ミニ・いんふぉめーしょん

目　次
【1】PostgreSQLに脆弱性
【2】NEC Atermシリーズに複数の脆弱性
【3】Centeミドルウェアに境界外読み取りの脆弱性
【4】OpenSSLにRFC7250ハンドシェイクによる認証の失敗を検知できない問題
【5】ファイルめがねに複数の脆弱性
【6】複数のPalo Alto Networks製品に脆弱性
【7】Google Chromeに複数の脆弱性
【8】複数のアドビ製品に脆弱性
【9】複数のIntel製品に脆弱性
【10】acmailer CGIおよびacmailer DBに脆弱性
【11】複数のApple製品に脆弱性
【12】JPCERT/CCが「Ivanti Connect Secureの脆弱性を利用して設置されたマルウェアSPAWNCHIMERA」に関するブログを公開
【13】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】PostgreSQLに脆弱性
情報源
https://www.postgresql.org/about/news/postgresql-173-167-1511-1416-and-1319-released-3015/

概要
PostgreSQLには、引用符の不適切な無害化の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。

【2】NEC Atermシリーズに複数の脆弱性
情報源
https://jvn.jp/jp/JVN65447879/

概要
日本電気株式会社が提供するAtermシリーズには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新したり回避策を適用したりすることで解決します。なお、一部製品はすでにサポートが終了しており、開発者は後続製品への乗り換えなどの検討を推奨しています。詳細は、開発者が提供する情報を参照してください。
関連文書
https://jpn.nec.com/security-info/secinfo/nv25-003.html

【3】Centeミドルウェアに境界外読み取りの脆弱性
情報源
https://jvn.jp/vu/JVNVU92227620/

概要
DMG MORI Digital株式会社が開発し、NXTech株式会社が提供するCenteミドルウェアTCP/IPネットワークシリーズの一部製品には、境界外読み取りの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.cente.jp/obstacle/5451/

【4】OpenSSLにRFC7250ハンドシェイクによる認証の失敗を検知できない問題
情報源
https://jvn.jp/vu/JVNVU91390536/

概要
OpenSSLには、RFC7250で定義されたRaw Public Key（RPK）を用いてサーバー認証を行う際に、認証の失敗をクライアント側で検知できない脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://openssl-library.org/news/secadv/20250211.txt

【5】ファイルめがねに複数の脆弱性
情報源
https://jvn.jp/jp/JVN80527854/

概要
ジップインフォブリッジ株式会社が提供するファイルめがねには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.info-brdg.co.jp/support/report/megane/sec20250201.html

【6】複数のPalo Alto Networks製品に脆弱性
情報源
https://security.paloaltonetworks.com/CVE-2025-0108

概要
複数のPalo Alto Networks製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新するか、緩和策などを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://security.paloaltonetworks.com/

【7】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/02/stable-channel-update-for-desktop_12.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【8】複数のアドビ製品に脆弱性
情報源
https://helpx.adobe.com/security/products/magento/apsb25-08.html

概要
複数のアドビ製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://helpx.adobe.com/security/security-bulletin.html

【9】複数のIntel製品に脆弱性
情報源
https://jvn.jp/vu/JVNVU95019921/

概要
複数のIntel製品には、脆弱性があります。対象となる製品およびバージョンは多岐にわたります。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.intel.com/content/www/us/en/security-center/default.html

【10】acmailer CGIおよびacmailer DBに脆弱性
情報源
https://jvn.jp/jp/JVN84319378/

概要
エクストライノベーション株式会社が提供するacmailer CGIおよびacmailer DBには、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://acmailer.jp/info/de.cgi?id=113

https://jvn.jp/jp/JVN96957439/

【11】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/122174

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。Appleは脆弱性を悪用された可能性があるという報告を確認しているとのことです。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/122173

【12】JPCERT/CCが「Ivanti Connect Secureの脆弱性を利用して設置されたマルウェアSPAWNCHIMERA」に関するブログを公開
情報源
https://blogs.jpcert.or.jp/ja/2025/02/spawnchimera.html

概要
JPCERT/CCが対応したインシデントの中で、Ivanti Connect Secureの脆弱性（CVE-2025-0282）悪用後に感染するマルウェアSPAWNファミリーのアップデートを確認しました。JPCERT/CCが公開した本記事では、アップデートされたSPAWN（SPAWNCHIMERA）について解説します。

【13】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250004.html

概要
複数のマイクロソフト製品には、脆弱性があります。同社は、今回修正された一部の脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2025/02/202502-security-update/

目　次
【1】複数のCisco製品に脆弱性
【2】Defense Platform Home Editionに複数の脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のMozilla製品に脆弱性
【5】内閣サイバーセキュリティセンターが「DDoS 攻撃への対策について（注意喚起）」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-multivuls-FTW9AOXF

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計8件（Critical 1件、High 1件、Medium 6件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【2】Defense Platform Home Editionに複数の脆弱性
情報源
https://jvn.jp/jp/JVN66673020/

概要
ハミングヘッズ株式会社が提供するDefense Platform Home Editionには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.hummingheads.co.jp/dep/storelist/

【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/02/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-07/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbird、およびThunderbird ESRが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-08/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-09/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-10/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-11/

【5】内閣サイバーセキュリティセンターが「DDoS 攻撃への対策について（注意喚起）」を公開
情報源
https://www.nisc.go.jp/pdf/news/press/20250204_ddos.pdf

概要
内閣サイバーセキュリティセンター（NISC）は、2024年12月から2025年1月の年末年始にかけて相次いだDDoS攻撃を受け、各事業者、各インターネット利用者に対して注意喚起を公開しました。本文書に記載された事項を参照の上、リスク低減に向けたセキュリティ対策を進めてください。

目　次
【1】ISC BIND 9に複数の脆弱性
【2】Google Chromeに複数の脆弱性
【3】キヤノン製スモールオフィス向け複合機およびレーザービームプリンターにおける複数の脆弱性
【4】WordPress用プラグインSimple Image Sizesにクロスサイトスクリプティングの脆弱性
【5】複数のApple製品に脆弱性
【6】IPA が「情報セキュリティ10大脅威 2025」を公表
【7】JSSECが『Android アプリのセキュア設計・セキュアコーディングガイド』2025年1月29日版を公開
【8】フィッシング対策協議会が「送信ドメイン認証技術「DMARC」の導入状況と必要性について」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】ISC BIND 9に複数の脆弱性
情報源
https://www.jpcert.or.jp/newsflash/2025013001.html

概要
ISC BIND 9には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://kb.isc.org/docs/cve-2024-12705

https://kb.isc.org/docs/cve-2024-11187

【2】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_28.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】キヤノン製スモールオフィス向け複合機およびレーザービームプリンターにおける複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU93455283/

概要
キヤノン製スモールオフィス向け複合機およびレーザービームプリンターには、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://canon.jp/support/support-info/250127vulnerability-response

【4】WordPress用プラグインSimple Image Sizesにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN88046370/

概要
WordPress用プラグインSimple Image Sizesには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://ja.wordpress.org/plugins/simple-image-sizes/#developers

【5】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/122066

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。Appleは脆弱性を悪用された可能性があるという報告を確認しているとのことです。詳細は開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/122067

https://support.apple.com/ja-jp/122068

https://support.apple.com/ja-jp/122069

https://support.apple.com/ja-jp/122070

https://support.apple.com/ja-jp/122071

https://support.apple.com/ja-jp/122072

https://support.apple.com/ja-jp/122073

https://support.apple.com/ja-jp/122074

https://support.apple.com/ja-jp/121866

【6】IPA が「情報セキュリティ10大脅威 2025」を公表
情報源
https://www.ipa.go.jp/security/10threats/10threats2025.html

概要
IPAは「情報セキュリティ10大脅威 2025」を公表しました。「情報セキュリティ10大脅威 2025」は、2024年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者などのメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。

【7】JSSECが『Android アプリのセキュア設計・セキュアコーディングガイド』2025年1月29日版を公開
情報源
https://www.jssec.org/report/android_securecoding_20250129.html

概要
一般社団法人日本スマートフォンセキュリティ協会（JSSEC）は、2012年6月に公開した『Android アプリのセキュア設計・セキュアコーディングガイド』の16版目の改定版である2025年1月29日版を公開しました。本ガイドはAndroidアプリケーションのセキュリティを考慮した設計・開発のノウハウを集めた文書です。

【8】フィッシング対策協議会が「送信ドメイン認証技術「DMARC」の導入状況と必要性について」を公開
情報源
https://www.antiphishing.jp/report/wg/cert_explaindoc_20250130.html

概要
フィッシング対策協議会は、国内のフィッシング詐欺における送信ドメイン認証技術「DMARC」の導入状況と必要性を解説する文書を公開しました。本文書では、国内企業におけるDMARCの導入状況と運用実態を示すとともに、より強力な対策を実現するためにポリシー強度を引きあげる必要があることを指摘しています。

目　次
【1】SonicWall SMA1000 AMCおよびCMCに信頼されていないデータがデシリアライズされる脆弱性
【2】Google Chromeに複数の脆弱性
【3】GitLabに複数の脆弱性
【4】アイ・オー・データ製ルーターUD-LT2における複数の脆弱性
【5】複数のAtlassian製品に脆弱性
【6】2025年1月Oracle Critical Patch Updateについて
【7】JPCERT/CCが2024年10月-12月分の「JPCERT/CC 活動四半期レポート」などを公開
【8】JPCERT/CCが「APTアクターの分類“中毒” -Lazarus のサブグループ分類に見るアトリビューションの実務的課題-」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】SonicWall SMA1000 AMCおよびCMCに信頼されていないデータがデシリアライズされる脆弱性
情報源
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0002

概要
SonicWallが提供するSMA1000 アプライアンス管理コンソール（AMC）および中央管理コンソール（CMC）には、信頼されていないデータがデシリアライズされる脆弱性があり、悪用も確認されています。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_22.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/01/22/patch-release-gitlab-17-8-1-released/

概要
Gitlabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】アイ・オー・データ製ルーターUD-LT2における複数の脆弱性
情報源
https://jvn.jp/jp/JVN15293958/

概要
株式会社アイ・オー・データ機器が提供するルーターUD-LT2には、OS コマンドインジェクションとドキュメント化されていない機能の脆弱性が存在します。 詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.ipa.go.jp/security/security-alert/2024/20250122-jvn.html

【5】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/security-bulletin-january-21-2025-1489803942.html

概要
複数のAtlassian製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【6】2025年1月Oracle Critical Patch Updateについて
情報源
https://www.oracle.com/security-alerts/cpujan2025.html

概要
Oracleから、複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公表されました。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.ipa.go.jp/security/security-alert/2024/0122-jre.html

【7】JPCERT/CCが2024年10月-12月分の「JPCERT/CC 活動四半期レポート」などを公開
情報源
https://www.jpcert.or.jp/pr/2025/PR_Report2024Q3.pdf

概要
JPCERT/CCは、2024年10月から12月分の「JPCERT/CC 活動四半期レポート」「JPCERT/CC インシデント報告対応レポート」「ソフトウェア等の脆弱性関連情報に関する届出状況」を公開しました。JPCERT/CCの国内外の活動に加え、報告を受けたインシデントの統計や事例などについてまとめています。参考資料としてご活用ください。
関連文書
https://www.jpcert.or.jp/pr/2025/IR_Report2024Q3.pdf

https://www.jpcert.or.jp/pr/2025/vulnREPORT_2024q4.pdf

【8】JPCERT/CCが「APTアクターの分類“中毒” -Lazarus のサブグループ分類に見るアトリビューションの実務的課題-」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/01/grouping-lazarus-subgroups.html

概要
JPCERT/CCが公開した本記事では、APTグループLazarusを構成する多数のサブグループの攻撃活動を、それぞれサブグループ単位で特定する必要性と利点を解説しています。

目　次
【1】rsyncに複数の脆弱性
【2】Google Chromeに複数の脆弱性
【3】複数のアドビ製品に脆弱性
【4】複数のIvanti製品に脆弱性
【5】複数のFortinet製品に脆弱性
【6】ワイズ製STEALTHONE D220/D340/D440に複数の脆弱性
【7】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】rsyncに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU94903505/

概要
rsyncには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://kb.cert.org/vuls/id/952657

https://rsync.samba.org/

【2】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_14.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】複数のアドビ製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2025/01/14/adobe-releases-security-updates-multiple-products

概要
複数のアドビ製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://helpx.adobe.com/security/security-bulletin.html

【4】複数のIvanti製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2025/01/14/ivanti-releases-security-updates-multiple-products

概要
複数のIvaniti製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。また、一部の製品については影響を軽減する緩和策が提供されています。詳細は、開発者が提供する情報を参照してください。
関連文書
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Avalanche-6-4-7-Multiple-CVEs

https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Application-Control-Engine-CVE-2024-10630

https://forums.ivanti.com/s/article/Security-Advisory-EPM-January-2025-for-EPM-2024-and-EPM-2022-SU6

【5】複数のFortinet製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2025/01/14/fortinet-releases-security-updates-multiple-products

概要
複数のFortinet製品には、脆弱性があります。同社は、FortiOSおよびFortiProxyに関する脆弱性（CVE-2024-55591）の悪用をすでに確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fortiguard.com/psirt

https://www.jpcert.or.jp/at/2025/at250003.html

【6】ワイズ製STEALTHONE D220/D340/D440に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU99653331/

概要
株式会社ワイズが提供するネットワークストレージサーバーSTEALTHONE D220/D340/D440には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://stealthone.net/product_info/d220-d340%e3%80%8cv6-03-03%e3%80%8d%e5%8f%8a%e3%81%b3d440%e3%80%8cv7-00-11%e3%80%8d%e3%83%95%e3%82%a1%e3%83%bc%e3%83%a0%e3%82%a6%e3%82%a7%e3%82%a2%e3%82%92%e3%83%aa%e3%83%aa%e3%83%bc%e3%82%b9%e8%87%b4/

【7】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250002.html

概要
複数のマイクロソフト製品には、脆弱性があります。同社は、今回修正された一部の脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2025/01/202501-security-update/

目　次
【1】GitLabに複数の脆弱性
【2】Ivanti Connect Secureなどに複数の脆弱性
【3】Xerox FreeFlow Coreに複数の脆弱性
【4】SonicWall製SonicOSに複数の脆弱性
【5】Google Chromeに脆弱性
【6】複数のMozilla製品に脆弱性
【7】フィッシング対策協議会が「第11回フィッシング対策勉強会」を開催予定
【8】JPCERT/CCが「あなたではなく組織の財産を狙うLinkedIn経由のコンタクトにご用心」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/01/08/patch-release-gitlab-17-7-1-released/

概要
Gitlabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】Ivanti Connect Secureなどに複数の脆弱性
情報源
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-0282-CVE-2025-0283

概要
Ivantiが提供するIvanti Connect Secure、Policy Secure、およびZTA Gatewayには複数の脆弱性が存在します。Ivantiは本脆弱性を悪用した攻撃をすでに確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。なお、Ivanti Policy SecureおよびZTA Gatewayの修正バージョンは、順次提供予定とのことです。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.jpcert.or.jp/at/2025/at250001.html

https://www.cisa.gov/news-events/alerts/2025/01/08/ivanti-releases-security-updates-connect-secure-policy-secure-and-zta-gateways

【3】Xerox FreeFlow Coreに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU99901190/

概要
富士フイルムビジネスイノベーション株式会社が提供するXerox FreeFlow デジタル・ワークフロー・コレクションに含まれるXerox FreeFlow Coreには、複数の脆弱性が存在します。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fujifilm.com/fb/company/news/notice/2025/0107_announce.html

https://securitydocs.business.xerox.com/wp-content/uploads/2024/10/Xerox-Security-Bulletin-XRX24-014-for-Xerox%C2%AE-FreeFlow%C2%AE-Core-v7.0-.pdf

【4】SonicWall製SonicOSに複数の脆弱性
情報源
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0003

概要
SonicWallが提供するSonicOSには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】Google Chromeに脆弱性
情報源
https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop.html

概要
Google Chromeには、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【6】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-01/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Firefox for iOS、Thunderbird、およびThunderbird ESRが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-02/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-03/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-04/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-05/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-06/

【7】フィッシング対策協議会が「第11回フィッシング対策勉強会」を開催予定
情報源
https://www.antiphishing.jp/news/event/antiphishing_11th_studygroup.html

概要
フィッシング対策協議会は、2025年2月6日（木）に「第11回フィッシング対策勉強会」をオンラインで開催します。正会員6組織から「フィッシングの最新動向」および、「対策に役立つサービス」について紹介されます。協議会会員だけではなく、一般の方の参加も受け付けています。講演内容や、参加登録の手順についてはフィッシング対策協議会が公開する情報をご参照ください。

【8】JPCERT/CCが「あなたではなく組織の財産を狙うLinkedIn経由のコンタクトにご用心」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/01/initial_attack_vector.html

概要
国内で確認されている、LinkedInを初期感染経路とする不正アクセスに関連して、JPCERT/CCが2019年ごろから確認している攻撃事案を紹介しています。

目　次
【1】Palo Alto Networks製PAN-OSにサービス運用妨害（DoS）の脆弱性
【2】JVNVU#92980681: トレンドマイクロ製Deep Security Agent（Windows版）におけるファイル検索パスの制御不備の脆弱性
【3】Adobe ColdFusionにパストラバーサルの脆弱性
【4】警察庁らが北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」によるサイバー攻撃に関する注意喚起を公表
【5】JNSAが「セキュリティ十大ニュース - 選挙イヤーのサイバー空間は人類の幸福に味方できたのか -」を公開
【6】JPCERT/CCが「近年の水飲み場攻撃事例 Part2」を公開
【7】JPCERT/CCが「サイバーセキュリティの「有事」に何が必要なのか - Locked Shields2024演習参加からの考察 -」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Palo Alto Networks製PAN-OSにサービス運用妨害（DoS）の脆弱性
情報源
https://security.paloaltonetworks.com/CVE-2024-3393

概要
Palo Alto NetworksのPAN-OSには、サービス運用妨害（DoS）状態を引き起こす脆弱性があります。Palo Alto Networksは、今回修正された脆弱性を悪用する攻撃を確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】JVNVU#92980681: トレンドマイクロ製Deep Security Agent（Windows版）におけるファイル検索パスの制御不備の脆弱性
情報源
https://jvn.jp/vu/JVNVU92980681/

概要
トレンドマイクロ製Deep Security Agent（Windows版）には、ファイル検索パスの制御不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://success.trendmicro.com/ja-JP/solution/KA-0018637

https://help.deepsecurity.trendmicro.com/ja-jp/software.html

【3】Adobe ColdFusionにパストラバーサルの脆弱性
情報源
https://helpx.adobe.com/security/products/coldfusion/apsb24-107.html

概要
Adobe ColdFusionには、パストラバーサルの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】警察庁らが北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」によるサイバー攻撃に関する注意喚起を公表
情報源
https://www.npa.go.jp/bureau/cyber/koho/caution/caution20241224.html

概要
警察庁は、米国連邦捜査局（FBI）および米国国防省サイバー犯罪センター（DC3）とともに、令和６年５月に北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」が、暗号資産関連事業者「株式会社DMM Bitcoin」から約482億円相当の暗号資産を窃取したことを特定し、合同で文書を公表しました。また、警察庁、NISC、金融庁と合同で、同グループの手口例や緩和策に関する注意喚起を公表しました。

【5】JNSAが「セキュリティ十大ニュース - 選挙イヤーのサイバー空間は人類の幸福に味方できたのか -」を公開
情報源
https://www.jnsa.org/active/news10/2024.html

概要
JNSAは、「2024セキュリティ十大ニュース - 選挙イヤーのサイバー空間は人類の幸福に味方できたのか-」を公開しました。「2024セキュリティ十大ニュース」は、2024年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける出来事から、＜2024セキュリティ十大ニュース＞選定委員が選考したものです。

【6】JPCERT/CCが「近年の水飲み場攻撃事例 Part2」を公開
情報源
https://blogs.jpcert.or.jp/ja/2024/12/watering_hole_attack_part2.html

概要
JPCERT/CCは、「近年の水飲み場攻撃事例 Part2」を公開しました。本シリーズは、攻撃者の攻撃手法の中で、近年あまり注目されることがない水飲み場攻撃の事例について、国内で発生した事例をもとに2回に分けて紹介しています。2回目となる本記事では、2023年にあるメディア関連のWebサイトが悪用された事例を紹介しています。

【7】JPCERT/CCが「サイバーセキュリティの「有事」に何が必要なのか - Locked Shields2024演習参加からの考察 -」を公開
情報源
https://blogs.jpcert.or.jp/ja/2024/12/locked-shields2024.html

概要
JPCERT/CCは、「サイバーセキュリティの「有事」に何が必要なのか - Locked Shields2024演習参加からの考察 -」を公開しました。本記事では、サイバー演習に官民双方が参加することの意義について考察を述べています。

目　次
【1】Trend Micro Apex OneおよびApex One SaaSに複数の脆弱性
【2】Google Chromeに複数の脆弱性
【3】Apache Tomcatに複数の脆弱性
【4】シャープ製ルータ製品に複数の脆弱性
【5】IPAが「SBOM導入・運用の手引き」を公開
【6】個人情報保護委員会が「人事労務管理のためのサービスをクラウド環境を利用して開発・提供する場合及び当該サービスを利用する場合における留意点について（注意喚起）」を公開
【7】IPAが「2024年度 年末年始における情報セキュリティに関する注意喚起」を公開
【8】JPCERT/CCが「近年の水飲み場攻撃事例 Part1」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Trend Micro Apex OneおよびApex One SaaSに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU95720792/

概要
Trend Micro Apex OneおよびApex One SaaSには、複数の脆弱性があります。この問題は、当該製品にパッチを適用することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2024/12/stable-channel-update-for-desktop_18.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】Apache Tomcatに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU98102314/

概要
Apache Tomcatには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】シャープ製ルータ製品に複数の脆弱性
情報源
https://jvn.jp/jp/JVN61635834/

概要
シャープ株式会社が提供する複数のルータ製品には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】IPAが「SBOM導入・運用の手引き」を公開
情報源
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/sbom.html

概要
独立行政法人情報処理推進機構（IPA）は、「SBOM導入・運用の手引き」を公開しました。本手引きではSBOMの普及と導入に関する課題を解決するために、SBOM の導入・運用における現実的な取り組みの一例や知見を説明しています。

【6】個人情報保護委員会が「人事労務管理のためのサービスをクラウド環境を利用して開発・提供する場合及び当該サービスを利用する場合における留意点について（注意喚起）」を公開
情報源
https://www.ppc.go.jp/news/careful_information/241217_alert_hrms/

概要
個人情報保護委員会は、多数の企業で利用されているクラウド型人事労務管理サービスへの不正アクセスにより個人データが漏えいした事案について、個人情報保護法等の法律上の問題点を調査・検討し、本注意喚起を公開しました。人事労務管理サービス等を開発し提供する委託先、および、サービスを利用して従業者の個人データを取り扱う委託元に対する留意点を説明しています。

【7】IPAが「2024年度 年末年始における情報セキュリティに関する注意喚起」を公開
情報源
https://www.ipa.go.jp/security/anshin/heads-up/alert20241217.html

概要
独立行政法人情報処理推進機構（IPA）は、「2024年度 年末年始における情報セキュリティに関する注意喚起」を公開しました。年末年始における、個人の利用者、企業や組織の利用者、企業や組織の管理者、それぞれの対象者に対して取るべき対策を説明しています。

【8】JPCERT/CCが「近年の水飲み場攻撃事例 Part1」を公開
情報源
https://blogs.jpcert.or.jp/ja/2024/12/watering_hole_attack_part1.html

概要
JPCERT/CCは、「近年の水飲み場攻撃事例 Part1」を公開しました。本記事では、攻撃者の攻撃手法の中で、近年あまり注目されることがない水飲み場攻撃の事例を国内で発生した事例をもとに2回に分けて紹介します。

目　次
【1】FXC製AE1021およびAE1021PEに複数の脆弱性
【2】複数のApple製品に脆弱性
【3】PDQ Deployのサービス実行中に資格情報が窃取される問題
【4】Apache Struts 2のファイルアップロード処理に不備
【5】複数のIvanti製品に脆弱性
【6】Google Chromeに複数の脆弱性
【7】GitLabに複数の脆弱性
【8】複数のAtlassian製品に脆弱性
【9】複数のアドビ製品に脆弱性
【10】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】FXC製AE1021およびAE1021PEに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU91084137/

概要
FXC株式会社が提供するAE1021およびAE1021PEには、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fxc.jp/news/20241213

【2】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/12/12/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/100100

【3】PDQ Deployのサービス実行中に資格情報が窃取される問題
情報源
https://jvn.jp/vu/JVNVU93812400/

概要
パッチ管理、自動化ツールPDQ Deployには、「Deploy User」Run Modeによるデプロイ処理中に、「Deploy User」として指定されたアカウントの資格情報が窃取される問題があります。この問題は、ワークアラウンドを実施することで、影響を軽減することが可能です。詳細は、開発者が提供する情報を参照してください。
関連文書
https://kb.cert.org/vuls/id/164934

【4】Apache Struts 2のファイルアップロード処理に不備
情報源
https://jvn.jp/vu/JVNVU91257897/

概要
The Apache Software Foundationが提供するApache Struts 2には、ファイルアップロード処理に不備があります。この問題は、当該製品を修正済みのバージョンに更新し、新しいファイルアップロードメカニズムに移行することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://cwiki.apache.org/confluence/display/WW/S2-067

https://struts.apache.org/announce-2024#a20241210

【5】複数のIvanti製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/12/10/ivanti-releases-security-updates-multiple-products

概要
複数のIvaniti製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.ivanti.com/blog/december-security-update

【6】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2024/12/stable-channel-update-for-desktop_10.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【7】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2024/12/11/patch-release-gitlab-17-6-2-released/

概要
Gitlabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【8】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/security-bulletin-december-10-2024-1476624803.html

概要
複数のAtlassian製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【9】複数のアドビ製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2024/at240024.html

概要
複数のアドビ製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://helpx.adobe.com/security/security-bulletin.html

【10】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2024/at240023.html

概要
複数のマイクロソフト製品には、脆弱性があります。同社は、今回修正された一部の脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2024/12/202412-security-update/

目　次
【1】SonicWall SMA100シリーズに複数の脆弱性
【2】Cisco NX-OSソフトウェアに脆弱性
【3】アイ・オー・データ製ルーターUD-LT1およびUD-LT1/EXに複数の脆弱性
【4】Google Chromeに複数の脆弱性
【5】UNIVERGE IX/IX-R/IX-Vシリーズルーターに複数の脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】SonicWall SMA100シリーズに複数の脆弱性
情報源
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0018

概要
SonicWallが提供するSMA100シリーズには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】Cisco NX-OSソフトウェアに脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/12/05/cisco-releases-security-up> ■12/01(日)～12/07(土) のセキュリティ関連情報dates-nx-os-software

概要
CiscoはCisco NX-OSソフトウェアの脆弱性に関するアドバイザリを公開しました。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-image-sig-bypas-pQDRQvjL

【3】アイ・オー・データ製ルーターUD-LT1およびUD-LT1/EXに複数の脆弱性
情報源
https://jvn.jp/jp/JVN46615026/

概要
株式会社アイ・オー・データ機器が提供するルーターUD-LT1およびUD-LT1/EXには、複数の脆弱性があります。また、開発者によりこれらの脆弱性を悪用した攻撃が確認されています。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.iodata.jp/support/information/2024/11_ud-lt1/

【4】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2024/12/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】UNIVERGE IX/IX-R/IX-Vシリーズルーターに複数の脆弱性
情報源
https://jvn.jp/jp/JVN53958863/

概要
日本電気株式会社が提供するUNIVERGE IX/IX-R/IX-Vシリーズルーターには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://jpn.nec.com/security-info/secinfo/nv24-009.html

https://jpn.nec.com/univerge/ix/Support/Security-Info/JVN/JVN53958863.html

https://jpn.nec.com/univerge/ix-nrv/Support/Security-Info/JVN/JVN53958863.html