ミニ・いんふぉめーしょん

目　次
【1】複数のJuniper Networks製品に認証バイパスの脆弱性
【2】複数のTP-Link製品にOSコマンドインジェクションの脆弱性
【3】総務省が「スマートシティセキュリティガイドライン（第3.0版）」を公表
【4】JPCERT/CCが「Volt Typhoonの攻撃キャンペーンにどう備えていくべきなのか　将来の攻撃に備えるThreat Huntingのアプローチについて考える」を公表
【5】Operation Blotless攻撃キャンペーンに関する注意喚起
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のJuniper Networks製品に認証バイパスの脆弱性
情報源
https://supportportal.juniper.net/s/article/2024-06-Out-Of-Cycle-Security-Bulletin-Session-Smart-Router-SSR-On-redundant-router-deployments-API-authentication-can-be-bypassed-CVE-2024-2973

概要
複数のJuniper Networks製品には、認証バイパスの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】複数のTP-Link製品にOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU99784493/

概要
複数のTP-LINK製品には、OSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.tp-link.com/jp/support/download/

https://www.tp-link.com/jp/support/download/archer-ax3000/#Firmware

https://www.tp-link.com/jp/support/download/archer-axe75/#Firmware

https://www.tp-link.com/jp/support/download/archer-ax5400/#Firmware

https://www.tp-link.com/jp/support/download/archer-air-r5/v1/#Firmware

https://www.tp-link.com/jp/support/download/archer-axe5400/#Firmware

【3】総務省が「スマートシティセキュリティガイドライン（第3.0版）」を公表
情報源
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00215.html

概要
総務省は、地域DXや地域活性化にもつながるスマートシティのセキュリティ確保のため、スマートシティの構築・運営におけるセキュリティの考え方やセキュリティ対策を取りまとめた「スマートシティセキュリティガイドライン」の第3.0版を公表しました。また、「スマートシティセキュリティガイドブック」もあわせて更新しています。

【4】JPCERT/CCが「Volt Typhoonの攻撃キャンペーンにどう備えていくべきなのか　将来の攻撃に備えるThreat Huntingのアプローチについて考える」を公表
情報源
https://blogs.jpcert.or.jp/ja/2024/06/volt-typhoon-threat-hunting.html

概要
JPCERT/CCは、「Volt Typhoonの攻撃キャンペーンにどう備えていくべきなのか　将来の攻撃に備えるThreat Huntingのアプローチについて考える」を公表しました。Volt Typhoonのような重要インフラを狙う長期的な攻撃キャンペーンに対する対応を考察しています。

【5】Operation Blotless攻撃キャンペーンに関する注意喚起
情報源
https://www.jpcert.or.jp/at/2024/at240013.html

概要
JPCERT/CCは、Operation Blotless攻撃キャンペーンに関する注意喚起を公表しました。長期間にわたり断続的に活動するVolt Typhoonの攻撃手法や手順（TTP）を踏まえ、これまでの攻撃活動のほか、今後予想される同グループの攻撃活動への対応方法などを解説しています。

目　次
【1】LINE client for iOSにユニバーサルクロスサイトスクリプティングの脆弱性
【2】IPAが「VMware 製品の脆弱性対策について(CVE-2024-37079 等) 」を公開
【3】複数のトレンドマイクロ製品に複数の脆弱性
【4】WordPress用プラグインSiteGuard WP Pluginに変更したログインパスが漏えいする脆弱性
【5】ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性
【6】IPAが「TLS暗号設定ガイドライン 安全なウェブサイトのために（暗号設定対策編）」を改訂
【7】JPCERT/CC および IPA が「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】LINE client for iOSにユニバーサルクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/vu/JVNVU91384468/

概要
LINE client for iOSのアプリ内ブラウザーには、ユニバーサルクロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://line.github.io/security-advisory-blog/CVE-2024-5739/

【2】IPAが「VMware 製品の脆弱性対策について(CVE-2024-37079 等) 」を公開
情報源
https://www.ipa.go.jp/security/security-alert/2024/alert20240619.html

概要
2024年6月19日、独立行政法人情報処理推進機構（IPA）は「VMware 製品の脆弱性対策について(CVE-2024-37079 等)」を公開しました。IPAによると、本脆弱性を悪用された場合、任意のコードを実行されたり、root権限に昇格される可能性があるとのことです。IPAは、修正プログラムの適用を推奨しています。
関連文書
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453

https://core.vmware.com/resource/vmsa-2024-0012-questions-answers

【3】複数のトレンドマイクロ製品に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU99027428/

概要
複数のトレンドマイクロ製品には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://success.trendmicro.com/dcx/s/solution/000298098?language=ja

https://success.trendmicro.com/dcx/s/solution/000298149?language=ja

https://success.trendmicro.com/dcx/s/solution/000298154?language=ja

【4】WordPress用プラグインSiteGuard WP Pluginに変更したログインパスが漏えいする脆弱性
情報源
https://jvn.jp/jp/JVN60331535/

概要
EGセキュアソリューションズが提供するWordPress用プラグインSiteGuard WP Pluginには、変更したログインパスへのアクセスが、 他のページからのリダイレクトにより可能になる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.jp-secure.com/siteguard_wp_plugin/vuls/WPV2024001.html

【5】ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性
情報源
https://jvn.jp/jp/JVN65171386/

概要
エフサステクノロジーズ株式会社が提供するID リンク・マネージャーおよびFUJITSU Software TIME CREATORには、複数の脆弱性があります。この問題は、当該製品にセキュリティパッチを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fujitsu.com/jp/group/fsas/about/resources/security/2024/0617.html

【6】IPAが「TLS暗号設定ガイドライン 安全なウェブサイトのために（暗号設定対策編）」を改訂
情報源
https://www.ipa.go.jp/security/crypto/guideline/ssl_crypt_config.html

概要
2024年6月21日、独立行政法人情報処理推進機構（IPA）は「TLS暗号設定ガイドライン 安全なウェブサイトのために（暗号設定対策編）」を改訂しました。TLSサーバーの構築者や運営者向けのガイドラインで、CRYPTREC暗号リストを更新するなどの改訂が行われています。チェックリストや設定例なども更新されています。
関連文書
https://www.ipa.go.jp/security/crypto/guideline/gmcbt80000005ufv-att/ipa-cryptrec-gl-3001-3.1.0.pdf

https://www.ipa.go.jp/security/crypto/guideline/gmcbt80000005ufv-att/ipa-cryptrec-gl-3001-3.1-checklists.pdf

https://www.ipa.go.jp/security/crypto/guideline/gmcbt80000005ufv-att/ipa-cryptrec-gl-3001-3.1-checklists.xlsx

【7】JPCERT/CC および IPA が「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂
情報源
https://www.ipa.go.jp/security/guide/vuln/partnership_guide.html

概要
2024年6月18日、JPCERT/CC と独立行政法人情報処理推進機構（IPA）は「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂しました。悪用を示す情報に関する取り扱いや検証ができない脆弱性等の取り扱いの整理、優先情報提供に関する取り扱いの規定改正の反映などを行っています。
関連文書
https://www.ipa.go.jp/security/guide/vuln/ug65p90000019by0-att/partnership_guideline.pdf

目　次
【1】東芝テック製および沖電気製複合機（MFP）に複数の脆弱性
【2】GitLabに複数の脆弱性
【3】IPCOMのWAF機能にサービス運用妨害（DoS）の脆弱性
【4】複数のMozilla製品に脆弱性
【5】Fortinet製FortiOSにスタックベースのバッファーオーバーフローの脆弱性
【6】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】東芝テック製および沖電気製複合機（MFP）に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU97136265/

概要
東芝テック製および沖電気製複合機（MFP）には、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、各開発者が提供する情報を参照してください。
関連文書
https://www.toshibatec.co.jp/information/20240531_01.html

https://www.oki.com/eu/printing/about-us/news-room/security-bulletins/2024/response-to-vulnerabilities-in-digital-multi-function-peripherals/

【2】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2024/06/12/patch-release-gitlab-17-0-2-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】IPCOMのWAF機能にサービス運用妨害（DoS）の脆弱性
情報源
https://jvn.jp/jp/JVN25594256/

概要
エフサステクノロジーズ株式会社が提供するIPCOMのWAF機能には、サービス運用妨害（DoS）の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fujitsu.com/jp/products/network/support/2024/ipcom-02/

【4】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2024-25/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Firefox for iOS、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2024-26/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-27/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-28/

【5】Fortinet製FortiOSにスタックベースのバッファーオーバーフローの脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/06/11/fortinet-releases-security-updates-fortios

概要
Fortinet製FortiOSには、スタックベースのバッファーオーバーフローの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新もしくは移行することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fortiguard.com/psirt/FG-IR-23-460

【6】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2024/at240012.html

概要
複数のマイクロソフト製品に関する脆弱性が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2024/06/202406-security-update/

目　次
【1】WordPress用プラグインMusic Store - WordPress eCommerceにSQLインジェクションの脆弱性
【2】スマートフォンアプリ「FreeFrom - the nostr client」に複数の脆弱性
【3】UNIVERSAL PASSPORT RXに複数の脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】WordPress用プラグインMusic Store - WordPress eCommerceにSQLインジェクションの脆弱性
情報源
https://jvn.jp/jp/JVN79213252/

概要
CodePeopleが提供するWordPress用プラグインMusic Store - WordPress eCommerceには、SQLインジェクションの脆弱性が存在します。この問題は、当該製品を修正済みのバージョンに更新することで解決します。

【2】スマートフォンアプリ「FreeFrom - the nostr client」に複数の脆弱性
情報源
https://jvn.jp/jp/JVN55045256/

概要
FreeFrom株式会社が提供するスマートフォンアプリ「FreeFrom - the nostr client」には、複数の脆弱性が存在します。 この問題は、当該製品を修正済みのバージョンに更新することで解決します。

【3】UNIVERSAL PASSPORT RXに複数の脆弱性
情報源
https://jvn.jp/jp/JVN43215077/

概要
日本システム技術株式会社が提供するUNIVERSAL PASSPORT RXには、複数の脆弱性が存在します。この問題は、当該製品を修正済みのバージョンに更新することで解決します。
■JPCERT/CCからのお願い
本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/

目　次
【1】シャープ製および東芝テック製の複合機（MFP）における複数の脆弱性
【2】セイコーソリューションズ製SkyBridge MB-A100/MB-A110およびSkyBridge BASIC MB-A130にコマンドインジェクションの脆弱性
【3】OpenSSLに解放済みメモリ使用（use-after-free）の脆弱性
【4】Redmine DMSF Pluginにパストラバーサルの脆弱性
【5】エレコム製無線ルーターにOSコマンドインジェクションの脆弱性
【6】UnifierおよびUnifier Castに複数の脆弱性
【7】IPAが「内部不正防止対策・体制整備等に関する中小企業等の状況調査」の2023年度報告書を公開
【8】複数のCheck Point Software Technologies製品のVPN機能に情報漏えいの脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】シャープ製および東芝テック製の複合機（MFP）における複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU93051062/

概要
シャープ製および東芝テック製の複合機（MFP）には、複数の脆弱性が存在します。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://jp.sharp/business/print/information/info_security_2024-05.html

https://www.toshibatec.co.jp/information/20240531_02.html

【2】セイコーソリューションズ製SkyBridge MB-A100/MB-A110およびSkyBridge BASIC MB-A130にコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU94872523/

概要
セイコーソリューションズ株式会社が提供するSkyBridge MB-A100/MB-A110およびSkyBridge BASIC MB-A130には、コマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.seiko-sol.co.jp/archives/82992/

【3】OpenSSLに解放済みメモリ使用（use-after-free）の脆弱性
情報源
https://jvn.jp/vu/JVNVU96872634/

概要
OpenSSLには、特定の条件下において解放済みメモリ使用（use-after-free）の脆弱性があります。本脆弱性の公表時点では修正版は提供されていませんが、今後公開されるバージョンにおいて修正される予定です。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20240528.txt

【4】Redmine DMSF Pluginにパストラバーサルの脆弱性
情報源
https://jvn.jp/jp/JVN22182715/

概要
Kontronが提供するRedmine DMSF Pluginには、パストラバーサルの脆弱性が存在します。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://github.com/danmunn/redmine_dmsf/blob/master/CHANGELOG.md#314-2024-05-06

【5】エレコム製無線ルーターにOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU97214223/

概要
エレコム株式会社が提供する無線ルーターには、OSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのファームウェアにアップデートすることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.elecom.co.jp/news/security/20240528-01/

【6】UnifierおよびUnifier Castに複数の脆弱性
情報源
https://jvn.jp/jp/JVN17680667/

概要
横河レンタ・リース株式会社が提供するUnifierおよびUnifier Castには、複数の脆弱性が存在します。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.yrl.com/fwp_support/info/khvu7f00000000q7.html

【7】IPAが「内部不正防止対策・体制整備等に関する中小企業等の状況調査」の2023年度報告書を公開
情報源
https://www.ipa.go.jp/security/reports/economics/ts-kanri/20240530.html

概要
IPAは、中小企業等における、「守るべき情報資産の認識不足や内部不正防止対策の取組の遅れ」など課題にまつわる実態調査を手掛けています。2023年度の取り組みとして、経営者の意識、基本方針の策定状況、組織体制の整備状況、対策の実態、企業の取り組み事例などの調査を実施し、報告書を公開しました。 中小企業の内部不正対策推進に資する内容となっています。

【8】複数のCheck Point Software Technologies製品のVPN機能に情報漏えいの脆弱性
情報源
https://www.jpcert.or.jp/newsflash/2024053001.html

概要
複数のCheck Point Software Technologies製品のVPN機能には、情報漏えいの脆弱性があります。この問題に対処するHotfixが提供されています。詳細は、開発者が提供する情報を参照してください。
関連文書
https://blog.checkpoint.com/security/enhance-your-vpn-security-posture

目　次
【1】Google Chromeに複数の脆弱性
【2】WordPress用プラグインWP Bookingにクロスサイトスクリプティングの脆弱性
【3】Splunk Config Explorerにクロスサイトスクリプティングの脆弱性
【4】複数のCisco製品に脆弱性
【5】Androidアプリ「TP-Link Tether」および「TP-Link Tapo」にサーバ証明書の検証不備の脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_23.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_21.html

【2】WordPress用プラグインWP Bookingにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN35838128/

概要
aviplugins.comが提供するWordPress用プラグインWP Bookingには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://ja.wordpress.org/plugins/wp-easy-booking/

【3】Splunk Config Explorerにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN56781258/

概要
Chris Youngerが提供するSplunk Config Explorerには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://splunkbase.splunk.com/app/4353

【4】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-sqli-WFFDnNOs

概要
複数のCisco製品に関する脆弱性が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【5】Androidアプリ「TP-Link Tether」および「TP-Link Tapo」にサーバ証明書の検証不備の脆弱性
情報源
https://jvn.jp/jp/JVN29471697/

概要
TP-LINK GLOBAL INC.が提供するAndroidアプリ「TP-Link Tether」および「TP-Link Tapo」には、サーバ証明書の検証不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://play.google.com/store/apps/details?id=com.tplink.tether

https://play.google.com/store/apps/details?id=com.tplink.iot

目　次
【1】OpenSSLにサービス運用妨害（DoS）の脆弱性
【2】複数のCisco製品に脆弱性
【3】複数のIntel製品に脆弱性
【4】複数のVMware製品に脆弱性
【5】複数のApple製品に脆弱性
【6】サイボウズ Garoonに複数の脆弱性
【7】IPAが「ビジネスメール詐欺の詳細事例」を追加
【8】NICTが「NICTER観測統計 - 2024年1月-3月」を公開
【9】複数のアドビ製品に脆弱性
【10】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】OpenSSLにサービス運用妨害（DoS）の脆弱性
情報源
https://jvn.jp/vu/JVNVU94875946/

概要
OpenSSLには、サービス運用妨害（DoS）状態を引き起こす脆弱性があります。2024年5月17日現在、修正版は提供されていませんが、今後公開されるバージョンにおいて修正される予定です。 詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.openssl.org/news/secadv/20240516.txt

【2】複数のCisco製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/05/16/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品に関する脆弱性が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【3】複数のIntel製品に脆弱性
情報源
https://jvn.jp/vu/JVNVU97504592/

概要
Intelは複数の製品に含まれる脆弱性に対応したIntel Product Security Center Advisoriesを公開しました。対象となる製品およびバージョンは多岐にわたります。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.intel.com/content/www/us/en/security-center/default.html

【4】複数のVMware製品に脆弱性
情報源
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24280

概要
複数のVMware製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/05/14/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/HT201222

【6】サイボウズ Garoonに複数の脆弱性
情報源
https://jvn.jp/jp/JVN28869536/

概要
サイボウズ株式会社が提供するサイボウズ Garoonには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://cs.cybozu.co.jp/2024/007901.html

【7】IPAが「ビジネスメール詐欺の詳細事例」を追加
情報源
https://www.ipa.go.jp/security/bec/hjuojm0000003c8r-att/bec_case7.pdf

概要
独立行政法人情報処理推進機構（IPA）は、取引先のメールアカウントが乗っ取られて詐欺メールを送信された事例を公開しました。事例を用いて攻撃の詳細や手口について説明しています。
関連文書
https://www.ipa.go.jp/security/bec/bec_cases.html

【8】NICTが「NICTER観測統計 - 2024年1月-3月」を公開
情報源
https://blog.nicter.jp/2024/05/nicter_statistics_2024_1q/

概要
情報通信研究機構（NICT）は、「NICTER観測統計 - 2024年1月-3月」を公開しました。
NICTERプロジェクトのダークネット観測網における2024年第1四半期（1月-3月）の観測結果をまとめています。

【9】複数のアドビ製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2024/at240010.html

概要
複数のアドビ製品に関する脆弱性が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://helpx.adobe.com/security.html

【10】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2024/at240011.html

概要
複数のマイクロソフト製品に関する脆弱性（一部悪用あり）が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2024/05/202405-security-update/

目　次
【1】スマートフォンアプリ「OfferBox」に秘密鍵がハードコードされている問題
【2】DHCPのオプション121を利用したVPNのカプセル化回避の問題
【3】Google Chromeに複数の脆弱性
【4】BIG-IP Next Central Managerに複数の脆弱性
【5】GitLabに複数の脆弱性
【6】トレンドマイクロ製ウイルスバスター クラウドにファイルリンク解決処理の不備
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】スマートフォンアプリ「OfferBox」に秘密鍵がハードコードされている問題
情報源
https://jvn.jp/jp/JVN83405304/

概要
株式会社i-plugが提供するスマートフォンアプリ「OfferBox」には、JWTの秘密鍵がハードコードされています。この秘密鍵は2024年5月8日に開発者によって無効化されており、対策前のバージョンであっても本脆弱性の影響は受けません。そのため、ユーザーは本脆弱性への対応について自発的行動を取る必要はありません。

【2】DHCPのオプション121を利用したVPNのカプセル化回避の問題
情報源
https://jvn.jp/ta/JVNTA94876636/

概要
DHCPのオプション121をサポートする環境でVPN接続する場合、トラフィックの宛先を強制的に変更し、VPNトンネル外に送信することでカプセル化を回避することができる問題（CVE-2024-3661）があります。RFC 3442仕様に従ってDHCPクライアントを実装し、DHCPのオプション121をサポートするオペレーティングシステムかつルーティングルールのみに依存してホストのトラフィックを保護するVPNを利用している場合、VPNを使用していない状態となったり、平文通信しているとすべての通信内容を取得されたりする可能性があります。VPN実装者が実施できる対策およびユーザーが実施できる対策について、情報源を確認のうえ対処を検討してください。
関連文書
https://www.leviathansecurity.com/research/tunnelvision

【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_9.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_7.html

【4】BIG-IP Next Central Managerに複数の脆弱性
情報源
https://my.f5.com/manage/s/article/K000138733

概要
F5 Networksが提供するBIG-IP Next Central Managerには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://my.f5.com/manage/s/article/K000138732

https://my.f5.com/manage/s/article/K000139404

【5】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2024/05/08/patch-release-gitlab-16-11-2-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【6】トレンドマイクロ製ウイルスバスター クラウドにファイルリンク解決処理の不備
情報源
https://jvn.jp/vu/JVNVU97614828/

概要
トレンドマイクロ株式会社が提供するウイルスバスター クラウドには、ファイルリンク解決処理に不備があります。この問題は、アップデートが自動的に配信・適用されて解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://helpcenter.trendmicro.com/ja-jp/article/tmka-12336

目　次
【1】Rプログラミング言語の実装における安全でないデータのデシリアライゼーションが発生する問題
【2】Google Chromeに複数の脆弱性
【3】複数のCisco製品に脆弱性
【4】GitLabに複数の脆弱性
【5】NETGEAR製ルーターにバッファオーバーフローの脆弱性
【6】RoamWiFi R10に複数の脆弱性
【7】 WindowsカーネルドライバーのIOCTL処理にアクセス制御不備の脆弱性
【8】オムロン製Sysmac Studio/CX-OneおよびCX-Programmerに複数の脆弱性
【9】総務省が「クラウドの設定ミス対策ガイドブック」を公開
【10】JPCERT/CCが「インターネット定点観測レポート（2024年 1-3月）」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Rプログラミング言語の実装における安全でないデータのデシリアライゼーションが発生する問題
情報源
https://jvn.jp/vu/JVNVU96606632/

概要
Rプログラミング言語の実装には、システム上で任意のコードが実行される問題があります。この問題は、修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://kb.cert.org/vuls/id/238194

【2】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2024/04/stable-channel-update-for-desktop_30.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://chromereleases.googleblog.com/2024/04/stable-channel-update-for-desktop_24.html

【3】複数のCisco製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/04/24/cisco-releases-security-updates-addressing-arcanedoor-vulnerabilities-cisco-firewall-platforms

概要
Ciscoが提供するCisco Adaptive Security Appliances、Cisco Firepower Threat DefenseおよびCisco IP Phoneには、複数の脆弱性（一部悪用あり）があります。当該製品の修正済みのバージョン、またはHotfixの提供状況など詳細について、開発者が提供する情報を参照して対処をご検討ください。
関連文書
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-websrvs-dos-X8gNucD2

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-rce-FLsNXF4h

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-cmd-inj-ZJV8Wysm

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipphone-multi-vulns-cXAhCvS

https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_attacks_event_response

【4】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2024/04/24/patch-release-gitlab-16-11-1-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】NETGEAR製ルーターにバッファオーバーフローの脆弱性
情報源
https://jvn.jp/vu/JVNVU91883072/

概要
NETGEARが提供する複数のルーター製品には、バッファオーバーフローの脆弱性があります。この問題は、当該製品を修正済みのファームウェアにアップデートすることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://kb.netgear.com/ja/000066096/

【6】RoamWiFi R10に複数の脆弱性
情報源
https://jvn.jp/jp/JVN62737544/

概要
RoamWiFi Technology Co., Ltd.が提供するRoamWiFi R10には、複数の脆弱性があります。この問題は、当該製品の電源を入れると、自動アップデートされて解決します。詳細は、開発者が提供する情報を参照してください。

【7】 WindowsカーネルドライバーのIOCTL処理にアクセス制御不備の脆弱性
情報源
https://jvn.jp/ta/JVNTA90371415/

概要
第三者が提供するWindowsカーネルドライバーに、IOCTL処理におけるアクセス制御不備の脆弱性が報告されています。カーネルドライバーが、IOCTLリクエストの処理に関してアクセス権限の設定や入力データの検証を適切に行っていない場合、予期せぬユーザに操作されたり、想定外の動作をさせられたりする可能性があります。ドライバーベンダが実施できる対策およびユーザが実施できる対策について、情報源を確認のうえ対処を検討してください。

【8】オムロン製Sysmac Studio/CX-OneおよびCX-Programmerに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU98274902/

概要
オムロン株式会社が提供するSysmac Studio/CX-OneおよびCX-Programmerには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fa.omron.co.jp/product/security/assets/pdf/ja/OMSR-2024-003_ja.pdf

https://www.fa.omron.co.jp/product/security/assets/pdf/ja/OMSR-2024-002_ja.pdf

【9】総務省が「クラウドの設定ミス対策ガイドブック」を公開
情報源
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00209.html

概要
総務省は、2023年10月に公開した「クラウドサービス利用・提供における適切な設定のためのガイドライン」の活用促進を図るため、その内容をわかりやすく解説した「クラウドの設定ミス対策ガイドブック」を2024年4月26日に公開しました。

【10】JPCERT/CCが「インターネット定点観測レポート（2024年 1-3月）」を公開
情報源
https://www.jpcert.or.jp/tsubame/report/report202401-03.html

概要
2024年5月2日、JPCERT/CCは「インターネット定点観測レポート（2024年 1-3月）」を公開しました。2024年1月から3月の間に、インターネット定点観測システム「TSUBAME」で観測した結果とその分析の概要について紹介しています。

目　次
【1】TensorFlowベースのKerasモデルに含まれるLambdaレイヤにコードインジェクションが発生する問題
【2】LINEヤフー社製Armeria-samlにおけるSAMLメッセージ取り扱い不備
【3】LINE client for iOSにおけるサーバ証明書の検証不備の脆弱性
【4】2024年4月Oracle Critical Patch Updateについて
【5】PuTTY SSHクライアントのECDSA署名処理に脆弱性
【6】WordPress用プラグインForminatorにおける複数の脆弱性
【7】Proscend Communications製M330-WおよびM330-W5におけるOSコマンドインジェクションの脆弱性
【8】バッファロー製無線LANルーターに複数の脆弱性
【9】経済産業省が「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」および「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊：スマート化を進める上でのポイント】」の英訳版を公表
【10】IPAが「アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について Adobe ColdFusion の脆弱性（CVE-2023-29300）を狙う攻撃」に関する注意喚起を公表
【11】CISAが「Deploying AI Systems Securely」を公表
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】TensorFlowベースのKerasモデルに含まれるLambdaレイヤにコードインジェクションが発生する問題
情報源
https://jvn.jp/ta/JVNTA95942420/

概要
Keras 2.13より前のバージョンで作成されたTensorFlowベースのKerasモデルには、モデルに含まれるLambdaレイヤの安全性を確認できない問題があります。この問題は、バージョン 2.13以上のKeras 2またはKeras 3を利用し、モデルをロードする際はsafe_modeをTrueに設定することで解決します。詳細は、CERT/CCが提供する情報を参照してください。
関連文書
https://kb.cert.org/vuls/id/253266

【2】LINEヤフー社製Armeria-samlにおけるSAMLメッセージ取り扱い不備
情報源
https://jvn.jp/vu/JVNVU91216202/

概要
LINEヤフー株式会社が提供するArmeria-samlには、SAMLメッセージの取り扱いに不備があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://line.github.io/security-advisory-blog/CVE-2024-1735/

https://github.com/line/armeria/security/advisories/GHSA-4m6j-23p2-8c54

【3】LINE client for iOSにおけるサーバ証明書の検証不備の脆弱性
情報源
https://jvn.jp/vu/JVNVU91696361/

概要
LINE client for iOSに組み込まれている金融系モジュールには、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://line.github.io/security-advisory-blog/CVE-2023-5554/

【4】2024年4月Oracle Critical Patch Updateについて
情報源
https://www.cisa.gov/news-events/alerts/2024/04/18/oracle-releases-critical-patch-update-advisory-april-2024

概要
Oracleから、複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公表されました。詳細は、Oracleが提供する情報を参照してください。
関連文書
https://www.oracle.com/security-alerts/cpuapr2024.html

【5】PuTTY SSHクライアントのECDSA署名処理に脆弱性
情報源
https://jvn.jp/vu/JVNVU91264077/

概要
PuTTY SSHクライアントには、ECDSA署名処理の実装に脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。また、NIST P521秘密鍵を使用している場合は、鍵対の更新も必要になります。詳細は、ベンダーが提供する情報を参照してください。
関連文書
https://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/vuln-p521-bias.html

https://winscp.net/tracker/2285

https://gitlab.com/tortoisegit/tortoisegit/-/commit/e9c1f3f4d4e15060821978d7bf80a2ee9b6d1235

https://sourceforge.net/p/tortoisesvn/code/29685/

https://svn.filezilla-project.org/filezilla?revision=11142&view=revision

【6】WordPress用プラグインForminatorにおける複数の脆弱性
情報源
https://jvn.jp/jp/JVN50132400/

概要
WPMU DEVが提供するWordPress用プラグインForminatorには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://ja.wordpress.org/plugins/forminator/

https://wpmudev.com/

【7】Proscend Communications製M330-WおよびM330-W5におけるOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/jp/JVN23835228/

概要
Proscend Communications Inc.が提供するM330-WおよびM330-W5には、脆弱性があります。この問題は、修正済みのファームウェアに更新することで解決します。
関連文書
https://drive.google.com/file/d/1ouGAh6ty7G2VDlA5fc0aC246BsgcAzw6/view?usp=sharing

【8】バッファロー製無線LANルーターに複数の脆弱性
情報源
https://jvn.jp/jp/JVN58236836/

概要
株式会社バッファローが提供する無線LANルーターの複数のモデルには、脆弱性があります。対象となる製品は、多岐にわたります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.buffalo.jp/news/detail/20240410-01.html

【9】経済産業省が「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」および「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊：スマート化を進める上でのポイント】」の英訳版を公表
情報源
https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline.html

概要
2024年4月17日、経済産業省は「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」および「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊：スマート化を進める上でのポイント】」の英訳版を公表しました。本ガイドラインでは、工場システムのセキュリティ対策を実施する上で参照すべき考え方やステップを手引きとして示し 、必要最小限と考えられる対策事項として脅威に対する技術的な対策から運用・管理面の対策までを明記しています。

【10】IPAが「アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について Adobe ColdFusion の脆弱性（CVE-2023-29300）を狙う攻撃」に関する注意喚起を公表
情報源
https://www.ipa.go.jp/security/security-alert/2024/alert_orb.html

概要
2024年4月18日、独立行政法人情報処理推進機構（IPA）は、「アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について Adobe ColdFusion の脆弱性（CVE-2023-29300）を狙う攻撃」と題して注意喚起を公表しました。IPAによると、本脆弱性を悪用した攻撃による被害を確認しており、国内の複数組織においてwebshellが設置されていたとのことです。IPAは、当該製品を修正済みバージョンに更新することや、通信ログなどからの攻撃の被害を確認することを推奨しています。
関連文書
https://helpx.adobe.com/jp/security/products/coldfusion/apsb23-40.html

【11】CISAが「Deploying AI Systems Securely」を公表
情報源
https://www.cisa.gov/news-events/alerts/2024/04/15/joint-guidance-deploying-ai-systems-securely

概要
2024年4月15日、CISAが「Deploying AI Systems Securely」と題してガイダンスを公表しました。本ガイダンスは、外部で開発された人工知能（AI）システムを導入および運用するためのベストプラクティスを取りまとめたものです。