情報基盤センターからのお知らせ

【1】Xerox FreeFlow Coreにおける複数の脆弱性
【2】Cloud Software GroupのXenServerにTime-of-check Time-of-use（TOCTOU）競合状態の脆弱性
【3】Jenkinsに複数の脆弱性
【4】複数のAtlassian製品に脆弱性
【5】IBM Trusteer RapportのインストーラーにDLL読み込みに関する脆弱性
【6】Microsoft Edgeに境界外書き込みの脆弱性
【7】Google Chromeに境界外書き込みの脆弱性

CISA Adds One Known Exploited Vulnerability to Catalog

CISAが1件の悪用された脆弱性をKnown Exploited Vulnerabilities Catalogに追加したことに関する広報です。
参考情報

BLEEPING COMPUTER

CISA Releases Four Industrial Control Systems Advisories

CISA発表のICSの4件のセキュリティアドバイザリ公開の広報です。

Microsoft

　Microsoft製品に関する情報。

Microsoft Edge Stable Channel (Version 146.0.3856.84)がリリース

影響を受ける製品: Microsoft Edge.
詳細: 最新のChromium projectの最新のアップデートを反映したリリースです。
解決法: 自動的に更新されます。自動的に更新されない場合は手動で更新を行なってください。

UNIX

　UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
　扱うOS: Red Hat Enterprise Linux （標準のみ）, Ubuntu, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.

Red Hat Enterprise Linuxの389-ds:1.4, virt:rhel, virt-devel:rhel, mysql:8.0, nginx:1.24, opencryptoki RHSA-2026:5587, RHSA-2026:5603, python3, gnutls, nginx, vim, mysql:8.4, ncurses, firefox RHSA-2026:5930, RHSA-2026:5931, RHSA-2026:5932, freerdp, golang RHSA-2026:5941, RHSA-2026:5942, Satellite 6.18.4 Async, Satellite 6.17.7 Async, Satellite 6.16.7 Asyncのセキュリティフィックス

影響を受ける製品: Red Hat Enterprise Linux for x86_64 8 x86_64 (389-ds:1.4, virt:rhel, virt-devel:rhel, mysql:8.0, nginx:1.24, opencryptoki (RHSA-2026:5587), python3, gnutls, firefox (RHSA-2026:5932), Satellite 6.16.7 Async). Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for ARM 64 8 aarch64 (389-ds:1.4, virt:rhel, virt-devel:rhel, mysql:8.0, nginx:1.24, opencryptoki (RHSA-2026:5587), python3, gnutls, firefox (RHSA-2026:5932)). Red Hat CodeReady Linux Builder for x86_64 8 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 8 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 8 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 8 s390x (virt:rhel, virt-devel:rhel, opencryptoki (RHSA-2026:5587)). Red Hat Enterprise Linux for x86_64 - Extended Life Cycle 8.10 x86_64, Red Hat Enterprise Linux for ARM 64 - Extended Life Cycle 8.10 aarch64, Red Hat Enterprise Linux for Power, little endian - Extended Life Cycle 8.10 ppc64le, Red Hat Enterprise Linux for IBM z Systems - Extended Life Cycle 8.10 s390x (firefox (RHSA-2026:5932)). Red Hat Enterprise Linux for x86_64 9 x86_64 (nginx, opencryptoki (RHSA-2026:5603), vim, mysql:8.4, firefox (RHSA-2026:5930), golang (RHSA-2026:5942), Satellite 6.18.4 Async, Satellite 6.17.7 Async, Satellite 6.16.7 Async). Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for ARM 64 9 aarch64 (nginx, opencryptoki (RHSA-2026:5603), vim, mysql:8.4, firefox (RHSA-2026:5930), golang (RHSA-2026:5942)). Red Hat Satellite 6.18 x86_64, Red Hat Satellite Capsule 6.18 x86_64 (Satellite 6.18.4 Async). Red Hat Satellite 6.17 x86_64, Red Hat Satellite Capsule 6.17 x86_64 (Satellite 6.17.7 Async). Red Hat Satellite 6.16 for RHEL 9 x86_64, Red Hat Satellite 6.16 for RHEL 8 x86_64, Red Hat Satellite Capsule 6.16 for RHEL 9 x86_64, Red Hat Satellite Capsule 6.16 for RHEL 8 x86_64 (Satellite 6.16.7 Async). Red Hat CodeReady Linux Builder for x86_64 9 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 9 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 9 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 9 s390x (nginx, opencryptoki (RHSA-2026:5603)). Red Hat Enterprise Linux for x86_64 10 x86_64, Red Hat Enterprise Linux for IBM z Systems 10 s390x, Red Hat Enterprise Linux for Power, little endian 10 ppc64le, Red Hat Enterprise Linux for ARM 64 10 aarch64 (ncurses, firefox (RHSA-2026:5931), freerdp, golang (RHSA-2026:5941)). Red Hat CodeReady Linux Builder for x86_64 10 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 10 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 10 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 10 s390x (freerdp).
詳細: 389-ds:1.4はヒープバッファオーバーフローの1件の脆弱性を、virt:rhel, virt-devel:rhelはqemu-kvm: VNCのWebSocketの解放後メモリ利用の1件の脆弱性とqemuのDoS攻撃の1件の脆弱性を、mysql:8.0, mysql:8.4は6件の脆弱性を、nginx:1.24, nginxはTLSプロキシ接続で中間者攻撃が可能な1件のリモート脆弱性を、opencryptokiはシンボリックリンク攻撃の1件の脆弱性を、python3はURL処理部のカギ括弧の不適切な処理の1件の脆弱性を、gnutlsはスタックベースのバッファオーバーフローの1件の脆弱性とリソース枯渇の1件の脆弱性を、vimはhelpfile処理部の任意のコードを実行可能な1件の脆弱性を、ncursesはバッファオーバーフローの1件の脆弱性を、firefoxは37件の脆弱性を、freerdpは境界外ヒープ書込の1件のリモート脆弱性とヒープバッファオーバーフローの1件のリモート脆弱性を、golangはcmd/goの任意のファイルを書き込み可能な1件の脆弱性とnet/urlのIPv6ホストの不適切な処理の1件の脆弱性を、Satellite 6.18.4 Asyncは7件の脆弱性を、Satellite 6.17.7 Asyncは12件の脆弱性を、Satellite 6.16.7 Asyncは11件の脆弱性をそれぞれフィックスしています。
解決法: 文書に従って更新を行ってください。

Ubuntu Linuxのpyopenssl, systemd USN-8119-1, USN-8119-2, >Linux kernel USN-8098-4, USN-8098-5, Linux kernel (Azure FIPS) USN-8059-9, USN-8112-4, USN-8098-8, Linux kernel (Azure) USN-8112-3, USN-8112-5, USN-8098-7, USN-8094-4, USN-8125-1, USN-8126-1, redis, Linux kernel (FIPS), Linux kernel (AWS FIPS), pjproject, mbedtls, bind9, libcryptx-perlのセキュリティフィックス

影響を受ける製品: OpenSSL 25.10 (pyopenssl, systemd (USN-8119-1), bind9, Linux kernel (Azure) (USN-8094-4)). Ubuntu 24.04 LTS (pyopenssl, systemd (USN-8119-1), Linux kernel (Azure FIPS) (USN-8059-9), redis, mbedtls, bind9, Linux kernel (Azure) (USN-8094-4, USN-8125-1), libcryptx-perl). Ubuntu 22.04 LTS (pyopenssl, systemd (USN-8119-1), mbedtls, bind9, Linux kernel (Azure) (USN-8126-1), libcryptx-perl). Ubuntu 20.04 LTS (systemed (USN-8119-2), Linux kernel (USN-8098-4, USN-8098-5), Linux kernel (FIPS), Linux kernel (AWS FIPS), Linux kernel (Azure) (USN-8098-7), Linux kernel (Azure FIPS) (USN-8098-8), mbedtls, libcryptx-perl). Ubuntu 18.04 LTS (systemed (USN-8119-2), Linux kernel (USN-8098-4), Linux kernel (Azure) (USN-8112-3), Linux kernel (Azure FIPS) (USN-8112-4), pjproject, mbedtls). Ubuntu 16.04 LTS (systemed (USN-8119-2). Linux kernel (Azure) (USN-8112-3), pjproject). Ubuntu 14.04 LTS (systemed (USN-8119-2), Linux kernel (Azure) (USN-8112-5)).
詳細: pyopensslはバッファオーバーフローの1件の脆弱性と不適切な接続の処理の1件の脆弱性を、systemdはスタック上書きが可能な1件の脆弱性を、Linux kernel (USN-8098-4, USN-8098-5), Linux kernel (FIPS), Linux kernel (Azure) (USN-8098-7), Linux kernel (Azure FIPS) (USN-8098-8)は8件の脆弱性を、Linux kernel (Azure FIPS) (USN-8059-9)はksmbdの解放後メモリ利用の１件の脆弱性とksmbdのNULLポインタの逆参照の１件の脆弱性を、Linux kernel (Azure) (USN-8112-3, USN-8112-5), Linux kernel (Azure FIPS) (USN-8112-4)は10件の脆弱性を、redisは境界外メモリ書込の1件の脆弱性を、Linux kernel (AWS FIPS)は任意のユーザーがAppArmorプロファイルを操作可能な1件のローカル脆弱性を、pjprojectは14件の脆弱性を、mbedtlsは7件の脆弱性を、bind9は4件の脆弱性を、Linux kernel (Azure) (USN-8094-4)は173件の脆弱性を、、Linux kernel (Azure) (USN-8125-1)は427件の脆弱性を、Linux kernel (Azure) (USN-8126-1)は1270件の脆弱性を、libcryptx-perlは整数桁溢れの1件の脆弱性とtomcrypt由来の不正なunicodeの1件の脆弱性とタグの検証の不備の1件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Debian GNU/Linuxのchromium, firefox-esrのセキュリティフィックス

影響を受ける製品: oldstable (bookworm), stable (trixie).
詳細: chromiumは8件の脆弱性を、firefox-esrは36件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

Slackware Linuxのmozilla-firefox, mozilla-thunderbird, bind, tigervncのセキュリティフィックス

影響を受ける製品: 15.0, -current.
詳細: mozilla-firefox38件の脆弱性を、mozilla-thunderbirdは140.9.0esrへのアップグレードに伴うセキュリティフィックスを、bindはDoS攻撃の1件のリモート脆弱性を、tigervncはスクリーンの乗っ取りが可能な1件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

FreeBSDのFreeBSD-SA-26:06.tcp, FreeBSD-SA-26:07.nvmf, FreeBSD-SA-26:08.rpcsec_gss, FreeBSD-SA-26:09.pfのセキュリティフィックス

影響を受ける製品: FreeBSD.
詳細: 3月26日に4件のセキュリティアドバイザリが公開されています。
解決法: バイナリパッチを利用してください。あるいはパッチを適用しOSをリビルドしてください。

Apple

　Macおよびこれに関連するアプリケーションに関する情報(iPhone/iPadを除く）。

About the security content of Safari 26.4

影響を受ける製品

>macOS Sonoma, macOS Sequoia.

詳細

8件の脆弱性をフィックスしています。

解決法

システム設定よりアップデートしてください。

参考情報

Security NEXT

About the security content of Xcode 26.4

影響を受ける製品: >macOS Tahoe 26.2及びこれ以降のバージョン。
詳細: otoolの境界外メモリ読出の1件の脆弱性とSimulatorの不適切なファイルパーミッションの1件の脆弱性をフィックスしています。
解決法: システム設定よりアップデートしてください。

About the security content of macOS Tahoe 26.4

影響を受ける製品

>macOS Tahoe.

詳細

77件の脆弱性をフィックスしています。

解決法

システム設定よりアップデートしてください。

参考情報

Security NEXT

About the security content of macOS Sequoia 15.7.5

影響を受ける製品

>macOS Sequoia.

詳細

60件の脆弱性をフィックスしています。

解決法

システム設定よりアップデートしてください。

参考情報

Security NEXT

About the security content of macOS Sonoma 14.8.5

影響を受ける製品

>macOS Sonoma.

詳細

54件の脆弱性をフィックスしています。

解決法

システム設定よりアップデートしてください。

参考情報

Security NEXT

Applications

　各種アプリケーションに関する情報。
　扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。

GitLab Patch Release: 18.10.1, 18.9.3, 18.8.7

影響を受ける製品

GitLab.

詳細

12件の脆弱性をフィックスしています。４件がHighに分類されています。

解決法

脆弱性を解決したバージョンが用意されています。入手しアップデートしてください。バイナリパッケージを利用している場合は各ベンダのアナウンスに注意してください。

参考情報

Daily CyberSecurity

F5: K000160336: Out-of-band Security Notification (March 24, 2026)

影響を受ける製品

NGINX Plus, NGINX Open Source.

詳細

3月24日に6件のセキュリティアドバイザリが公開されています。4件がhighに分類されています。

解決法

文書の指示に従ってください。

参考情報

Grafana security release: Critical and high severity security fixes for CVE-2026-27876 and CVE-2026-27880

影響を受ける製品: Grafana.
詳細: SQL処理部の任意のファイルに書き込み可能な1件のリモート脆弱性とOpenFeatureのDoS攻撃の1件のリモート脆弱性をフィックスしています。前者はCriticalに、後者はhighに分類されています。
解決法: 文書に従ってください。

Node.js: Tuesday, March 24, 2026 Security Releases

影響を受ける製品

Node.js 25.x, 24.x, 22.x, 20.x.

詳細

3月24日に9件の脆弱性をフィックスしたバージョンがリリースされました。2件がhighに分類されています。

解決法

文書の指示に従ってください。

参考情報

Springがセキュリティアドバイザリをリリース

影響を受ける製品

複数のSpring製品。

詳細

3月26日に4件のセキュリティアドバイザリがリリースされています。1件がcritical, 3件がhighに分類されています。Spring Security Advisoriesのページをご確認下さい。

解決法

文書の指示に従ってください。

参考情報

Watchguard Fireboxに複数の脆弱性

影響を受ける製品: Watchguard Firebox.
詳細: 3月26日に2件のセキュリティアドバイザリがリリースされています。両者ともhighに分類されています。Security Advisoriesのページをご確認下さい。
解決法: 文書の指示に従ってください。

ZABBIXがセキュリティアドバイザリをリリース

影響を受ける製品

ZABBIX製品。

詳細

3月24日に5件のセキュリティアドバイザリがリリースされています。3件がhighに分類されています。Zabbix Security Advisoriesのページをご確認下さい。

解決法

文書の指示に従ってください。

参考情報

Daily CyberSecurity

Cisco Systemsがセキュリティアドバイザリをリリース

影響を受ける製品

複数のCisco社製品。

詳細

3月25日に13件のセキュリティアドバイザリがリリースされています。6件がhighに分類されています。Cisco Security Advisoriesのページをご確認下さい。

解決法

文書の指示に従ってください。

参考情報

Daily CyberSecurity
- Cisco Alert: Public Vulnerabilities in IOS XE Risk Service Denial and Privilege Escalation
- Public Flaws in Cisco IOx Allow Unauthenticated Log Injection and Admin XSS

SECURITY BULLETIN: Deep Discovery Inspector (DDI) 3rd Party Component Vulnerability - OpenSSL (CVE-2025-15467) [サポートニュース]アラート/アドバイザリ：Deep Discovery Inspectorが使用しているコンポーネント（OpenSSL）で確認された脆弱性について(2026年3月)：Deep Discovery Inspector

影響を受ける製品: Trend Micro Deep Discovery Inspector.
詳細: OpenSSL由来のスタックバッファオーバーフローの1件の脆弱性をフィックスしてます。Criticalに分類されています。
解決法: 脆弱性を解決するバージョン及びパッチが用意されています。文書に従ってください。

SQUIDに複数のセキュリティアドバイザリがリリース

影響を受ける製品

Squid.

詳細

3月25日に3件のセキュリティアドバイザリがリリースされています。1件がcritical, 1件がhighに分類されています。Security Advisoriesのページをご確認下さい。

解決法

squid 7.5がリリースされています。入手しアップデートしてください。バイナリパッケージを利用している場合は、各ベンダのアナウンスに注意してください。

参考情報

Daily CyberSecurity

複数のNVIDIA製品に脆弱性

影響を受ける製品

複数のNVIDIA製品。

詳細

3月24日に7件のセキュリティアドバイザリが公開されています。1件がcritical, 4件がhighに分類されています。Security Bulletinsのページをご確認下さい。

解決法

文書に従って下さい。

参考情報

Firefox 149.0, Firefox ESR 140.9.0, Firefox ESR 115.34.0, Thunderbird 149.0, Thunderbird 140.9.0esrがリリース

影響を受ける製品

Firefox, Thunderbird.

詳細

Firefox 149.0は46件の脆弱性を、Firefox ESR 149.0.0は38件の脆弱性を、Firefox ESR 115.34.0は17件の脆弱性を、Thunderbird 149.0は48件の脆弱性を、Thunderbird 140.9.0esrは40件の脆弱性をそれぞれフィックスしています。

解決法

自動更新機能あるいは手動でアップデートしてください。

参考情報

Security NEXT

ISC BIND 9: CVE-2026-3591: A stack use-after-return flaw in SIG(0) handling code may enable ACL bypass CVE-2026-3119: Authenticated query containing a TKEY record may cause named to terminate unexpectedly CVE-2026-3104: Memory leak in code preparing DNSSEC proofs of non-existence CVE-2026-1519: Excessive NSEC3 iterations cause high CPU load during insecure delegation validation

影響を受ける製品

ISC BIND 9.

詳細

3月25日に4件のセキュリティアドバイザリが公開されています。2件がhighに分類されています。

解決法

脆弱性を解決したBIND 9.18.47, 9.20.21, 9.21.20, 9.18.47-S1, 9.20.21-S1が用意されています。入手しアップデートしてください。バイナリパッケージを利用している場合は各ベンダのアナウンスに注意してください。

参考情報

Kea DHCP: CVE-2026-3608: Stack overflow in Kea daemons

影響を受ける製品

Kea 2.6.0 - 2.6.4, 3.0.0 -> 3.0.2.

詳細

スタックオーバーフローエラーで停止する1件のリモート脆弱性をフィックスしています。Highに分類されています。

解決法

脆弱性を解決したKea DHCP 2.6.5, 3.0.3が用意されています。入手しアップデートしてください。バイナリパッケージを利用している場合は各ベンダのアナウンスに注意してください。

参考情報

Daily CyberSecurity

総合　 Windows　Unix　Mac　アプリケーション

ブログ記事を読む

【2026/03/25 7:30】メールIDとパスワードを窃取する詐欺メールに関する注意喚起

2026年 3月25日にメールIDとパスワードを窃取する詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
07:22:04着信

From: "Secure web" <◯◯◯◯◯◯◯◯◯◯◯◯@d◯◯.◯◯◯◯.◯◯.jp>
Subject: ◯◯◯◯◯◯, 重要: のセキュリ��ィ更新プログラム ◯◯.◯◯◯◯.◯◯.jp

リンク先は詐欺サイトが動作しています。

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学構成員の方で万が一、ID・パスワード等を送ってしまった方は至急情報基盤センターにご連絡ください。

ブログ記事を読む

【2026/03/23 13:50】メールIDとパスワードを窃取する詐欺メールに関する注意喚起

2026年 3月23日にメールIDとパスワードを窃取する詐欺メールが学内のメールアドレスに送信されてきていることを確認しました。サンプルとして一部を示します。

No.1
13:48:18着信

From: "Eamil-Support@mail-xx.uec.ac.jp" <xxxx@xx.uec.ac.jp>
Subject: メール内の xxxx@xx.uec.ac.jp 隔離ポータルで Xxx 通知が表示されます。メールは3日後に自動的に削除されます。

リンク先は詐欺サイトが動作しています。

他にもある可能性があります。全学メールゲートウェイにてSubjectに[SPAM]が挿入されているものもあります。
本学構成員の方で万が一、ID・パスワード等を送ってしまった方は至急情報基盤センターにご連絡ください。

ブログ記事を読む

DNSレコード管理システムの変更について

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　2026年3月23日
全学DNSサーバ利用者　各位
　　　　　　　　　　　　　　　　　　　　　　　　　　情報基盤センター
　　　　　　　　　　　　　　　　　　　　　　　　　　support@cc.uec.ac.jp
　　　　　　　　　DNSレコード管理システムの入替えについて
平素より弊センターの活動にご理解とご協力をいただき誠にありがとうございます。
ライセンスの国内提供終了に伴い，DNSレコード管理システムとして使用していた
アプリケーションが利用できなくなりました．対策として，先日 3/21 (土) の
メンテナンス時に新しいDNSレコード管理システムを導入いたしました．

新しいDNSレコード管理システムの使用方法は以下をご覧ください．

　https://www.cc.uec.ac.jp/ug/ja/domain/index.html

基本的に全システムと機能は変更されておりませんが，ユーザインタフェースが
整理されて，全システムよりもわかりやすくなっています．
また，2026年度中を目指してAPIへの対応を進めております．APIの提供が開始されれば，
他アプリケーションとDNSサーバの連携，サーバ証明書更新自動化，AI連携なども可能に
なりますので，今しばらくおまちください．

独自のDNSサーバを運用されている部局におかれましては，全学DNSサービスへの移行し，
本DNSレコード管理システムのご活用をご検討ください．
なお，現在バーチャルドメインサーバのDNSサービスをご利用の方におかれましては，
順次，本システムへの移行をお願いする計画ですので，よろしくお願い申し上げます．

以上です．

ブログ記事を読む