ミニ・いんふぉめーしょん

目　次
【1】VMware Cloud FoundationおよびvCenter Serverに複数の脆弱性
【2】複数のApple製品に脆弱性
【3】IvantiのCloud Services Applianceにパストラバーサルの脆弱性
【4】複数のAtlassian製品に脆弱性
【5】WordPress用プラグインWelcart e-Commerceに複数の脆弱性
【6】Google Chromeに複数の脆弱性
【7】Gitlabにデジタル署名の不適切な検証の脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】VMware Cloud FoundationおよびvCenter Serverに複数の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/09/19/vmware-releases-security-advisory-vmware-cloud-foundation-and-vcenter-server

概要
VMware Cloud FoundationおよびvCenter Serverには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24968

【2】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/09/18/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/100100

【3】IvantiのCloud Services Applianceにパストラバーサルの脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/09/19/ivanti-releases-admin-bypass-security-update-cloud-services-appliance

概要
Ivantiが提供するCloud Serivces Applianceには、パストラバーサルの脆弱性があります。この問題は、修正済みのバージョンにアップグレードするか、パッチを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-CSA-4-6-Cloud-Services-Appliance-CVE-2024-8963

【4】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/security-bulletin-september-17-2024-1431249025.html

概要
複数のAtlassian製品には、脆弱性があります。対象はConfluence Server、Confluence Data Center、Bamboo Server、Bamboo Data Center、Bitbucket Server、Bitbucket Data Center、Crowd ServerおよびCrowd Data Centerです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】WordPress用プラグインWelcart e-Commerceに複数の脆弱性
情報源
https://jvn.jp/jp/JVN19766555/

概要
WordPress用プラグインWelcart e-Commerceには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.welcart.com/archives/22581.html

【6】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2024/09/stable-channel-update-for-desktop_17.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【7】Gitlabにデジタル署名の不適切な検証の脆弱性
情報源
https://about.gitlab.com/releases/2024/09/17/patch-release-gitlab-17-3-3-released/

概要
Gitlabには、デジタル署名の不適切な検証の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

目　次
【1】Cisco IOS XRソフトウェアに複数の脆弱性
【2】GitLabに複数の脆弱性
【3】複数のPalo Alto Networks製品に脆弱性
【4】複数のIntel製品に脆弱性
【5】Windows向けCitrix Workspaceアプリに複数の脆弱性
【6】複数のIvanti製品に脆弱性
【7】複数のアルプスシステムインテグレーション製品およびOEM製品におけるCSRFの脆弱性
【8】Kibanaに複数の脆弱性
【9】複数のアドビ製品に脆弱性
【10】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Cisco IOS XRソフトウェアに複数の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/09/12/cisco-releases-security-updates-ios-xr-software

概要
Cisco IOS XRソフトウェアには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/viewErp.x?alertId=ERP-75416

【2】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2024/09/11/patch-release-gitlab-17-3-2-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】複数のPalo Alto Networks製品に脆弱性
情報源
https://security.paloaltonetworks.com/CVE-2024-8686

概要
複数のPalo Alto Networks製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://security.paloaltonetworks.com/

【4】複数のIntel製品に脆弱性
情報源
https://jvn.jp/vu/JVNVU99809283/

概要
複数のIntel製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.intel.com/content/www/us/en/security-center/default.html

【5】Windows向けCitrix Workspaceアプリに複数の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/09/10/citrix-releases-security-updates-citrix-workspace-app-windows

概要
Windows向けCitrix Workspaceアプリには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.citrix.com/s/article/CTX691485-citrix-workspace-app-for-windows-security-bulletin-cve20247889-and-cve20247890

【6】複数のIvanti製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/09/10/ivanti-releases-security-updates-endpoint-manager-cloud-service-application-and-workspace-control

概要
Ivanti Endpoint Manager、Ivanti Cloud Service ApplianceおよびIvanti Workspace Controlには、脆弱性があります。この問題は、当該製品にパッチを適用するか、修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://forums.ivanti.com/s/article/Security-Advisory-EPM-September-2024-for-EPM-2024-and-EPM-2022

https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Cloud-Service-Appliance-CSA-CVE-2024-8190

https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Workspace-Control-IWC

【7】複数のアルプスシステムインテグレーション製品およびOEM製品におけるCSRFの脆弱性
情報源
https://jvn.jp/jp/JVN05579230/

概要
複数のアルプスシステムインテグレーション製品およびそのOEM製品には、クロスサイトリクエストフォージェリ（CSRF）の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新するかワークアラウンドを実施することで解決します。詳細は、開発者が提供する情報を参照してください。

【8】Kibanaに複数の脆弱性
情報源
https://discuss.elastic.co/t/kibana-8-15-1-security-update-esa-2024-27-esa-2024-28/366119

概要
Elasticが提供するKibanaには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【9】複数のアドビ製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2024/at240018.html

概要
複数のアドビ製品に関する脆弱性が公開されています。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://helpx.adobe.com/security.html

【10】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2024/at240017.html

概要
複数のマイクロソフト製品に関する脆弱性が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2024/09/202409-security-update/

目　次
【1】複数のキングソフト製品にパストラバーサルの脆弱性
【2】PRIMERGYにSecure Bootを回避される脆弱性
【3】OpenSSLにサービス運用妨害（DoS）の脆弱性
【4】WordPress用プラグインAdvanced Custom Fieldsにクロスサイトスクリプティングの脆弱性
【5】複数のVeeam製品に脆弱性
【6】複数のCisco製品に脆弱性
【7】複数のMozilla製品に脆弱性
【8】VMware Fusionに安全でない環境変数の使用によるコード実行の脆弱性
【9】Google Chromeに複数の脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のキングソフト製品にパストラバーサルの脆弱性
情報源
https://jvn.jp/jp/JVN32529796/

概要
Kingsoft Office Softwareが提供するWPS Office、キングソフト株式会社が日本国内向けにローカライズしたWPS Officeおよびその関連製品には、パストラバーサルの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.kingsoft.jp/support-info/20240906.html

【2】PRIMERGYにSecure Bootを回避される脆弱性
情報源
https://jvn.jp/jp/JVN49873988/

概要
エフサステクノロジーズ株式会社が提供するPRIMERGYには、Secure Bootを回避される脆弱性があります。この問題は、Platforｍ Keyを変更する、または当該製品のBIOSを更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fujitsu.com/jp/group/fsas/about/resources/security/2024/0826.html

【3】OpenSSLにサービス運用妨害（DoS）の脆弱性
情報源
https://jvn.jp/vu/JVNVU91755094/

概要
OpenSSLには、OpenSSLを用いるアプリケーションにおいてX.509サーバー証明書の検証を行う際、Subject Alternative Nameフィールド内のotherNameの検証時に誤ったメモリアドレスを参照してアクセスエラーが生じる問題があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://openssl-library.org/news/secadv/20240903.txt

【4】WordPress用プラグインAdvanced Custom Fieldsにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN67963942/

概要
WP Engineが提供するWordPress用プラグインAdvanced Custom Fieldsには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.advancedcustomfields.com/blog/acf-6-3-6/

【5】複数のVeeam製品に脆弱性
情報源
https://www.veeam.com/kb4649

概要
複数のVeeam製品には、脆弱性があります。Veeam Backup & Replication、Veeam ONE、Veeam Service Provider Console、Veeam Agent for Linux、Veeam Backup for Nutanix AHV、Veeam Backup for Oracle Linux Virtualization Manager and Red Hat Virtualizationが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【6】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cslu-7gHMzWmw

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計5件（Critical 1件、High 1件、Medium 3件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【7】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2024-39/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Focus for iOS、Thunderbirdが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2024-40/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-41/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-42/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-43/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-44/

【8】VMware Fusionに安全でない環境変数の使用によるコード実行の脆弱性
情報源
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24939

概要
VMware Fusionには、安全でない環境変数の使用によるコード実行の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【9】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2024/09/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

目　次
【1】IPCOMに処理時間の相違に起因する情報漏えいの脆弱性
【2】Moodleにリモートコード実行の脆弱性
【3】Versa Networks製Versa Directorに権限昇格の脆弱性
【4】エレコム製無線LANルーターおよび無線アクセスポイントに複数の脆弱性
【5】IPAが「セキュリティ・アクション・ラボ　実践的な学びのためのプロジェクト」を公開
【6】IPAが「サイバーレジリエンスのためのコミュニケーション　セキュリティ担当者に必要なコミュニケーションスキル集」を公開
【7】経済産業省が「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」を改訂
【8】制御システムセキュリティカンファレンス2025講演募集
【9】第10回フィッシング対策勉強会
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】IPCOMに処理時間の相違に起因する情報漏えいの脆弱性
情報源
https://jvn.jp/jp/JVN29238389/

概要
エフサステクノロジーズ株式会社が提供するIPCOMのSSLアクセラレータ機能およびSSL-VPN機能には、処理時間の相違に起因する情報漏えいの脆弱性が存在します。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fujitsu.com/jp/products/network/support/2024/ipcom-04/index.html

【2】Moodleにリモートコード実行の脆弱性
情報源
https://censys.com/cve-2024-43425/

概要
Moodleには、リモートコード実行の脆弱性があります。本脆弱性を実証するコード（PoC）が公開されています。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://moodle.org/mod/forum/discuss.php?d=461193

【3】Versa Networks製Versa Directorに権限昇格の脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/08/27/versa-networks-releases-advisory-vulnerability-versa-director-cve-2024-39717

概要
Versa Networksが提供するVersa Directorには、権限昇格の脆弱性があります。同社は、今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、当該製品にパッチを適用する、あるいは修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://versa-networks.com/blog/versa-security-bulletin-update-on-cve-2024-39717-versa-director-dangerous-file-type-upload-vulnerability/

【4】エレコム製無線LANルーターおよび無線アクセスポイントに複数の脆弱性
情報源
https://jvn.jp/jp/JVN24885537/

概要
エレコム株式会社が提供する無線LANルーターおよび無線アクセスポイントには、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアにアップデートすることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.elecom.co.jp/news/security/20240827-01/

【5】IPAが「セキュリティ・アクション・ラボ　実践的な学びのためのプロジェクト」を公開
情報源
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/security-action-lab.html

概要
独立行政法人情報処理推進機構（IPA）が、「セキュリティ・アクション・ラボ　実践的な学びのためのプロジェクト」を公開しました。本プロジェクトは、ITシステム関係社員のセキュリティに関する知識・意識の向上を目的としたセキュリティ教育コンテンツおよび啓発コンテンツとのことです。
関連文書
https://github.com/sal-project/sal-setup-document

【6】IPAが「サイバーレジリエンスのためのコミュニケーション　セキュリティ担当者に必要なコミュニケーションスキル集」を公開
情報源
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/cyber-resilience-communication.html

概要
独立行政法人情報処理推進機構（IPA）が、「サイバーレジリエンスのためのコミュニケーション　セキュリティ担当者に必要なコミュニケーションスキル集」を公開しました。本書では、組織でサイバーレジリエンスを実施していくために、セキュリティ担当者と他部署のコミュニケーションに着目し、「サイバーレジリエンスのためのコミュニケーション」としてセキュリティ担当者が認識すべきコミュニケーションスキルがまとめられています。

【7】経済産業省が「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」を改訂
情報源
https://www.meti.go.jp/press/2024/08/20240829001/20240829001.html

概要
経済産業省は、ソフトウェアを供給する企業と調達する企業の双方を想定読者として、SBOM（ソフトウェア部品表）を導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた手引書「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」をver2.0に改訂しました。ver2.0では新たに、脆弱性管理プロセスの具体化やSBOM対応モデル、SBOM取引モデルに関する内容が追加されています。

【8】制御システムセキュリティカンファレンス2025講演募集
情報源
https://www.jpcert.or.jp/event/ics-conf-cfp2025/

概要
JPCERTコーディネーションセンターは、来る2025年2月5日（水）に「制御システムセキュリティカンファレンス2025」の開催を予定しております。開催にあたり、講演希望者を広く募集することといたします。講演をご希望の方は、URLに記載の開催概要とCFP募集要項をお読みいただき、講演申込事項を記載の上、メールにてCFP担当までお送りください。皆さまからのたくさんのご応募をお待ちしております。

【9】第10回フィッシング対策勉強会
情報源
https://www.antiphishing.jp/news/event/antiphishing_10th_studygroup.html

概要
フィッシング対策協議会は、2024年9月20日（金）に「第10回フィッシング対策勉強会」をオンラインで開催します。協議会会員のみではなく、フィッシング対策やWebサイトのセキュリティに興味がある方向けに参加を受付けています。講演内容や、参加登録の手順については記載のURLをご参照ください。

目　次
【1】SonicOSに不適切なアクセス制御の脆弱性
【2】SolarWinds Web help deskにハードコードされた認証情報の脆弱性
【3】複数のセーフィー製品にサーバ証明書の検証不備の脆弱性
【4】スマートフォンアプリ「楽天市場アプリ」にアクセス制限不備の脆弱性
【5】JPCERT/CCが「TSUBAMEレポート Overflow（2024年4-6月）」を公表
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】SonicOSに不適切なアクセス制御の脆弱性
情報源
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0015

概要
SonicWallが提供するSonicOSには、不適切なアクセス制御の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】SolarWinds Web help deskにハードコードされた認証情報の脆弱性
情報源
https://support.solarwinds.com/SuccessCenter/s/article/SolarWinds-Web-Help-Desk-12-8-3-Hotfix-2

概要
SolarWinds Web help deskには、ハードコードされた認証情報の脆弱性があります。この問題は、当該製品にホットフィックスを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28987

【3】複数のセーフィー製品にサーバ証明書の検証不備の脆弱性
情報源
https://jvn.jp/jp/JVN83440451/

概要
セーフィー株式会社が提供する複数の製品には、サーバ証明書の検証不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://safie.jp/information/post_6933/

【4】スマートフォンアプリ「楽天市場アプリ」にアクセス制限不備の脆弱性
情報源
https://jvn.jp/jp/JVN56648919/

概要
楽天グループ株式会社が提供するスマートフォンアプリ「楽天市場アプリ」には、アクセス制限不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。

【5】JPCERT/CCが「TSUBAMEレポート Overflow（2024年4-6月）」を公表
情報源
https://blogs.jpcert.or.jp/ja/2024/08/tsubame_overflow_2024-04-06.html

概要
JPCERT/CCは、ブログ「TSUBAMEレポート Overflow（2024年4-6月）」を公表しました。2024年4-6月の観測結果として、海外に設置しているセンサーの観測動向の比較や、その他の活動などについて紹介しています。

目　次
【1】SolarWinds Web help deskにリモートコード実行の脆弱性
【2】複数のIntel製品に脆弱性
【3】複数のIvanti製品に脆弱性
【4】Zabbixに複数の脆弱性
【5】複数のアドビ製品に脆弱性
【6】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】SolarWinds Web help deskにリモートコード実行の脆弱性
情報源
https://support.solarwinds.com/SuccessCenter/s/article/WHD-12-8-3-Hotfix-1

概要
SolarWinds Web help deskには、リモートコード実行の脆弱性があります。この問題は、当該製品にホットフィックスを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28986

【2】複数のIntel製品に脆弱性
情報源
https://jvn.jp/vu/JVNVU98459170/

概要
Intelから複数の製品に含まれる脆弱性に対応したIntel Product Security Center Advisoriesが公開されました。対象となる製品およびバージョンは多岐にわたります。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.intel.com/content/www/us/en/security-center/default.html

【3】複数のIvanti製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/08/13/ivanti-releases-security-updates-avalanche-neurons-itsm-and-virtual-traffic-manager

概要
Ivanti Virtual Traffic Manager（vTM）、Ivanti Neurons for ITSMおよびIvanti Avalancheには、脆弱性があります。この問題は、当該製品にパッチを適用するか、修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Virtual-Traffic-Manager-vTM-CVE-2024-7593

https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Neurons-for-ITSM-CVE-2024-7569-CVE-2024-7570

https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Avalanche-6-4-4-CVE-2024-38652-CVE-2024-38653-CVE-2024-36136-CVE-2024-37399-CVE-2024-37373

【4】Zabbixに複数の脆弱性
情報源
https://support.zabbix.com/browse/ZBX-25016

概要
Zabbixには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.zabbix.com/browse/ZBX-25018

https://www.zabbix.com/security_advisories

【5】複数のアドビ製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2024/at240016.html

概要
複数のアドビ製品に関する脆弱性が公開されています。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://helpx.adobe.com/security.html

【6】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2024/at240015.html

概要
複数のマイクロソフト製品に関する脆弱性が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2024/08/202408-security-update/

目　次
【1】GitLabに複数の脆弱性
【2】Jenkinsに複数の脆弱性
【3】複数のMozilla製品に脆弱性
【4】リコーJavaTM PlatformのファームウェアアップデートによりTLS1.0、TLS1.1が有効になる脆弱性
【5】サイボウズ Officeにカスタムアプリに関する閲覧制限回避の脆弱性
【6】Google Chromeに複数の脆弱性
【7】Kibanaに任意コード実行の脆弱性
【8】ゼクセロン製ZWX-2000CSW2-HNに複数の脆弱性
【9】JPCERT/CCが「インターネット定点観測レポート（2024年 4-6月）」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2024/08/07/patch-release-gitlab-17-2-2-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】Jenkinsに複数の脆弱性
情報源
https://www.jenkins.io/security/advisory/2024-08-07/

概要
Jenkinsには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2024-33/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Firefox for iOS、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2024-34/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-35/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-36/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-37/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-38/

【4】リコーJavaTM PlatformのファームウェアアップデートによりTLS1.0、TLS1.1が有効になる脆弱性
情報源
https://jvn.jp/jp/JVN78728294/

概要
株式会社リコーが提供するプリンターおよび複合機の拡張機能JavaTM Platformには、ファームウェアのアップデートによってTLS1.0、TLS1.1が有効になる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。なお、更新後はTLSが意図する設定になっているか確認してください。詳細は、開発者が提供する情報を参照してください。
関連文書
https://jp.ricoh.com/security/products/vulnerabilities/vul?id=ricoh-2024-000010

【5】サイボウズ Officeにカスタムアプリに関する閲覧制限回避の脆弱性
情報源
https://jvn.jp/jp/JVN29845579/

概要
サイボウズ株式会社が提供するサイボウズ Officeには、カスタムアプリに関する閲覧制限回避の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://kb.cybozu.support/article/38836/

【6】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2024/08/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【7】Kibanaに任意コード実行の脆弱性
情報源
https://discuss.elastic.co/t/kibana-8-14-2-7-17-23-security-update-esa-2024-22/364424

概要
Elasticが提供するKibanaには、任意コード実行の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【8】ゼクセロン製ZWX-2000CSW2-HNに複数の脆弱性
情報源
https://jvn.jp/jp/JVN70666401/

概要
株式会社ゼクセロンが提供する無線LAN機能搭載高速同軸モデムZWX-2000CSW2-HNには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.zexelon.co.jp/pdf/jvn70666401.pdf

【9】JPCERT/CCが「インターネット定点観測レポート（2024年 4-6月）」を公開
情報源
https://www.jpcert.or.jp/tsubame/report/report202404-06.html

概要
2024年8月9日、JPCERT/CCは「インターネット定点観測レポート（2024年 4-6月）」を公開しました。2024年4月から6月の間に、インターネット定点観測システム「TSUBAME」で観測した結果とその分析の概要について紹介しています。

目　次
【1】マルチテナント型のメールリレーサービスに複数の脆弱性
【2】複数のApple製品に脆弱性
【3】エレコム製無線LANルーターに複数の脆弱性
【4】EC-CUBE 4系用プラグイン「EC-CUBE Web API プラグイン」に格納型クロスサイトスクリプティングの脆弱性
【5】EC-CUBE 4系にプラグインインストール時の入力値チェックの不備
【6】FFRI AMCにOSコマンドインジェクションの脆弱性
【7】SKYSEA Client Viewに複数の脆弱性
【8】SDoPにスタックベースのバッファオーバーフローの脆弱性
【9】IPAが「セキュリティ・バイ・デザイン「システム開発のセキュリティ向上0.0」」を公開
【10】IPAがインシデント演習およびIoT/DXのセキュリティ対策に関する2つの啓発コンテンツを公開
【11】DigiCertが発行した一部の証明書にドメイン検証不備があり失効を要することを公表
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】マルチテナント型のメールリレーサービスに複数の脆弱性
情報源
https://kb.cert.org/vuls/id/244112

概要
米CERT/CCは、メール配信のホスティングサービスをマルチテナント型で提供する複数のサービスに、送信ドメイン認証技術が回避され、なりすましメールが送信可能となる脆弱性の情報を公表しました。この問題について、ホスティングプロバイダー向け、ドメイン所有者向け、メール送信者向けにそれぞれワークアラウンドが提供されています。詳細は、米CERT/CCが提供する情報を参照してください。

【2】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/07/30/apple-releases-security-updates-multiple-products

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/HT201222

【3】エレコム製無線LANルーターに複数の脆弱性
情報源
https://jvn.jp/jp/JVN06672778/

概要
エレコム株式会社が提供する複数の無線LANルーターには、複数の脆弱性が存在します。想定される影響は各脆弱性により異なります。この問題は、当該製品を修正済みのファームウェアにアップデートすることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.elecom.co.jp/news/security/20240730-01/

【4】EC-CUBE 4系用プラグイン「EC-CUBE Web API プラグイン」に格納型クロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN26225832/

概要
株式会社イーシーキューブが提供する EC-CUBE 4系用プラグイン「EC-CUBE Web API プラグイン」のOAuth管理機能には、格納型クロスサイトスクリプティングの脆弱性があります。この問題は、当該プラグインを最新版へアップデートすることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.ec-cube.net/info/weakness/20240701/web_api_plugin.php

【5】EC-CUBE 4系にプラグインインストール時の入力値チェックの不備
情報源
https://jvn.jp/jp/JVN48324254/

概要
株式会社イーシーキューブが提供するEC-CUBE 4系には、プラグインインストール時の入力値チェックに不備があります。この問題は、当該製品に修正パッチを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.ec-cube.net/info/weakness/20240701/index.php

【6】FFRI AMCにOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/jp/JVN26734798/

概要
株式会社ＦＦＲＩセキュリティが提供するFFRI AMCおよびOEM製品には、OSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、各製品の提供元による情報を参照してください。
関連文書
https://www.ffri.jp/assets/files/other_docs/20240729.pdf

https://www.support.nec.co.jp/View.aspx?id=3140109694

https://www.skyseaclientview.net/news/240729_01/

【7】SKYSEA Client Viewに複数の脆弱性
情報源
https://jvn.jp/jp/JVN84326763/

概要
Sky株式会社が提供するSKYSEA Client Viewには、複数の脆弱性が存在します。想定される影響は各脆弱性により異なります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.skyseaclientview.net/news/240729_02/

【8】SDoPにスタックベースのバッファオーバーフローの脆弱性
情報源
https://jvn.jp/jp/JVN16420523/

概要
SDoPには、入力データの取り扱い不備に起因するスタックベースのバッファオーバーフローの脆弱性が存在します。この問題は、修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://github.com/PhilipHazel/SDoP/commit/ff83d851b4b39ff2fd37ab2ab14365649515b023

【9】IPAが「セキュリティ・バイ・デザイン「システム開発のセキュリティ向上0.0」」を公開
情報源
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/security-by-design.html

概要
IPAは、「セキュリティ・バイ・デザイン「システム開発のセキュリティ向上0.0」」を公開しました。組織内の開発チームが、「開発初期」からセキュリティを考慮する事を、セキュリティ・バイ・デザインのポイントと捉え、開発初学者に提供する教育ドキュメントとして作成したとのことです。

【10】IPAがインシデント演習およびIoT/DXのセキュリティ対策に関する2つの啓発コンテンツを公開
情報源
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/incident-response-exercise.html

概要
IPAは、インシデント演習およびIoT/DXのセキュリティ対策に関する2つの啓発コンテンツを公開しました。IPAによると、インシデント対応における情報連携にフォーカスしたカードゲームは、自社組織内の情報連携やコミュニケーションの課題を洗い出すために作成したとのことです。また、IoTやDXに関するサイバー被害と対策を学ぶカードゲームは、IoTやDXに関して発生しうるサイバー被害から原因や対策を考えられる能力を身に付けるために作成したとされています。

【11】DigiCertが発行した一部の証明書にドメイン検証不備があり失効を要することを公表
情報源
https://www.cisa.gov/news-events/alerts/2024/07/30/digicert-certificate-revocations

概要
DigiCertはCNAMEベースのドメイン検証の不備により、一部の証明書を失効させる必要があると公表しました。影響を受ける組織には、DigiCertから個別に通知が行われています。DigiCertは、影響を受けた証明書の再発行を推奨しています。詳細は、DigiCertが提供する情報を参照してください。
関連文書
https://www.digicert.com/support/certificate-revocation-incident

https://status.digicert.com/incidents/3sccz3v31lc9

目　次
【1】Spring Cloud Data Flowにリモートコード実行の脆弱性
【2】GitLabに複数の脆弱性
【3】Jupyterlabのupdate-integration-tests.ymlワークフローにリモートコード実行の脆弱性
【4】Google Chromeに複数の脆弱性
【5】複数のCheck Point Software Technologies製品のVPN機能に情報漏えいの脆弱性
【6】ISC BIND 9に複数の脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Spring Cloud Data Flowにリモートコード実行の脆弱性
情報源
https://spring.io/security/cve-2024-37084

概要
SpringのSpring Cloud Data Flowには、リモートコード実行の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2024/07/24/patch-release-gitlab-17-2-1-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】Jupyterlabのupdate-integration-tests.ymlワークフローにリモートコード実行の脆弱性
情報源
https://github.com/jupyterlab/extension-template/security/advisories/GHSA-45gq-v5wm-82wg

概要
Jupyterlabのupdate-integration-tests.ymlのワークフローには、リモートコード実行の脆弱性があります。本脆弱性は、extension-templateのtestオプションを用いて作成したレポジトリが影響を受けます。この問題は、当該テンプレートを修正済みのバージョンにアップグレードすることで解決します。詳細は、開発者が提供する情報を参照してください。

【4】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2024/07/stable-channel-update-for-desktop_23.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】複数のCheck Point Software Technologies製品のVPN機能に情報漏えいの脆弱性
情報源
https://jvn.jp/vu/JVNVU98330908/

概要
複数のCheck Point Software Technologies製品のVPN機能における情報漏えいの脆弱性（CVE-2024-24919）について、すでにJPCERT/CCはCyberNewsFlashを発行していますが、脆弱性の影響を受ける製品の設定に関する条件の詳細が開発者から提供されたため、追記更新しました。改めて影響の確認と対応を検討してください。
関連文書
https://support.checkpoint.com/results/sk/sk182336

https://support.checkpoint.com/results/sk/sk182357

https://advisories.checkpoint.com/defense/advisories/public/2024/cpai-2024-0353.html

https://www.jpcert.or.jp/newsflash/2024053001.html

【6】ISC BIND 9に複数の脆弱性
情報源
https://www.jpcert.or.jp/newsflash/2024072401.html

概要
ISC BIND 9には、複数の脆弱性があります。影響を受けるバージョンは多岐にわたります。一部の脆弱性は、すでにサポートが終了したBINDでも影響を受けますが、修正バージョンはサポート対象のBINDでのみ提供されます。詳細は、開発者が提供する情報を参照してください。
関連文書
https://jvn.jp/vu/JVNVU99505181/

https://www.cisa.gov/news-events/alerts/2024/07/24/isc-releases-security-advisories-bind-9

目　次
【1】2024年7月Oracle Critical Patch Updateについて
【2】Ivanti Endpoint Manager（EPM）製品に脆弱性
【3】複数のCisco製品に脆弱性
【4】Apache HTTP Server 2.4に複数の脆弱性
【5】Assimpにヒープベースのバッファオーバーフローの脆弱性
【6】センチュリー・システムズ製FutureNet NXRシリーズ、VXRシリーズおよびWXRシリーズに複数の脆弱性
【7】サイボウズ Garoonにクロスサイトスクリプティングの脆弱性
【8】FUJITSU Network Edgiot GW1500にパストラバーサルの脆弱性
【9】JPCERT/CC 感謝状 2024
【10】JPCERT/CCが2024年4月-6月分の「活動四半期レポート」などを公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】2024年7月Oracle Critical Patch Updateについて
情報源
https://www.oracle.com/security-alerts/cpujul2024.html

概要
Oracleから、複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公表されました。詳細は、Oracleが提供する情報を参照してください。
関連文書
https://www.ipa.go.jp/security/security-alert/2024/0717-jre.html

【2】Ivanti Endpoint Manager（EPM）製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/07/18/ivanti-releases-security-updates-endpoint-manager

概要
Ivanti Endpoint Manager（EPM）製品には、複数の脆弱性があります。Ivanti Endpoint Manager（EPM）およびIvanti Endpoint Manager for Mobile（EPMM）が対象です。この問題は、当該製品にパッチを適用するか、修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://forums.ivanti.com/s/article/Security-Advisory-EPM-July-2024-for-EPM-2024

https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-for-Mobile-EPMM-July-2024

【3】複数のCisco製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/07/18/cisco-releases-security-updates-multiple-products

概要
複数のCisco製品に関する脆弱性が公開されています。対象となる製品およびバージョンは多岐にわたります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【4】Apache HTTP Server 2.4に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU99133886/

概要
Apache HTTP Server 2.4には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.62

【5】Assimpにヒープベースのバッファオーバーフローの脆弱性
情報源
https://jvn.jp/jp/JVN87710540/

概要
Open Asset Import Libraryが提供するAssimpには、ヒープベースのバッファオーバーフローの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://github.com/assimp/assimp/releases/tag/v5.4.2

【6】センチュリー・システムズ製FutureNet NXRシリーズ、VXRシリーズおよびWXRシリーズに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU96424864/

概要
センチュリー・システムズ株式会社が提供するFutureNet NXRシリーズ、VXRシリーズおよびWXRシリーズには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。開発者によると、本件の影響を受ける製品群の一部は、すでにサポートが終了しているとのことです。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.centurysys.co.jp/backnumber/nxr_common/20240716-01.html

【7】サイボウズ Garoonにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN74825766/

概要
サイボウズ株式会社が提供するサイボウズ Garoonには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://kb.cybozu.support/?product=garoon&v=&fv=6.0.2&t=%E8%84%86%E5%BC%B1%E6%80%A7&f=&r=&b=&s=&posts_per_page=20

【8】FUJITSU Network Edgiot GW1500にパストラバーサルの脆弱性
情報源
https://jvn.jp/jp/JVN25583987/

概要
富士通株式会社が提供するFUJITSU Network Edgiot GW1500（M2M-GW for FENICS）には、パストラバーサルの脆弱性があります。この問題は、当該製品にパッチを適用することで解決します。詳細は、開発者が提供する情報を参照してください。

【9】JPCERT/CC 感謝状 2024
情報源
https://www.jpcert.or.jp/award/appreciation-award/2024.html

概要
2024年6月、JPCERT/CCは、サイバーセキュリティ対策活動に特に顕著なご貢献をいただいた方に感謝の意を表して感謝状を贈呈しました。JPCERT/CCは、多くの関係者の方々に日々ご協力いただいております。JPCERT/CCに報告をくださったすべての方々に、この場を借りて感謝申し上げます。引き続きJPCERT/CCの活動にご協力いただければと存じます。

【10】JPCERT/CCが2024年4月-6月分の「活動四半期レポート」などを公開
情報源
https://www.jpcert.or.jp/pr/2024/PR_Report2024Q1.pdf

概要
JPCERT/CCは2024年4月から6月分の「活動四半期レポート」「インシデント報告対応レポート」「ソフトウェア等の脆弱性関連情報に関する届出状況」を公開しました。本四半期中のJPCERT/CCの国内外の活動に加え、JPCERT/CCが報告を受け付けたインシデントの統計や事例などについてまとめています。参考資料としてご活用ください。
関連文書
https://www.jpcert.or.jp/pr/2024/IR_Report2024Q1.pdf

https://www.jpcert.or.jp/pr/2024/vulnREPORT_2024q2.pdf