.html

概要
JPCERT/CCは10月30日、ベストレポーター賞2023の受賞者を発表しました。ベストレポーター賞は、インシデント報告と脆弱性報告のそれぞれの部門において、情報提供によりJPCERT/CCの活動に顕著な貢献をいただいた方に年1回、記念品の贈呈とともに感謝の意を表するものです。
JPCERT/CCは、多くの報告者の方々に日々ご協力いただいております。JPCERT/CCに報告をくださったすべての方々に、この場を借りて感謝申し上げます。引き続きJPCERT/CCの活動にご協力いただければと存じます。

投稿時刻 16:18 セキュリティ |

2023年11月 1日 (水)

■10/22(日)~10/28(土) のセキュリティ関連情報


目 次
【1】複数のApple製品に脆弱性
【2】複数のVMware製品に脆弱性
【3】baserCMSに複数の脆弱性
【4】OpenSSLの暗号鍵と初期化ベクトルの長さに関する処理の問題
【5】Movable Typeにクロスサイトスクリプティングの脆弱性
【6】Google Chromeに複数の脆弱性
【7】HP ThinUpdateにサーバー証明書の検証不備の脆弱性
【8】複数のMozilla製品に脆弱性
【9】BIG-IPにリモートコード実行の脆弱性
【10】JPCERT/CCが「フィッシングサイト経由の認証情報窃取とドメイン名ハイジャック事件」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/10/26/apple-releases-security-advisories-multiple-products

概要
AppleからiOSおよびiPadOS、macOS、tvOS、watchOS、Safariに関するセキュリティアップデートが公開されました。Appleは今回修正された脆弱性の一部を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/en-us/HT213982

https://support.apple.com/en-us/HT213981

https://support.apple.com/en-us/HT213990

https://support.apple.com/en-us/HT213984

https://support.apple.com/en-us/HT213985

https://support.apple.com/en-us/HT213983

https://support.apple.com/en-us/HT213987

https://support.apple.com/en-us/HT213988

https://support.apple.com/en-us/HT213986


【2】複数のVMware製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/10/26/vmware-releases-security-advisory-vcenter-server

概要
VMware vCenter ServerおよびVMware Cloud Foundationには、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.vmware.com/security/advisories/VMSA-2023-0023.html


【3】baserCMSに複数の脆弱性
情報源
https://jvn.jp/jp/JVN45547161/

概要
baserCMSユーザー会が提供するbaserCMSには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://basercms.net/security/JVN_45547161


【4】OpenSSLの暗号鍵と初期化ベクトルの長さに関する処理の問題
情報源
https://jvn.jp/vu/JVNVU99631663/

概要
OpenSSLには、鍵とIV(Initialization Vector)の長さに関する処理に問題があり、一部の共通鍵暗号の初期化時に切り捨てやオーバーフローが発生する可能性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20231024.txt


【5】Movable Typeにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN39139884/

概要
シックス・アパート株式会社が提供するMovable Typeには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.sixapart.jp/movabletype/news/2023/10/25-1100.html


【6】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop_24.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。


【7】HP ThinUpdateにサーバー証明書の検証不備の脆弱性
情報源
https://jvn.jp/jp/JVN02058996/

概要
HP Development Company, L.P.が提供するHP ThinUpdateには、サーバー証明書の検証不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.hp.com/us-en/document/ish_9440593-9440618-16


【8】複数のMozilla製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/10/25/mozilla-releases-security-advisories-multiple-products

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Firefox for iOS、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2023-48/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-47/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-46/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-45/


【9】BIG-IPにリモートコード実行の脆弱性
情報源
https://www.jpcert.or.jp/newsflash/2023102701.html

概要
F5 Networksが提供するBIG-IP Configuration utilityにはリモートコード実行の脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://my.f5.com/manage/s/article/K000137353


【10】JPCERT/CCが「フィッシングサイト経由の認証情報窃取とドメイン名ハイジャック事件」を公開
情報源
https://blogs.jpcert.or.jp/ja/2023/10/domain-hijacking.html

概要
2023年10月25日、JPCERT/CCはブログ「フィッシングサイト経由の認証情報窃取とドメイン名ハイジャック事件」を公開しました。2023年7月上旬に、日本国内で利用されていたドメインが不正に別のレジストラーに移管されるドメインハイジャックの攻撃事例を紹介しています。

投稿時刻 13:29 セキュリティ |

2023年10月25日 (水)

■10/15(日)~10/21(土) のセキュリティ関連情報

目 次
【1】Apache HTTP Server 2.4に複数の脆弱性
【2】Google Chromeのセキュリティアップデート
【3】2023年10月Oracle Critical Patch Updateについて
【4】IPAが「オンラインストレージの脆弱性対策について」を公開
【5】JNSAとISOG-Jが「セキュリティ対応組織(SOC/CSIRT) の教科書」の第3.1版を公開
【6】Citrix ADCおよびCitrix Gatewayの脆弱性(CVE-2023-4966)に関する注意喚起
【7】Cisco IOS XEのWeb UIにおける権限昇格の脆弱性(CVE-2023-20198)に関する注意喚起
【8】JPCERT/CCが2023年7月-2023年9月分の「活動四半期レポート」などを公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】Apache HTTP Server 2.4に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU93413100/

概要
Apache HTTP Server 2.4系には、mod_macroにおけるバッファ外読み取りの脆弱性(CVE-2023-31122)など複数の脆弱性があります。これらの問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.58


【2】Google Chromeのセキュリティアップデート
情報源
https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop_17.html

概要
Googleより、Google Chromeに関するセキュリティの修正を含む、アップデートが公開されました。詳細は開発者が提供する情報を参照してください。


【3】2023年10月Oracle Critical Patch Updateについて
情報源
https://www.oracle.com/security-alerts/cpuoct2023.html

概要
Oracleから複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公開されました。詳細は、Oracleが提供する情報を参照してください。
関連文書
https://www.cisa.gov/news-events/alerts/2023/10/19/oracle-releases-october-2023-critical-patch-update-advisory

https://www.jpcert.or.jp/at/2023/at230024.html


【4】IPAが「オンラインストレージの脆弱性対策について」を公開
情報源
https://www.ipa.go.jp/security/security-alert/2023/alert20231019.html

概要
2023年10月19日、独立行政法人情報処理推進機構(IPA)は「オンラインストレージの脆弱性対策について」を公開しました。オンラインストレージの脆弱性を悪用した攻撃に関して、最近の動向や対策などを紹介しています。


【5】JNSAとISOG-Jが「セキュリティ対応組織(SOC/CSIRT) の教科書」の第3.1版を公開
情報源
https://isog-j.org/output/2023/Textbook_soc-csirt_v3.1.pdf

概要
2023年10月17日、NPO 日本ネットワークセキュリティ協会(JNSA)と日本セキュリティオペレーション事業者協議会(ISOG-J)は「セキュリティ対応組織(SOC/CSIRT) の教科書」の第3.1版を公開しました。マネジメントプロセスとサービスとの関連の補足説明や、セキュリティ対応組織サービスポートフォリオシートなどが追加されています。


【6】Citrix ADCおよびCitrix Gatewayの脆弱性(CVE-2023-4966)に関する注意喚起
情報源
https://www.jpcert.or.jp/at/2023/at230026.html

概要
2023年10月20日、JPCERT/CCはCitrix ADCおよびCitrix Gatewayの脆弱性(CVE-2023-4966)に関する注意喚起を公開しました。Citrixは脆弱性を悪用する攻撃を確認しているとのことですので、影響を受ける製品を利用している場合、速やかに対策の適用などをご検討ください。


【7】Cisco IOS XEのWeb UIにおける権限昇格の脆弱性(CVE-2023-20198)に関する注意喚起
情報源
https://www.jpcert.or.jp/at/2023/at230025.html

概要
2023年10月18日、JPCERT/CCはCisco IOS XEのWeb UIにおける権限昇格の脆弱性(CVE-2023-20198)に関する注意喚起を公開しました。JPCERT/CCでは、本脆弱性を悪用した攻撃による被害を確認しています。Ciscoが提供する最新の情報を確認の上、推奨事項の適用および侵害痕跡の調査の実施を推奨します。


【8】JPCERT/CCが2023年7月-2023年9月分の「活動四半期レポート」などを公開
情報源
https://www.jpcert.or.jp/pr/2023/PR_Report2023Q2.pdf

概要
2023年10月17日、JPCERT/CCは2023年7月-9月分の「活動四半期レポート」「インシデント報告対応レポート」を公開しました。本四半期中のJPCERT/CCの国内外の活動に加え、JPCERT/CCが報告を受け付けたインシデントの統計や事例などについてまとめています。参考資料としてご活用ください。
関連文書
https://www.jpcert.or.jp/pr/2023/IR_Report2023Q2.pdf

投稿時刻 10:09 セキュリティ |

2023年10月19日 (木)

■10/08(日)~10/14(土) のセキュリティ関連情報

目 次
【1】三菱電機製MELSEC-Fシリーズ基本ユニットに不適切な認証の脆弱性
【2】複数のJuniper製品に脆弱性
【3】複数のFortinet製品に脆弱性
【4】Apache Tomcatに複数の脆弱性
【5】Google Chromeに複数の脆弱性
【6】複数のCitrix製品に脆弱性
【7】複数のマイクロソフト製品に脆弱性
【8】ProselfのXML外部実体参照(XXE)に関する脆弱性を悪用する攻撃の注意喚起
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】三菱電機製MELSEC-Fシリーズ基本ユニットに不適切な認証の脆弱性
情報源
https://jvn.jp/vu/JVNVU90509290/

概要
三菱電機製MELSEC-Fシリーズ基本ユニットには不適切な認証の脆弱性があります。開発者によると、Ethernet通信用特殊アダプターFX3U-ENET-ADPまたはEthernetインタフェースブロックFX3U-ENET(-L)を使用する場合に、本脆弱性の影響を受けるとのことです。開発者が提供する軽減策の適用方法など、詳細は開発者が提供する情報を参照してください。
関連文書
https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2023-012.pdf

https://www.cisa.gov/news-events/ics-advisories/icsa-23-285-13


【2】複数のJuniper製品に脆弱性
情報源
https://supportportal.juniper.net/s/article/2023-10-Security-Bulletin-Junos-OS-An-unauthenticated-attacker-with-local-access-to-the-device-can-create-a-backdoor-with-root-privileges-CVE-2023-44194

概要
Juniperは同社製品における脆弱性に関するアドバイザリを計31件(High 9件、Medium 22件)公開しました。対象製品および影響は多岐にわたり、対策は製品により異なります。詳細は開発者が提供する情報を参照してください。
関連文書
https://supportportal.juniper.net/s/article/2023-10-Security-Bulletin-Junos-OS-MX-Series-In-a-PTP-scenario-a-prolonged-routing-protocol-churn-can-trigger-an-FPC-reboot-CVE-2023-44199

https://supportportal.juniper.net/s/article/2023-10-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-An-rpd-crash-may-occur-when-BGP-is-processing-newly-learned-routes-CVE-2023-44197

https://supportportal.juniper.net/s/article/2023-10-Security-Bulletin-Junos-OS-QFX5000-Series-DMA-memory-leak-is-observed-when-specific-DHCP-packets-are-transmitted-over-pseudo-VTEP-CVE-2023-44192

https://supportportal.juniper.net/s/article/2023-10-Security-Bulletin-Junos-OS-QFX5000-Series-and-EX4000-Series-Denial-of-Service-DoS-on-a-large-scale-VLAN-due-to-PFE-hogging-CVE-2023-44191

https://supportportal.juniper.net/s/article/2023-10-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-RPD-crash-when-attempting-to-send-a-very-long-AS-PATH-to-a-non-4-byte-AS-capable-BGP-neighbor-CVE-2023-44186

https://supportportal.juniper.net/s/article/2023-10-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-In-a-BGP-scenario-RPD-crashes-upon-receiving-and-processing-a-specific-malformed-ISO-VPN--BGP-UPDATE-packet-CVE-2023-44185

https://supportportal.juniper.net/s/article/2023-10-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-An-Unchecked-Return-Value-in-multiple-users-interfaces-affects-confidentiality-and-integrity-of-device-operations-CVE-2023-44182

https://supportportal.juniper.net/s/article/2023-10-Security-Bulletin-Junos-OS-QFX5k-l2-loop-in-the-overlay-impacts-the-stability-in-a-EVPN-VXLAN-environment-CVE-2023-44181


【3】複数のFortinet製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/10/11/fortinet-releases-security-updates-multiple-products

概要
Fortinetは同社製品における脆弱性に関するアドバイザリを計30件(Critical 3件、High 11件、Medium 11件、Low 5件)公開しました。対象製品および影響は多岐にわたり、対策は製品により異なります。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.fortiguard.com/psirt/FG-IR-23-189

https://www.fortiguard.com/psirt/FG-IR-23-062

https://www.fortiguard.com/psirt/FG-IR-23-167

https://www.fortiguard.com/psirt/FG-IR-22-352

https://www.fortiguard.com/psirt/FG-IR-23-318

https://fortiguard.fortinet.com/psirt/FG-IR-23-085


【4】Apache Tomcatに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU93620838/

概要
Apache Tomcatには、HTTP/2プロトコルに関するサービス運用妨害(DoS)の脆弱性(CVE-2023-44487)など、複数の脆弱性があります。これらの問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.75

https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12

https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14

https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94


【5】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop_10.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。


【6】複数のCitrix製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/10/10/citrix-releases-security-updates-multiple-products

概要
CitrixはCitrix NetScaler ADC(Citrix ADC)、NetScaler Gateway(Citrix Gateway)およびCitrix Hypervisorにおける複数の脆弱性に関する情報を公開しました。影響を受ける製品を利用している場合、Citrixが提供する最新の情報や関連情報をご確認の上、速やかに対策の適用などをご検討ください。
関連文書
https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967

https://support.citrix.com/article/CTX575089/citrix-hypervisor-multiple-security-updates


【7】複数のマイクロソフト製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/10/10/microsoft-releases-october-2023-security-updates

概要
複数のマイクロソフト製品に関する脆弱性が公開されています。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。対象となる製品およびバージョンは多岐にわたります。マイクロソフトは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2023/at230023.html

https://msrc.microsoft.com/blog/2023/10/202310-security-update/


【8】ProselfのXML外部実体参照(XXE)に関する脆弱性を悪用する攻撃の注意喚起
情報源
https://www.jpcert.or.jp/at/2023/at230022.html

概要
2023年10月10日、JPCERT/CCはオンラインストレージ構築パッケージ製品「Proself」のXML外部実体参照(XXE)に関する脆弱性を悪用する攻撃の注意喚起を公開しました。JPCERT/CCがこれまでに確認している、同脆弱性を悪用する攻撃に関するインディケータ情報も記載しております。ご参照のうえ、侵害有無の調査実施を検討ください。

投稿時刻 09:43 セキュリティ |

2023年10月12日 (木)

■10/01(日)~10/07(土) のセキュリティ関連情報

目 次
【1】e-Gov電子申請アプリケーションにアクセス制限不備の脆弱性
【2】Atlassian製Confluence Data CenterおよびConfluence Serverにアクセス制御不備の脆弱性
【3】複数のCisco製品に脆弱性
【4】Citadel WebCitのインスタントメッセージング機能にクロスサイトスクリプティングの脆弱性
【5】フルノシステムズ製無線LANアクセスポイント(STモード利用時)に複数の脆弱性
【6】医薬品医療機器等法対応医薬品等電子申請ソフトにXML外部実体参照(XXE)の脆弱性
【7】Apple iOSおよびiPadOSに脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】e-Gov電子申請アプリケーションにアクセス制限不備の脆弱性
情報源
https://jvn.jp/jp/JVN15808274/

概要
デジタル庁が提供するe-Gov電子申請アプリケーションには、Custom URL Schemeの処理にアクセス制限不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://shinsei.e-gov.go.jp/contents/news/2023-03-12t1022040900_1318.html


【2】Atlassian製Confluence Data CenterおよびConfluence Serverにアクセス制御不備の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/10/05/atlassian-releases-security-advisory-confluence-data-center-and-server

概要
Atlassian社が提供するConfluence Data CenterおよびConfluence Serverには、アクセス制御不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。開発者は今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://confluence.atlassian.com/security/cve-2023-22515-privilege-escalation-vulnerability-in-confluence-data-center-and-server-1295682276.html


【3】複数のCisco製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/10/05/cisco-releases-security-advisories-multiple-products

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計3件(Critical 1件、High 1件、Medium 1件)公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x


【4】Citadel WebCitのインスタントメッセージング機能にクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN08237727/

概要
Citadel WebCitには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.citadel.org/download.html

https://code.citadel.org/citadel/citadel

https://code.citadel.org/citadel/citadel/-/commit/f0dac5ff074ad686fa71ea663c8ead107bd3041e


【5】フルノシステムズ製無線LANアクセスポイント(STモード利用時)に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU94497038/

概要
株式会社フルノシステムズが提供する無線LANアクセスポイント製品(STモード利用時)には、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアにアップデートすることで解決します。なお、開発者によると、本件の影響を受ける製品群の一部は、すでにサポートが終了しているとのことであり、サポートを終了した製品については、製品の使用停止が推奨されています。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.furunosystems.co.jp/news/info/vulner20231002.html


【6】医薬品医療機器等法対応医薬品等電子申請ソフトにXML外部実体参照(XXE)の脆弱性
情報源
https://jvn.jp/jp/JVN39596244/

概要
厚生労働省が提供する医薬品医療機器等法対応医薬品等電子申請ソフトには、XML外部実体参照(XXE)の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://web.fd-shinsei.mhlw.go.jp/download/software/index.html


【7】Apple iOSおよびiPadOSに脆弱性
情報源
https://www.jpcert.or.jp/newsflash/2023100501.html

概要
Appleが提供するiOSおよびiPadOSには、複数の脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。Appleは今回修正された脆弱性の内、Kernelの権限昇格の脆弱性(CVE-2023-42824)を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/HT213961

投稿時刻 10:08 セキュリティ |

2023年10月 4日 (水)

■09/24(日)~09/30(土) のセキュリティ関連情報

目 次
【1】複数のCisco製品に脆弱性
【2】複数のApple製品に脆弱性
【3】複数のMozilla製品に脆弱性
【4】Panasonic製KW Watcherに複数の脆弱性
【5】Trend Micro Mobile Securityにクロスサイトスクリプティングの脆弱性
【6】NISCが「サイバーセキュリティ関係法令Q&AハンドブックVer2.0」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】複数のCisco製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/09/28/cisco-releases-security-advisories-multiple-products

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計15件(Critical 1件、High 7件、Medium 6件、Informational 1件)公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x


【2】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/09/28/apple-releases-security-updates-multiple-products

概要
AppleからmacOS Sonoma 14およびSafari 17に関するセキュリティアップデートが公開されました。Appleは今回修正された脆弱性の一部を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/HT201222

https://www.jpcert.or.jp/newsflash/2023092201.html


【3】複数のMozilla製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/09/27/mozilla-releases-security-advisories-thunderbird-and-firefox

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Firefox for Android、Firefox Focus for Android、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。Mozillaは今回修正された脆弱性の一部を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2023-41/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-42/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-43/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-44/


【4】Panasonic製KW Watcherに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU95549489/

概要
Panasonicが提供するKW Watcherには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www3.panasonic.biz/ac/j/fasys/software_info/eco/tol_kwwatcher.jsp

https://www3.panasonic.biz/ac/j/fasys/software_info/eco/kwwatcher_versioninfo.jsp


【5】Trend Micro Mobile Securityにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/vu/JVNVU95732401/

概要
トレンドマイクロ株式会社から、Trend Micro Mobile Security向けのアップデートが公開されました。この問題は、当該製品にパッチを適用することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://success.trendmicro.com/jp/solution/000294710


【6】NISCが「サイバーセキュリティ関係法令Q&AハンドブックVer2.0」を公開
情報源
https://security-portal.nisc.go.jp/guidance/law_handbook.html

概要
2023年9月25日、内閣官房内閣サイバーセキュリティセンター(NISC)は、サイバーセキュリティ対策において参照すべき関係法令をQ&A形式で解説する「サイバーセキュリティ関係法令Q&Aハンドブック」のVer2.0を公開しました。サイバーセキュリティを取り巻く環境変化、関係法令・ガイドラインなどの成立・改正を踏まえ、項目立て・内容の充実、更新を行い改訂されたものです。
関連文書
https://security-portal.nisc.go.jp/guidance/pdf/law_handbook/law_handbook_2.pdf

投稿時刻 14:59 セキュリティ |

2023年9月28日 (木)

■09/17(日)~09/23(土) のセキュリティ関連情報

目 次
【1】Drupal coreにキャッシュポイズニングの脆弱性
【2】ISC BINDに複数の脆弱性
【3】JenkinsおよびBuild Failure Analyzer Pluginに複数の脆弱性
【4】複数のAtlassian製品に脆弱性
【5】複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品に任意コード実行の脆弱性
【6】GitLabに不適切なアクセス制御の脆弱性
【7】警察庁が「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開
【8】複数のApple製品に脆弱性
【9】JPCERT/CCが「国際カンファレンス参加レポート Black Hat USA, DEF CON」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】Drupal coreにキャッシュポイズニングの脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2023/09/21/drupal-releases-security-advisory-address-vulnerability-drupal-core

概要
Drupal coreには、キャッシュポイズニングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、Drupalが提供する情報を参照してください。
関連文書
https://www.drupal.org/sa-core-2023-006


【2】ISC BINDに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU94469233/

概要
ISC BINDには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/newsflash/2023092101.html

https://kb.isc.org/docs/cve-2023-3341

https://kb.isc.org/docs/cve-2023-4236


【3】JenkinsおよびBuild Failure Analyzer Pluginに複数の脆弱性
情報源
https://www.jenkins.io/security/advisory/2023-09-20/

概要
JenkinsおよびBuild Failure Analyzer Pluginには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。


【4】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/security-bulletin-september-19-2023-1283691616.html

概要
複数のAtlassian製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。


【5】複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品に任意コード実行の脆弱性
情報源
https://jvn.jp/vu/JVNVU90967486/

概要
複数のトレンドマイクロ製企業向けエンドポイントセキュリティ製品には、任意コード実行の脆弱性があります。Apex One 2019、Apex One SaaS、ウイルスバスタービジネスセキュリティ 10.0 SP1、ウイルスバスタービジネスセキュリティサービスが影響を受けます。Apex One 2019、ウイルスバスタービジネスセキュリティ 10.0 SP1の問題は、当該製品にパッチを適用することで解決します。また、Apex One SaaSは2023年7月のメンテナンス、ウイルスバスタービジネスセキュリティサービスは2023年7月31日のアップデートで修正済みです。トレンドマイクロは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=4886

https://www.jpcert.or.jp/at/2023/at230021.html

https://success.trendmicro.com/jp/solution/000294706


【6】GitLabに不適切なアクセス制御の脆弱性
情報源
https://about.gitlab.com/releases/2023/09/18/security-release-gitlab-16-3-4-released/

概要
GitLabには、不適切なアクセス制御の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。本修正はCVE-2023-3932の修正不備に対応したものです。詳細は開発者が提供する情報を参照してください。


【7】警察庁が「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開
情報源
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R05_kami_cyber_jousei.pdf

概要
2023年9月21日、警察庁は「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開しました。この文書では、令和5年上半期におけるサイバー攻撃やサイバー犯罪の情勢および今後の取組についてまとめられており、今期の脅威情勢として、DDoS攻撃によるWebサイトの閲覧障害の事例、クレジットカードの不正利用被害額の増加、データを暗号化せずに窃取し対価を要求する攻撃の被害などを挙げています。

また同日、警察庁は「令和5年上半期におけるインターネット・ホットラインセンターの運用状況について」を公開しています。
関連文書
https://www.npa.go.jp/bureau/cyber/pdf/R5fh_ihc_unyou.pdf


【8】複数のApple製品に脆弱性
情報源
https://www.jpcert.or.jp/newsflash/2023092201.html

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。Appleは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/en-us/HT201222


【9】JPCERT/CCが「国際カンファレンス参加レポート Black Hat USA, DEF CON」を公開
情報源
https://blogs.jpcert.or.jp/ja/2023/09/black-hat-usa-def-con.html

概要
2023年9月19日、JPCERT/CCはブログ「国際カンファレンス参加レポート Black Hat USA, DEF CON」を公開しました。JPCERT/CCの職員が世界最大のセキュリティカンファレンスの1つであるBlack Hat USA、そしてハッカーの祭典とも言われるコンベンションDEF CONに参加した際の様子を紹介しています。

投稿時刻 11:38 セキュリティ |

« | »