SECURITY NEWS (2024/5)

このページにて緊急対応が必要なセキュリティ情報を提供します。
提供する情報は、Windows, UNIX, Macおよび主要なアプリケーションに関するものです。

総合　 Windows　Unix　Mac　アプリケーション

総合

　CERT/CC, US-CERT, JPCERT/CC, IPAからの勧告やSecurityFocusのニュースレターなど。

2024/05/16

Adobe Releases Security Updates for Multiple Products: CISA発表のAdobe社の複数の製品のセキュリティアップデートに関する注意喚起です。

2024/05/15

JPCERT-AT-2024-0010 Adobe AcrobatおよびReaderの脆弱性（APSB24-29）に関する注意喚起: JPCERT/CC発表のAdobe Acrobat, Adobe Readerのセキュリティアップデートに関する注意喚起です。
JPCERT-AT-2024-0011 2024年5月マイクロソフトセキュリティ更新プログラムに関する注意喚起: JPCERT/CC発表の 5月のMicrosoftのセキュリティ更新プログラムに関する注意喚起です。
Microsoft 製品の脆弱性対策について(2024年5月): IPA発表の 5月のMicrosoftのセキュリティ更新プログラムに関する注意喚起です。
Adobe Acrobat および Reader の脆弱性対策について(2024年5月): IPA発表のAdobe Acrobat, Adobe Readerのセキュリティアップデートに関する注意喚起です。
JPCERT/CC WEEKLY REPORT 2024-05-15: 【1】スマートフォンアプリ「OfferBox」に秘密鍵がハードコードされている問題
【2】DHCPのオプション121を利用したVPNのカプセル化回避の問題
【3】Google Chromeに複数の脆弱性
【4】BIG-IP Next Central Managerに複数の脆弱性
【5】GitLabに複数の脆弱性
【6】トレンドマイクロ製ウイルスバスタークラウドにファイルリンク解決処理の不備
Microsoft Releases May 2024 Security Updates: CISA発表の 5月のMicrosoftのセキュリティ更新プログラムに関する注意喚起です。
Apple Releases Security Updates for Multiple Products: CISA発表のApple社製品のセキュリティアップデートに関する注意喚起です。
CISA Adds Two Known Exploited Vulnerabilities to Catalog: CISAが２件の悪用された脆弱性をKnown Exploited Vulnerabilities Catalogに追加したことに関する広報です。
CISA Releases Four Industrial Control Systems Advisories: CISA発表のICSの４件のセキュリティアドバイザリ公開の広報です。
CISA and Partners Release Guidance for Civil Society Organizations on Mitigating Cyber Threats with Limited Resources: CISA, DHS, FBI及び国際パートナー共同発表のMitigating Cyber Threats with Limited Resources: Guidance for Civil Society公開の注意喚起です。

2024/05/14

CISA Adds One Known Exploited Vulnerability to Catalog

CISAが１件の悪用された脆弱性をKnown Exploited Vulnerabilities Catalogに追加したことに関する広報です。
参考情報

Security NEXT

SB24-134 Vulnerability Summary for the Week of May 6, 2024

CISA発表の脆弱性情報のサマリです( 5月 6日の週)。

2024/05/13

CISA and Partners Release Advisory on Black Basta Ransomware

CISA, FBI, HHS, MS-ISAC共同発表のAA24-131A #StopRansomware: Black Basta公開の広報です。
参考情報

BLEEPING COMPUTER

2024/05/10

ASD’s ACSC, CISA, and Partners Release Secure by Design Guidance on Choosing Secure and Verifiable Technologies: CISA, ASD’s ACSC, CCCS, NCSC-UK, NCSC-NZ共同発表のSecure-by-Design Choosing Secure and Verifiable Technologies公開の注意喚起です。
CISA Releases Four Industrial Control Systems Advisories: CISA発表のICSの４件のセキュリティアドバイザリ公開の広報です。

2024/05/09

JPCERT/CC WEEKLY REPORT 2024-05-09: 【1】Rプログラミング言語の実装における安全でないデータのデシリアライゼーションが発生する問題
【2】Google Chromeに複数の脆弱性
【3】複数のCisco製品に脆弱性
【4】GitLabに複数の脆弱性
【5】NETGEAR製ルーターにバッファオーバーフローの脆弱性
【6】RoamWiFi R10に複数の脆弱性
【7】 WindowsカーネルドライバーのIOCTL処理にアクセス制御不備の脆弱性
【8】オムロン製Sysmac Studio/CX-OneおよびCX-Programmerに複数の脆弱性
【9】総務省が「クラウドの設定ミス対策ガイドブック」を公開
【10】JPCERT/CCが「インターネット定点観測レポート（2024年 1-3月）」を公開

2024/05/08

CISA Releases Two Industrial Control Systems Advisories: CISA発表のICSの２件のセキュリティアドバイザリ公開の広報です。

2024/05/07

SB24-127 Vulnerability Summary for the Week of April 29, 2024: CISA発表の脆弱性情報のサマリです( 4月29日の週)。

2024/05/03

CISA and FBI Release Secure by Design Alert to Urge Manufacturers to Eliminate Directory Traversal Vulnerabilities

CISA, FBI共同発表のSecure by Design Alert: Eliminating Directory Traversal Vulnerabilities in Software公開の注意喚起です。
参考情報

BLEEPING COMPUTER

CISA Releases Three Industrial Control Systems Advisories

CISA発表のICSの３件のセキュリティアドバイザリ公開の広報です。

2024/05/02

CERT/CC Reports R Programming Language Vulnerability

CISA発表のCERT/CCのCurrent:VU#238194 R Programming Language implementations are vulnerable to arbitrary code execution during deserialization of .rds and .rdx files公開のセキュリティアドバイザリに関する注意喚起です。

CISA Adds One Known Exploited Vulnerability to Catalog

CISAが１件の悪用された脆弱性をKnown Exploited Vulnerabilities Catalogに追加したことに関する広報です。
参考情報

CISA and Partners Release Fact Sheet on Defending OT Operations Against Ongoing Pro-Russia Hacktivist Activity

CISA及び共同パートナー発表のDefending OT Operations Against Ongoing Pro-Russia Hacktivist Activity公開の広報です。
参考情報

BLEEPING COMPUTER

2024/05/01

CISA Releases Three Industrial Control Systems Advisories

CISA発表のICSの８件のセキュリティアドバイザリ公開の広報です。

CISA Adds One Known Exploited Vulnerability to Catalog

CISAが１件の悪用された脆弱性をKnown Exploited Vulnerabilities Catalogに追加したことに関する広報です。
参考情報

Security NEXT

Microsoft

　Microsoft製品に関する情報。

2024/05/15

マイクロソフトが2024年 5月のセキュリティ更新プログラムをリリース

影響を受ける製品

複数のMicrosoft製品。

詳細

60件のMicrosoftのCVEと８件の非MicrosoftのCVEで示される脆弱性をフィックスしています。

解決法

Microsoft UpdateあるいはWindows Updateから更新プログラムをインストールしてください。あるいはMicrosoftダウンロードセンターから更新プログラムを入手し適用してください。

参考情報

Microsoft Edge Stable Channel and Extended Stable Channels, (Version 124.0.2478.105)がリリース

影響を受ける製品

Microsoft Edge.

詳細

V8の境界外メモリ書込の１件の脆弱性をフィックスしています。

解決法

自動的に更新されます。自動的に更新されない場合は手動で更新を行なってください。

参考情報

Security NEXT

2024/05/13

Microsoft Edge Stable Channel (Version 124.0.2478.97), Extended Stable channel (Version 124.0.2478.97)がリリース

影響を受ける製品

Microsoft Edge.

詳細

Edge固有の１件を含む４件の脆弱性をフィックスしています。

解決法

自動的に更新されます。自動的に更新されない場合は手動で更新を行なってください。

参考情報

Security NEXT
- ゼロデイ脆弱性を修正した「Microsoft Edge」のアップデートが公開
- 米当局、「Chromium」の脆弱性悪用に警鐘 - 派生ブラウザでも注意を

2024/05/03

Microsoft Edge Stable Channel (Version 124.0.2478.80)がリリース

影響を受ける製品: Microsoft Edge.
詳細: Picture In Pictureの解放後メモリ利用の１件の脆弱性とDawnの解放後メモリ利用の１件の脆弱性をフィックスしています。
解決法: 自動的に更新されます。自動的に更新されない場合は手動で更新を行なってください。

UNIX

　UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
　扱うOS: HP-UX, Red Hat Enterprise Linux （標準のみ）, Ubuntu, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.

2024/05/16

Red Hat Enterprise Linuxのnodejs:20のセキュリティフィックス

影響を受ける製品: Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for x86_64 - Extended Update Support 9.4 x86_64, Red Hat Enterprise Linux Server - AUS 9.4 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 9.4 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for Power, little endian - Extended Update Support 9.4 ppc64le, Red Hat Enterprise Linux for ARM 64 9 aarch64, Red Hat Enterprise Linux for ARM 64 - Extended Update Support 9.4 aarch64, Red Hat Enterprise Linux Server for Power LE - Update Services for SAP Solutions 9.4 ppc64le, Red Hat Enterprise Linux for x86_64 - Update Services for SAP Solutions 9.4 x86_64, Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.4 aarch64, Red Hat Enterprise Linux Server for IBM z Systems - 4 years of updates 9.4 s390x.
詳細: ５件の脆弱性をフィックスしています。
解決法: 文書に従って更新を行ってください。

Ubuntu LinuxのLinux kernelのセキュリティフィックス

影響を受ける製品: Ubuntu 22.04 LTS, 20.04 LTS.
詳細: 91件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Debian GNU/Linuxのchromium, libreoffice, firefox-esrのセキュリティフィックス

影響を受ける製品: oldstable (bullseye) (libreoffice, firefox-esr). stable (bookworm) (chromium, libreoffice, firefox-esr).
詳細: chromiumはV8の解放後メモリ利用の１件を、libreofficeは信頼されていないスクリプトが実行可能な１件の脆弱性を、firefox-esrは６件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

2024/05/15

Red Hat Enterprise Linuxの.NET 8.0, .NET 7.0のセキュリティフィックス

影響を受ける製品: Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for x86_64 - Extended Update Support 9.4 x86_64, Red Hat Enterprise Linux Server - AUS 9.4 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for ARM 64 9 aarch64, Red Hat Enterprise Linux for x86_64 - Update Services for SAP Solutions 9.4 x86_64, Red Hat Enterprise Linux Server for IBM z Systems - 4 years of updates 9.4 s390x (.NET 8.0). Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 9.4 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for Power, little endian - Extended Update Support 9.4 ppc64le, Red Hat Enterprise Linux Server for Power LE - Update Services for SAP Solutions 9.4 ppc64le, Red Hat CodeReady Linux Builder for x86_64 9 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 9 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 9 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 9 s390x, Red Hat Enterprise Linux for ARM 64 - Extended Update Support 9.4 aarch64, Red Hat CodeReady Linux Builder for x86_64 - Extended Update Support 9.4 x86_64, Red Hat CodeReady Linux Builder for Power, little endian - Extended Update Support 9.4 ppc64le, Red Hat CodeReady Linux Builder for IBM z Systems - Extended Update Support 9.4 s390x, Red Hat CodeReady Linux Builder for ARM 64 - Extended Update Support 9.4 aarch64, Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.4 aarch64 (.NET 8.0. .NET 7.0).
詳細: 両者ともスタックバッファのオーバーランの１件の脆弱性とASP.NET CoreのDoS攻撃の１件の脆弱性をフィックスしています。
解決法: 文書に従って更新を行ってください。

Ubuntu LinuxのLinux kernel (BlueField), strongswanのセキュリティフィックス

影響を受ける製品: Ubuntu 22.04 LTS (strongswan). Ubntu 20.04 LTS (Linux kernel (BlueField)).
詳細: Linux kernel (BlueField)は48件の脆弱性を、strongswanは認証のバイパスの１件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Slackware Linuxのmozilla-firefoxのセキュリティフィックス

影響を受ける製品: 15.0, -current.
詳細: ６件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

2024/05/14

Ubuntu Linuxのsqlparseのセキュリティフィックス

影響を受ける製品: Ubuntu 24.04 LTS, 23.10, 22.04 LTS.
詳細: 入れ子リスト処理部のDoS攻撃の１件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Slackware Linuxのlibxml2のセキュリティフィックス

影響を受ける製品: 15.0, -current.
詳細: xmllintのバッファオーバーリードの１件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

2024/05/13

Debian GNU/Linuxのchromium, atrilのセキュリティフィックス

影響を受ける製品: oldstable (bullseye) (atril). stable (bookworm) (chromium, atril).
詳細: chromiumはVisualsの解放後メモリ利用の１件を、atrilは入力のサニタイズ漏れの１件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

2024/05/10

Red Hat Enterprise Linuxのkernel, nodejs:20, nodejs:18 RHSA-2024:2779, RHSA-2024:2780のセキュリティフィックス

影響を受ける製品: Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for x86_64 - Extended Update Support 9.4 x86_64, Red Hat Enterprise Linux Server - AUS 9.4 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 9.4 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for Real Time 9 x86_64, Red Hat Enterprise Linux for Power, little endian - Extended Update Support 9.4 ppc64le, Red Hat Enterprise Linux for ARM 64 9 aarch64, Red Hat Enterprise Linux for ARM 64 - Extended Update Support 9.4 aarch64, Red Hat Enterprise Linux Server for Power LE - Update Services for SAP Solutions 9.4 ppc64le, Red Hat Enterprise Linux for x86_64 - Update Services for SAP Solutions 9.4 x86_64, Red Hat Enterprise Linux Server for IBM z Systems - 4 years of updates 9.4 s390x (kernel, nodejs:18). Red Hat Enterprise Linux for Real Time for NFV 9 x86_64, Red Hat CodeReady Linux Builder for x86_64 9 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 9 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 9 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 9 s390x, Red Hat CodeReady Linux Builder for x86_64 - Extended Update Support 9.4 x86_64, Red Hat CodeReady Linux Builder for Power, little endian - Extended Update Support 9.4 ppc64le, Red Hat CodeReady Linux Builder for IBM z Systems - Extended Update Support 9.4 s390x, Red Hat CodeReady Linux Builder for ARM 64 - Extended Update Support 9.4 aarch64, Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.4 aarch64, Red Hat Enterprise Linux for Real Time for x86_64 - 4 years of updates 9.4 x86_64, Red Hat Enterprise Linux for Real Time for NFV for x86_64 - 4 years of updates 9.4 x86_64 (kernel). Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for ARM 64 8 aarch64 (nodejs:20, nodejs:18).
詳細: kernelはMarvinのサイドチャネル攻撃の１件の脆弱性とAMD SEV-SNPの悪意あるハイパーバイザーがゲストVMの機密性と完全性を侵害可能な２件の脆弱性を、nodejs:20, nodejs:18は５件の脆弱性をそれぞれフィックスしています。
解決法: 文書に従って更新を行ってください。

Ubuntu Linuxのglib2.0, libspreadsheet-parsexlsx-perlのセキュリティフィックスとfossilのセキュリティフィックスのアップデート

影響を受ける製品: Ubuntu 24.04 LTS (glib2.0, fossil). Ubuntu 23.10, 22.04 LTS, 20.04 LTS (glib2.0, libspreadsheet-parsexlsx-perl, fossil). Ubuntu 18.04 ESM, 16.04 ESM (fossil).
詳細: glib2.0はD-Busシグナルを偽装可能な１件のローカル脆弱性を、libspreadsheet-parsexlsx-perlはメモリ枯渇の１件の脆弱性とXEE攻撃の１件の脆弱性をそれぞれフィックスしています。fossilは回帰エラーをフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Debian GNU/Linuxのwebkit2gtk, wordpress, dav1dのセキュリティフィックスとglib2.0のセキュリティフィックスのアップデート

影響を受ける製品: oldstable (bullseye), stable (bookworm).
詳細: webkit2gtkは８件の脆弱性を、wordpressは５件の脆弱性を、dav1dは整数桁溢れの１件の脆弱性をそれぞれフィックスしています。glib2.0は回帰エラーをフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

2024/05/09

Debian GNU/Linuxのglib2.0, chromiumのセキュリティフィックス

影響を受ける製品: oldstable (bullseye) (glib2.0). stable (bookworm) (glib2.0, chromium).
詳細: glib2.0はD-Busのシグナルを偽装可能な１件のローカル脆弱性を、chromiuはmANGLEの解放後メモリ利用の１件の脆弱性とWebAudioのヒープバッファオーバーフローの１件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

2024/05/08

Red Hat Enterprise Linuxのglibcのセキュリティフィックス

影響を受ける製品: Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for ARM 64 8 aarch64, Red Hat CodeReady Linux Builder for x86_64 8 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 8 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 8 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 8 s390x.
詳細: iconv()の境界外メモリ書込の１件の脆弱性をフィックスしています。
解決法: 文書に従って更新を行ってください。

Ubuntu Linuxのlibvirt, nghttp2, libde265, Linux kernel (OEM), Linux kernel USN-6766-1, USN-6767-1のセキュリティフィックス

影響を受ける製品: Ubuntu 24.04 LTS (libvirt, nghttp2). Ubuntu 23.10, 16.04 ESM (libde265). Ubuntu 22.04 LTS (libde265, Linux kernel (OEM), Linux kernel (USN-6766-1)). Ubuntu 20.04 LTS (libde265, Linux kernel (USN-6766-1, USN-6767-1)). Ubuntu 18.04 ESM (libde265, Linux kernel (USN-6767-1)).
詳細: libvirtは解放後メモリ利用の１件の脆弱性を、nghttp2はHTTP/2のDoS攻撃の１件の脆弱性を、libde265はバッファオーバーフローの１件のローカル脆弱性を、Linux kernel (OEM)は123件の脆弱性を、Linux kernel (USN-6766-1)は91件の脆弱性を、Linux kernel (USN-6767-1)は48件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

2024/05/07

Red Hat Enterprise Linuxのgit-lfsのセキュリティフィックス

影響を受ける製品: Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for ARM 64 8 aarch64.
詳細: git-lfsはgolangのnet/http, x/net/http2のHTTP/2のDoS攻撃の１件の脆弱性をフィックスしています。
解決法: 文書に従って更新を行ってください。

Debian GNU/Linuxのlinux DSA 5680-1, DSA 5681-1のセキュリティフィックス

影響を受ける製品: oldstable (bullseye) (linux (DSA 5681-1)). stable (bookworm) (linux (DSA 5680-1)).
詳細: linux (DSA 5680-1)は37件の脆弱性を、linux (DSA 5681-1)は250件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

2024/05/05

Debian GNU/Linuxのruby3.1, glibc, lessのセキュリティフィックス

影響を受ける製品: oldstable (bullseye) (glibc, less). stable (bookworm) (ruby3.1, glibc, less).
詳細: ruby3.1は任意のメモリを読み込み可能な１件の脆弱性と任意のコードを実行可能な１件のリモート脆弱性とバッファオーバーリードの１件の脆弱性を、glibcは４件の脆弱性を、lessはOSコマンド挿入の２件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

2024/05/03

Ubuntu LinuxのGNU C Library, PHPのセキュリティフィックスとfirefoxのセキュリティフィックスのアップデート

影響を受ける製品: Ubuntu 23.10, 22.04 LTS (PHP). Ubuntu 20.04 LTS (PHP, firefox). Ubuntu 18.04 ESM, 16.04 ESM, 14.04 ESM (GNU C Library).
詳細: GNU C Libraryは５件の脆弱性を、PHPはヒープバッファオーバーフローの１件の脆弱性と__Host-/__Secure-クッキーのバイパスの１件の脆弱性とアカウント乗っ取りの１件の脆弱性をそれぞれフィックスしています。firefoxは回帰エラーをフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Debian GNU/Linuxのchromiumのセキュリティフィックス

影響を受ける製品: oldstable (bullseye).
詳細: Picture In Pictureの解放後メモリ利用の１件の脆弱性とDawnの解放後メモリ利用の１件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

2024/05/02

Red Hat Enterprise LinuxのRed Hat Ceph Storage 6.1, rhceph-6.1 containerのセキュリティフィックス

影響を受ける製品: Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le.
詳細: Red Hat Ceph Storage 6.1はgo-gitのパストラバーサルの１件の脆弱性を、rhceph-6.1 containerは４件の脆弱性をそれぞれフィックスしています。
解決法: 文書に従って更新を行ってください。

2024/05/01

Red Hat Enterprise LinuxのImage builder components, webkit2gtk3, fence-agents, qemu-kvm, LibRaw, libX11, ipa, libXpm, frr, toolbox, python3.11-urllib3, xorg-x11-server, xorg-x11-server-Xwayland, runc, libsndfile, podman RHSA-2024:2193 RHSA-2024:2548, pmix, freerdp, tcpdump, motif, pcp RHSA-2024:2213, RHSA-2024:2566, perl, libvirt RHSA-2024:2236, RHSA-2024:2560, skopeo RHSA-2024:2239, RHSA-2024:2549, ansible-core, buildah RHSA-2024:2245, RHSA-2024:2550, edk2, containernetworking-plugins, httpd, qt5-qtbase, gstreamer1-plugins-bad-free, python3.11, libtiff, mutt, libjpeg-turbo, tigervnc RHSA-2024:2298, RHSA-2024:2616, gstreamer1-plugins-good, gstreamer1-plugins-base, python3.11-cryptography, python-jinja2, mingw, mod_http2 RHSA-2024:2368, RHSA-2024:2564, freeglut, zziplib, mod_jk, mod_proxy_cluster, squashfs-tools, kernel, harfbuzz, avahi, pam, openssl, openssl-fips-provider, grub2, systemd, traceroute, libssh, file, wpa_supplicant, mingw-glib2, mingw-pixman, bind, python-jwcrypto, golang, libreswan, grafana-pcp, gnutls, grafana, sssd, rhc-worker-scriptのセキュリティフィックス

影響を受ける製品: Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for ARM 64 9 aarch64 (Image builder components, webkit2gtk3, fence-agents, qemu-kvm, LibRaw, libX11, ipa, libXpm, frr, toolbox, python3.11-urllib3, xorg-x11-server, xorg-x11-server-Xwayland, runc, libsndfile, podman (RHSA-2024:2193, RHSA-2024:2548), pmix, freerdp, tcpdump, motif, pcp (RHSA-2024:2213), perl, libvirt (RHSA-2024:2236, RHSA-2024:2560), skopeo (RHSA-2024:2239, RHSA-2024:2549), ansible-core, buildah (RHSA-2024:2245, RHSA-2024:2550), edk2, containernetworking-plugins, httpd, qt5-qtbase, gstreamer1-plugins-bad-free, python3.11, libtiff, mutt, libjpeg-turbo, tigervnc (RHSA-2024:2298, RHSA-2024:2616), gstreamer1-plugins-good, gstreamer1-plugins-base, python3.11-cryptography, python-jinja2, mingw, mod_http2 (RHSA-2024:2368, RHSA-2024:2564), freeglut, zziplib, mod_jk, mod_proxy_cluster, squashfs-tools, kernel, harfbuzz, avahi, pam, openssl, openssl-fips-provider, grub2, systemd, traceroute, libssh, file, wpa_supplicant, bind, python-jwcrypto, golang, pcp (RHSA-2024:2566), libreswan, grafana-pcp, gnutls, grafana, sssd). Red Hat Enterprise Linux for Power, little endian 9 ppc64le (Image builder components, webkit2gtk3, fence-agents, qemu-kvm, LibRaw, libX11, ipa, libXpm, frr, toolbox, python3.11-urllib3, xorg-x11-server, xorg-x11-server-Xwayland, runc, libsndfile, podman (RHSA-2024:2193, RHSA-2024:2548), pmix, freerdp, tcpdump, motif, pcp (RHSA-2024:2213), perl, libvirt (RHSA-2024:2236, RHSA-2024:2560), skopeo (RHSA-2024:2239, RHSA-2024:2549), ansible-core, buildah (RHSA-2024:2245, RHSA-2024:2550), containernetworking-plugins, httpd, qt5-qtbase, gstreamer1-plugins-bad-free, python3.11, libtiff, mutt, libjpeg-turbo, tigervnc (RHSA-2024:2298, RHSA-2024:2616), gstreamer1-plugins-good, gstreamer1-plugins-base, python3.11-cryptography, python-jinja2, mingw, mod_http2 (RHSA-2024:2368, RHSA-2024:2564), freeglut, zziplib, mod_jk, mod_proxy_cluster, squashfs-tools, kernel, harfbuzz, avahi, pam, openssl, openssl-fips-provider, grub2, systemd, traceroute, libssh, file, wpa_supplicant, bind, python-jwcrypto, golang, pcp (RHSA-2024:2566), libreswan, grafana-pcp, gnutls, grafana, sssd). Red Hat Enterprise Linux for IBM z Systems 9 s390x (Image builder components, webkit2gtk3, fence-agents, qemu-kvm, LibRaw, libX11, ipa, libXpm, frr, toolbox, python3.11-urllib3, xorg-x11-server, xorg-x11-server-Xwayland, runc, libsndfile, podman (RHSA-2024:2193, RHSA-2024:2548), pmix, freerdp, tcpdump, motif, pcp (RHSA-2024:2213), perl, libvirt (RHSA-2024:2236, RHSA-2024:2560), skopeo (RHSA-2024:2239, RHSA-2024:2549), ansible-core, buildah (RHSA-2024:2245, RHSA-2024:2550), containernetworking-plugins, httpd, qt5-qtbase, gstreamer1-plugins-bad-free, python3.11, libtiff, mutt, libjpeg-turbo, tigervnc (RHSA-2024:2298, RHSA-2024:2616), gstreamer1-plugins-good, gstreamer1-plugins-base, python3.11-cryptography, python-jinja2, mingw, mod_http2 (RHSA-2024:2368, RHSA-2024:2564), freeglut, zziplib, mod_jk, mod_proxy_cluster, squashfs-tools, kernel, harfbuzz, avahi, pam, openssl, openssl-fips-provider, systemd, traceroute, libssh, file, wpa_supplicant, bind, python-jwcrypto, golang, pcp (RHSA-2024:2566), libreswan, grafana-pcp, gnutls, grafana, sssd). Red Hat Enterprise Linux Resilient Storage for x86_64 9 x86_64, Red Hat Enterprise Linux High Availability for x86_64 9 x86_64, Red Hat Enterprise Linux Resilient Storage for IBM z Systems 9 s390x, Red Hat Enterprise Linux High Availability for IBM z Systems 9 s390x, Red Hat Enterprise Linux Resilient Storage for Power, little endian 9 ppc64le, Red Hat Enterprise Linux High Availability for Power, little endian 9 ppc64le, Red Hat Enterprise Linux High Availability for ARM 64 9 aarch64 (fence-agents). Red Hat CodeReady Linux Builder for x86_64 9 x86_64 (LibRaw, ipa, xorg-x11-server, libsndfile, pmix, freerdp, libvirt (RHSA-2024:2236, RHSA-2024:2560), edk2, qt5-qtbase, gstreamer1-plugins-bad-free, python3.11, libtiff, libjpeg-turbo, zziplib, kernel, systemd, file, mingw-glib2, mingw-pixman, bind, buildah (RHSA-2024:2550), podman (RHSA-2024:2548), python-jwcrypto, libvirt (RHSA-2024:2560), sssd). Red Hat CodeReady Linux Builder for Power, little endian 9 ppc64le (LibRaw, ipa, xorg-x11-server, libsndfile, pmix, freerdp, libvirt (RHSA-2024:2236, RHSA-2024:2560), edk2, qt5-qtbase, gstreamer1-plugins-bad-free, python3.11, libtiff, libjpeg-turbo, zziplib, kernel, file, bind, sssd). Red Hat CodeReady Linux Builder for ARM 64 9 aarch64 (ipa, xorg-x11-server, libsndfile, pmix, freerdp, libvirt (RHSA-2024:2236, RHSA-2024:2560), edk2, qt5-qtbase, gstreamer1-plugins-bad-free, python3.11, libtiff, libjpeg-turbo, zziplib, kernel, systemd, file, bind, buildah (RHSA-2024:2550), podman (RHSA-2024:2548), python-jwcrypto, libvirt (RHSA-2024:2560), sssd). Red Hat CodeReady Linux Builder for IBM z Systems 9 s390x (ipa, xorg-x11-server, libsndfile, pmix, freerdp, libvirt (RHSA-2024:2236, RHSA-2024:2560), edk2, qt5-qtbase, gstreamer1-plugins-bad-free, python3.11, libtiff, libjpeg-turbo, zziplib, kernel, file, bind, buildah (RHSA-2024:2550), podman (RHSA-2024:2548), python-jwcrypto, libvirt (RHSA-2024:2560), sssd). Red Hat Enterprise Linux for x86_64 - Extended Update Support 9.4 x86_64, Red Hat Enterprise Linux Server - AUS 9.4 x86_64, Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 9.4 s390x, Red Hat Enterprise Linux for Power, little endian - Extended Update Support 9.4 ppc64le, Red Hat Enterprise Linux Server for Power LE - Update Services for SAP Solutions 9.4 ppc64le, Red Hat Enterprise Linux for x86_64 - Update Services for SAP Solutions 9.4 x86_64, Red Hat Enterprise Linux for ARM 64 - Extended Update Support 9.4 aarch64, Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.4 aarch64, Red Hat Enterprise Linux Server for IBM z Systems - 4 years of updates 9.4 s390x (zziplib, traceroute, skopeo (RHSA-2024:2549), bind, buildah (RHSA-2024:2550), podman (RHSA-2024:2548), python-jwcrypto, libvirt (RHSA-2024:2560), golang, pcp (RHSA-2024:2566), mod_http2 (RHSA-2024:256), libreswan, grafana-pcp, gnutls, grafana, sssd, tigervnc (RHSA-2024:2616)). Red Hat CodeReady Linux Builder for Power, little endian - Extended Update Support 9.4 ppc64le, Red Hat CodeReady Linux Builder for IBM z Systems - Extended Update Support 9.4 s390x, Red Hat CodeReady Linux Builder for ARM 64 - Extended Update Support 9.4 aarch64 (zziplib, bind, buildah (RHSA-2024:2550), podman (RHSA-2024:2548), python-jwcrypto, libvirt (RHSA-2024:2560), sssd). Red Hat CodeReady Linux Builder for x86_64 - Extended Update Support 9.4 x86_64 (zziplib, mingw-glib2, bind, buildah (RHSA-2024:2550), podman (RHSA-2024:2548), python-jwcrypto, libvirt (RHSA-2024:2560), sssd). Red Hat Enterprise Linux for Real Time 9 x86_64, Red Hat Enterprise Linux for Real Time for NFV 9 x86_64 (kernel)., Red Hat Enterprise Linux Server 7 x86_64, Red Hat Enterprise Linux Server - Extended Life Cycle Support 7 x86_64, Red Hat Enterprise Linux Workstation 7 x86_64, Red Hat Enterprise Linux Desktop 7 x86_64, Red Hat Enterprise Linux for Scientific Computing 7 x86_64 (rhc-worker-script).
詳細: Image builder componentsは中間者攻撃が可能な１件の脆弱性を、webkit2gtk3は10件の脆弱性を、fence-agentsはurllib3のリダイレクトの際にHTTP BODYを削除しない１件の脆弱性とPyCryptodome/pycryptodomexのサイドチャネル攻撃の１件の脆弱性とJinja2のXSSの１件の脆弱性を、qemu-kvmは５件の脆弱性を、LibRawはヒープベースのバッファオーバーの１件の脆弱性を、libX11は境界外メモリ読込の１件の脆弱性とDoS攻撃の１件の脆弱性と整数桁溢れの１件の脆弱性を、ipaはDoS攻撃の１件の脆弱性を、libXpmは境界外メモリ読込の２件を、frrは８件の脆弱性を、toolboxはgolangのhtml/templateの不適切なスクリプト読込処理の２件の脆弱性とgolangのnet/http/internalのDoS攻撃の１件の脆弱性を、python3.11-urllib3は不適切なクッキーリクエストヘッダー処理の１件の脆弱性を、xorg-x11-serverは10件の脆弱性を、xorg-x11-server-Xwaylandは９件の脆弱性を、runcは４件の脆弱性を、libsndfileは整数桁溢れの１件の脆弱性を、podman (RHSA-2024:2193), buildah (RHSA-2024:2245), containernetworking-pluginsはgolangのcrypto/tlsのサイドチャネル攻撃の１件の脆弱性とgolangのnet/http/internalのDoS攻撃の１件の脆弱性を、pmixは任意のファイルの所有権を取得可能な１件の脆弱性を、freerdpは12件の脆弱性を、tcpdumpは解放後メモリ利用の１件の脆弱性を、motifはlibXpmの境界外メモリ読込の２件を、pcp (RHSA-2024:2213)は権限昇格が可能な１件の脆弱性を、perlはバッファオーバーフローの１件の脆弱性を、libvirt (RHSA-2024:2236)はNULLポインタの逆参照の１件の脆弱性を、skopeo (RHSA-2024:2239)はgolangのcrypto/tlsのサイドチャネル攻撃の１件の脆弱性を、ansible-coreは情報漏洩の１件の脆弱性を、edk2は８件の脆弱性を、httpdはmod_macroの境界外メモリ読込の１件の脆弱性を、qt5-qtbaseは整数桁溢れの１件の脆弱性とバッファオーバーフローの１件の脆弱性を、gstreamer1-plugins-bad-freeは４件の脆弱性を、python3.11はemail/_parseaddr.pyのメールアドレスの不適切なパース処理の１件の脆弱性を、libtiffは５件の脆弱性を、muttははNULLポインタの逆参照の２件の脆弱性を、libjpeg-turboはヒープバッファオーバーフローの１件の脆弱性を、tigervnc (RHSA-2024:2298)はxorg-x11-serverの解放後メモリ利用の２件の脆弱性を、gstreamer1-plugins-goodは整数桁溢れの１件の脆弱性を、gstreamer1-plugins-baseはヒープオーバーライトの１件の脆弱性を、python3.11-cryptographyはNULLポインタの逆参照の１件の脆弱性を、python-jinja2はXSSの１件の脆弱性を、mingwはヒープバッファオーバーフローの１件の脆弱性を、mod_http2 (RHSA-2024:2368)はDoS攻撃の２件の脆弱性を、freeglutはメモリリークの２件の脆弱性を、zziplibは不正なメモリアクセスの１件の脆弱性を、mod_jk, mod_proxy_clusterはmod_jkの情報漏洩の１件の脆弱性とmod_cluster/mod_proxy_clusterのXSSの１件の脆弱性を、squashfs-toolsはファイルパスの外側へ書込が可能な１件の脆弱性とディレクトリトラバーサルの１件の脆弱性を、kernelは57件の脆弱性を、harfbuzzはリソース枯渇の１件の脆弱性を、avahiは５件の脆弱性を、pamはDoS攻撃の１件のローカル脆弱性を、openssl, openssl-fips-providerは７件の脆弱性を、grub2は境界外メモリ書込の１件の脆弱性と境界外メモリ読込の１件の脆弱性とgrub2-set-bootflagのファイルシステムのリソース枯渇の１件の脆弱性を、systemdはsystemd-resolvedの中間者攻撃が可能な１件の脆弱性を、tracerouteは不適切なコマンドラインのパース処理の１件の脆弱性を、libsshはProxyCommand/ProxyJumpのコード挿入の１件の脆弱性とメッセージダイジェストの返り値の確認の不備の１件の脆弱性を、fileはスタックベースのバッファオーバーフローの１件の脆弱性を、wpa_supplicantは認証のバイパスの１件の脆弱性を、mingw-glib2は４件の脆弱性を、mingw-pixmanは整数桁溢れの１件の脆弱性を、skopeo (RHSA-2024:2549), buildah (RHSA-2024:2550)はgolang-protobufのDoS攻撃の１件の脆弱性を、bindは６件の脆弱性を、podman (RHSA-2024:2548)はgolang-protobufのDoS攻撃の１件の脆弱性とbuildahのコンテナから脱出可能な１件の脆弱性を、python-jwcryptoはDoS攻撃の１件の脆弱性を、libvirt (RHSA-2024:2560))はオフバイワンエラーの１件の脆弱性とDoS攻撃の１件の脆弱性を、golangは７件の脆弱性を、pcp (RHSA-2024:2566)はpmproxy経由でredisのコマンドを実行可能な１件の脆弱性を、mod_http2 (RHSA-2024:256)はHTTP/2のDoS攻撃の１件の脆弱性を、libreswanはDoS攻撃の１件の脆弱性を、grafana-pcpはgolang-fips/opensslのメモリリークの１件の脆弱性を、gnutlsはDoS攻撃の１件の脆弱性を、grafanaはgolang-fips/opensslのメモリリークの１件の脆弱性と認証のバイパスの１件の脆弱性を、sssdはGPOポリシーの適用の不備の１件の脆弱性を、tigervnc (RHSA-2024:2616)はxorg-x11-serverのヒープバッファオーバーフローの２件の脆弱性とxorg-x11-serverの解放後メモリ利用の１件の脆弱性を、rhc-worker-scriptはgolangのnet/http, x/net/http2のDoS攻撃の１件の脆弱性をそれぞれフィックスしています。
解決法: 文書に従って更新を行ってください。

Ubuntu Linuxのanope, node-json5, gerbvのセキュリティフィックスとKernel Live Patchのリリース

影響を受ける製品: Ubuntu 24.04 LTS, 23.10, 16.04 ESM (anope, gerbv). Ubuntu 22.04 LTS, 20.04 LTS, 18.04 ESM (anope, node-json5, gerbv, Kernel Live Patch). Ubuntu 14.04 ESM (gerbv).
詳細: anopeは利用停止のアカウントのパスワードの不適切なリセット処理の１件の脆弱性を、node-json5はプロトタイプ汚染が可能な１件の脆弱性を、gerbvはDoS攻撃の１件の脆弱性をそれぞれフィックスしています。Kernel Live Patchは７件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Apple

　Macおよびこれに関連するアプリケーションに関する情報(iPhone/iPadを除く）。

2024/05/14

Safari 17.5がリリース

影響を受ける製品

macOS Monterey, Ventura.

詳細

WebKitのポインタ認証のバイパスが可能な１件の脆弱性をフィックスしています。

解決法

システム環境設定よりアップデートしてください。

参考情報

macOS Sonoma 14.5がリリース

影響を受ける製品

macOS Sonoma.

詳細

22件の脆弱性をフィックスしています。

解決法

システム環境設定よりアップデートしてください。

参考情報

macOS Ventura 13.6.7がリリース

影響を受ける製品

macOS Ventura.

詳細

Foundationの情報漏洩の１件の脆弱性とLogin Windowの他の一般ユーザーのスクリーンロックを解除可能な１件の脆弱性とRTKitの任意のカーネルメモリの読み書きが可能な１件の脆弱性をフィックスしています。

解決法

システム環境設定よりアップデートしてください。

参考情報

macOS Monterey 12.7.5がリリース

影響を受ける製品

macOS Monterey.

詳細

Find Myの情報漏洩の１件の脆弱性とFoundationの情報漏洩の１件の脆弱性をフィックスしています。

解決法

システム環境設定よりアップデートしてください。

参考情報

2024/05/09

iTunes 12.13.2 for Windowsがリリース

影響を受ける製品: Windows 10及びそれ以降のバージョン。
詳細: ファイルパース部のDoS攻撃あるいは任意のコードを実行可能な１件の脆弱性をフィックスしています。
解決法: Microsoft Storeを用いてアップデートしてください。

Applications

　各種アプリケーションに関する情報。
　扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。

2024/05/16

Chrome 安定版 125.0.6422.60/.61 (Windows, Mac), 125.0.6422.60 (Linux)がリリース

影響を受ける製品

Chrome.

詳細

９件の脆弱性フィックスしています。２件がHighに分類されており、CVE-2024-4947を悪用した攻撃が観測されています。。

解決法

自動あるいは手動で更新を行ってください。

参考情報

BLEEPING COMPUTER

SECURITY BULLETIN: Code Injection in Trend Micro Antivirus One

影響を受ける製品

MacOS向けTrend Micro Antivirus One.

詳細

dylibを用いてコード挿入が可能な１件のローカル脆弱性をフィックスしています。

解決法

更新は自動的に配信されます。

参考情報

Penetration Testing

Gitクライアントに脆弱性

影響を受ける製品

Gitクライアント。

詳細

合わせて５件の脆弱性をフィックスしています。

解決法

最新版を入手しアップデートしてください。バイナリパッケージを利用している場合は各ベンダのアナウンスに注意してください。

複数のZoom製品に脆弱性

影響を受ける製品

Zoom Workplace Desktop App for Windows, Zoom Workplace Desktop App for macOS, Zoom Workplace Desktop App for Linux. Zoom Workplace VDI App for Windows, Zoom Workplace App for iOS, Zoom Workplace App for Android. Zoom Meeting SDK for Windows, Zoom Meeting SDK for iOS, Zoom Meeting SDK for Android, Zoom Meeting SDK for macOS, Zoom Meeting SDK for Linux.

詳細

5月14日に２件のセキュリティアドバイザリが公開されています。Security Bulletinのページをご確認下さい。

解決法

自動あるいは手動で製品を更新してください。

参考情報

Security NEXT

2024/05/15

Firefox 126, Firefox ESR 115.11, Thunderbird 115.11がリリース

影響を受ける製品

Firefox.

詳細

Firefox 126は16件の脆弱性を、Firefox 115.11, Thunderbird 115.11は６件の脆弱性をそれぞれフィックスしています。

解決法

自動更新機能あるいは手動でアップデートしてください。

参考情報

Security NEXT

VMSA-2024-0010 VMSA-2024-0010: VMware Workstation and Fusion updates address multiple security vulnerabilities (CVE-2024-22267, CVE-2024-22268, CVE-2024-22269, CVE-2024-22270)

影響を受ける製品

VMware Workstation Pro / Player (Workstation). VMware Fusion.

詳細

４件の脆弱性をフィックスしています。

解決法

脆弱性を解決したバージョンが用意されています。入手しアップデートして下さい。

参考情報

Adobe製品のセキュリティアップデートがリリース

影響を受ける製品

Adobe Acrobat and Reader, Adobe Illustrator, Adobe Substance 3D Painter, Adobe Aero, Adobe Substance 3D Designer, Adobe Animate, Adobe FrameMaker, Adobe Dreamweaver.

詳細

Security update available for Adobe Acrobat and Reader | APSB24-29, Security Updates Available for Adobe Illustrator | APSB24-30S, Security updates available for Substance 3D Painter | APSB24-31, Security update available for Adobe Aero | APSB24-33, Security updates available for Substance 3D Designer | APSB24-35, Security updates available for Adobe Animate | APSB24-36, Security Updates Available for Adobe FrameMaker | APSB24-37, Security update available for Adobe Dreamweaver | APSB24-39の８件のセキュリティアップデートが公開されています。

解決法

文書の指示に従って下さい。

参考情報

SAP Security Patch Day – May 2024

影響を受ける製品

SAP社の複数の製品。

詳細

複数の脆弱性をフィックスしています。

解決法

文書を確認してください。

参考情報

Security NEXT

Fortinetがセキュリティアドバイザリをリリース

影響を受ける製品

複数のFortinet製品。

詳細

4月 9日に16件のセキュリティアドバイザリがリリースされています。４件がHighに分類されています。PSIRT Advisoriesを確認してください。

解決法

文書の指示に従ってください。

参考情報

Security NEXT
- Fortinetの「FortiOS」に複数脆弱性 - 重要度は「中」
- Fortinet、アドバイザリ18件を公開 - 複数製品の脆弱性に対応

Intel製品の脆弱性

影響を受ける製品: 複数のIntel製品。
詳細: 41件のアドバイザリが公開されています。
解決法: 対応する製品を利用している場合は文書の指示あるいはハードウェアベンダ等の指示に従ってください。

ARUBA-PSA-2024-006 Aruba Access Points Multiple Vulnerabilities

影響を受ける製品: HPE Aruba Networking Aruba Access Pointsで InstantOS, ArubaOS 10が動作しているもの。
詳細: 18件の脆弱性をフィックスしています。
解決法: 脆弱性を解決したバージョンが用意されています。入手しアップデートしてください。

2024/05/14

Chrome 安定版 124.0.6367.207/.208 (Windows, Mac), 124.0.6367.207 (Linux)がリリース

影響を受ける製品

Chrome.

詳細

V8の境界外メモリ書込の１件の脆弱性をフィックスしています。Highに分類されており、本脆弱性を悪用した攻撃が観測されています。。

解決法

自動あるいは手動で更新を行ってください。

参考情報

2024/05/13

パッケージ版 Garoon 脆弱性に関するお知らせ

影響を受ける製品

サイボウズパッケージ版 Garoon.

詳細

８件の脆弱性をフィックスしています。

解決法

最新版が用意されています。アップデートしてください。

参考情報

JVN#28869536

Unbound 1.20.0 released

影響を受ける製品

Unbound 1.19.3及びこれ以前のバージョン。

詳細

DoS攻撃が可能な１件のリモート脆弱性をフィックスしています(The CVE number for this vulnerability is CVE-2024-33655.)。

解決法

脆弱性を解決したUnbound 1.20.0用意されています。入手しアップデートしてください。バイナリパッケージを利用している場合は各ベンダのアナウンスに注意してください。

参考情報

JPRS

2024/05/10

Chrome 安定版 124.0.6367.201/.202 (Windows, Mac), 124.0.6367.201 (Linux)がリリース

影響を受ける製品

Chrome.

詳細

Visualsの解放後メモリ利用の１件をフィックスしています。Highに分類されており、本脆弱性を悪用した攻撃が観測されています。。

解決法

自動あるいは手動で更新を行ってください。

参考情報

2024-05 Reference Advisory: Junos OS and Junos OS Evolved: Multiple CVEs reported in OpenSSH

影響を受ける製品: Junos OS version 19.4R1及びこれ以降のバージョン。Junos OS Evolved version 22.3R1及びこれ以降のバージョン。
詳細: OpenSSH v7.5p1由来の11件の脆弱性が存在します。
解決法: 文書に従ってワークアラウンドを適用してください。

2024/05/09

CTX633416 Citrix Hypervisor Security Update for CVE-2024-31497

影響を受ける製品

Citrix Hypervisor. Xen Server.

詳細

Puttyの秘密鍵が解読可能な１件の脆弱性をフィックスしています。

解決法

文書の指示に従ってPuttyを削除するか、Puttyをアップデートしてください。

参考情報

VMSA-2024-0009 VMware Avi Load Balancer updates address multiple vulnerabilities (CVE-2024-22264, CVE-2024-22266)

影響を受ける製品

VMware Avi Load Balancer.

詳細

権限昇格の１件の脆弱性と情報漏洩の１件の脆弱性をフィックスしています。

解決法

脆弱性を解決したバージョンが用意されています。入手しアップデートして下さい。

参考情報

Security NEXT

F5: K000139404: Quarterly Security Notification (May 2024)

影響を受ける製品

複数のF5社製品。

詳細

16件のセキュリティアドバイザリが公開されています。うち７件がHighに分類されています。

解決法

文書の指示に従ってください。

参考情報

GitLab Patch Release: 16.11.2, 16.10.5, 16.9.7

影響を受ける製品

GitLab.

詳細

11件の脆弱性をフィックスしています。

解決法

入手しアップデートしてください。バイナリパッケージを利用している場合は各ベンダのアナウンスに注意してください。

参考情報

Security NEXT

2024/05/08

Chrome 安定版 124.0.6367.155/.156 (Windows, Mac), 124.0.6367.155 (Linux)がリリース

影響を受ける製品

Chrome.

詳細

ANGLEの解放後メモリ利用の１件の脆弱性とWebAudioのヒープバッファオーバーフローの１件の脆弱性をフィックスしています。両者ともHighに分類されています。

解決法

自動あるいは手動で更新を行ってください。

参考情報

Security NEXT

ARUBA-PSA-2024-005 Terrapin Attack Vulnerability in OpenSSH Impacting AOS-CX Switches

影響を受ける製品: HPE Aruba Networking Aruba CX 10000 Switch Series, Aruba CX 9300 Switch Series, Aruba CX 8400 Switch Series, Aruba CX 8360 Switch Series, Aruba CX 8325 Switch Series, Aruba CX 8320 Switch Series, Aruba CX 6400 Switch Series, Aruba CX 6300 Switch Series, Aruba CX 6200 Switch Series, Aruba CX 6100 Switch Series, Aruba CX 6000 Switch Series, Aruba CX 4100i Switch Series.
詳細: AOS-CXスイッチのOpenSSHのTerrapin攻撃が可能な１件の脆弱性をフィックスしています。
解決法: 脆弱性を解決したバージョンが用意されています。入手しアップデートしてください。

TALOS-2023-1889 Tinyproxy HTTP Connection Headers use-after-free vulnerability

影響を受ける製品

Tinyproxy 1.11.1, 1.10.0.

詳細

解放後メモリ利用の１件の脆弱性が存在します。

解決法

リリース予定のTinyproxy 1.11.2にて脆弱性は解決されます。ベンダからの広報に注意して下さい。

参考情報

2024/05/02

Cisco IP Phone 6800, 7800, and 8800 Series with Multiplatform Firmware Vulnerabilities

影響を受ける製品

Cisco IP Phone 6800 Series with Multiplatform Firmware, IP Phone 7800 Series with Multiplatform Firmware, IP Phone 8800 Series with Multiplatform Firmware, Video Phone 8875 in Multiplatform Mode.

詳細

DoS攻撃の１件の脆弱性と情報漏洩の１件の脆弱性と不正アクセスの１件の脆弱性をフィックスしています。

解決法

脆弱性を解決したソフトウェアが用意されています。入手しアップデートして下さい。

参考情報