2025/11/12 12:00から2025/11/14 12:00のセキュリティ情報です。
今月1ヶ月分のまとめはこちらをご覧下さい。
総合
CISA, JPCERT/CC, IPAからの注意喚起など。
- CISA Releases 18 Industrial Control Systems Advisories
- CISA発表のICSの18件のセキュリティアドバイザリ公開の広報です。
- CISA and Partners Release Advisory Update on Akira Ransomware
- CISA, FBI, EC3, NCSC-NL共同発表のAA24-109A #StopRansomware: Akira Ransomware更新の広報です。
参考情報- BLEEPING COMPUTER
- Update: Implementation Guidance for Emergency Directive on Cisco ASA and Firepower Device Vulnerabilities
- CISA発表のED 25-03: Identify and Mitigate Potential Compromise of Cisco Devices更新の注意喚起です。
参考情報- BLEEPING COMPUTER
- TENABLE BLOG
- CISA Adds Three Known Exploited Vulnerabilities to Catalog
- CISAが3件の悪用された脆弱性をKnown Exploited Vulnerabilities Catalogに追加したことに関する広報です。
参考情報 - Microsoft 製品の脆弱性対策について(2025年11月)
- IPA発表の11月のMicrosoftのセキュリティ更新プログラムに関する注意喚起の更新です。
Microsoft
Microsoft製品に関する情報。
UNIX
UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
扱うOS: Red Hat Enterprise Linux (標準のみ), Ubuntu, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.
- Red Hat Enterprise Linuxのsssd, libtiff, redis:7, xorg-x11-server-Xwayland RHSA-2025:20960, RHSA-2025:21035, libsoup, xorg-x11-server, runc, tigervnc, qt5-qt3d, expat, libsoup3, bind, kea, qt6-qtsvg, bind9.18, kernel, python-kdcproxy RHSA-2025:21139, RHSA-2025:21142, podman, container-tools:rhel8, openssl RHSA-2025:21248, RHSA-2025:21255, firefoxのセキュリティフィックス
-
- 影響を受ける製品
- Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for ARM 64 9 aarch64 (sssd, libtiff, redis:7, xorg-x11-server-Xwayland, libsoup, xorg-x11-server, runc, tigervnc, qt5-qt3d, bind9.18, python-kdcproxy (RHSA-2025:21139), openssl (RHSA-2025:21255)). Red Hat CodeReady Linux Builder for x86_64 9 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 9 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 9 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 9 s390x (sssd, libtiff, xorg-x11-server-Xwayland (RHSA-2025:20960), xorg-x11-server, bind9.18). Red Hat Enterprise Linux for x86_64 10 x86_64, Red Hat Enterprise Linux for IBM z Systems 10 s390x, Red Hat Enterprise Linux for Power, little endian 10 ppc64le, Red Hat Enterprise Linux for ARM 64 10 aarch64 (expat, libsoup3, xorg-x11-server-Xwayland (RHSA-2025:21035), bind, kea, qt6-qtsvg, kernel, python-kdcproxy (RHSA-2025:21142), podman, openssl (RHSA-2025:21248), firefox). Red Hat CodeReady Linux Builder for x86_64 10 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 10 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 10 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 10 s390x (libsoup3, xorg-x11-server-Xwayland (RHSA-2025:21035), bind, kea, qt6-qtsvg, kernel, podman). Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for ARM 64 8 aarch64 (container-tools:rhel8).
- 詳細
- sssdは権限昇格の1件の脆弱性を、libtiffは解放後メモリ利用の1件の脆弱性とバッファオーバーフローの1件の脆弱性を、redis:7は4件の脆弱性を、xorg-x11-server-Xwayland, xorg-x11-server, tigervncはXPresentNotify構造体の解放後メモリ利用の1件の脆弱性とXkbの解放後メモリ利用の1件の脆弱性とXkbの整数桁溢れの1件の脆弱性を、libsoup, libsoup3は整数桁溢れの1件の脆弱性と境界外メモリ読込の1件の脆弱性を、runc, container-tools:rhel8はコンテナ脱出の3件の脆弱性を、qt5-qt3dはヒープベースのバッファオーバーフローの1件の脆弱性を、expatはメモリ枯渇の1件の脆弱性を、bind, bind9.18はDoS攻撃の1件の脆弱性とキャッシュ汚染の1件の脆弱性と脆弱な乱数の利用の1件の脆弱性を、keaはDoS攻撃の1件の脆弱性を、qt6-qtsvgは解放後メモリ利用の1件の脆弱性を、kernelは12件の脆弱性を、python-kdcproxyはSSRFの1件のリモート脆弱性とDoS攻撃の1件のリモート脆弱性を、podmanはコンテナ脱出の1件の脆弱性を、opensslは境界外メモリ読み書きの1件の脆弱性を、firefoxは9件の脆弱性をそれぞれフィックスしています。
- 解決法
- 文書に従って更新を行ってください。
- Ubuntu Linuxのbind9, Linux kernel (AWS), Linux kernel, Linux kernel (Xilinx ZynqMP)のセキュリティフィックス
-
- 影響を受ける製品
- Ubuntu 24.094 LTS (Linux kernel). Ubuntu 22.04 LTS (Linux kernel (AWS), Linux kernel, Linux kernel (Xilinx ZynqMP)). Ubuntu 20.04 LTS (bind9).
- 詳細
- bind9はDoS攻撃の1件の脆弱性とキャッシュ汚染の1件の脆弱性と脆弱な乱数の利用の1件の脆弱性を、Linux kernel (AWS)は59件の脆弱性を、Linux kernelは4件の脆弱性を、Linux kernel (Xilinx ZynqMP)はVMSCAPE攻撃の1件の脆弱性をそれぞれフィックスしています。
- 解決法
- 自動更新エージェントを用いるか手動でアップデートを行なってください。
- Debian GNU/Linuxのrust-sudo-rs, linux, firefox-esr, chromiumのセキュリティフィックス
-
- 影響を受ける製品
- oldstable (bookworm) (linux, firefox-esr, chromium). stable (trixie) (rust-sudo-rs, firefox-esr, chromium).
- 詳細
- rust-sudo-rsはパスワードの部分的な漏洩あるいは認証のバイパスの1件の脆弱性を、linuxは89件の脆弱性を、firefox-esrは9件の脆弱性を、chromiumはV8エンジンの不適切な実装の1件の脆弱性をそれぞれフィックスしています。
- 解決法
- 自動更新エージェントを用いるか手動でアップグレードを行なってください。
- Slackware Linuxのmozilla-firefox, mozilla-thunderbirdのセキュリティフィックス
-
- 影響を受ける製品
- 15.0 (kernel), -current.
- 詳細
- mozilla-firefoxは140.5.0 ESRへのアップグレードに伴い9件の脆弱性を、mozilla-thunderbirdは140.5.0 ESRへのアップグレードに伴い複数の脆弱性フィックスしています。
- 解決法
- 自動更新エージェントを用いるか手動でアップグレードを行なってください。
Apple
Macおよびこれに関連するアプリケーションに関する情報(iPhone/iPadを除く)。
Applications
各種アプリケーションに関する情報。
扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。
- Cisco Systemsがセキュリティアドバイザリをリリース
-
- 影響を受ける製品
- 複数のCisco社製品。
- 詳細
- 11月13日に5件のセキュリティアドバイザリがリリースされています。1件がhighに分類されています。Cisco Security Advisoriesのページをご確認下さい。
- 解決法
- 文書の指示に従ってください。
- Trend Micro: KA-0021604: Addressing Redis CVE-2025-49844 Vulnerability in Apex One
-
- 影響を受ける製品
- Trend Micro Apex One on-prem.
- 詳細
- Trend Micro Apex One on-prem Endpoint SensorはRedis for Windowsを含んでおり、Redis for WindowsはcritcalなCVE-2025-49844を含んでいますが、メンテナンスが停止したため、パッチは提供されません。
- 解決法
- 文書に従って緩和策を実施してください。
- GitLab Patch Release: 18.5.2, 18.4.4, 18.3.6
-
- 影響を受ける製品
- GitLab.
- 詳細
- 9件の脆弱性をフィックスしています。1件がHighに分類されています。
- 解決法
- 脆弱性を解決したバージョンが用意されています。入手しアップデートしてください。バイナリパッケージを利用している場合は各ベンダのアナウンスに注意してください。
- 参考情報
-
- Emergency Patch Release: Zimbra 10.1.14
-
- 影響を受ける製品
- Zimbra.
- 詳細
- IMAP同期の不適切な処理の1件のリモート脆弱性をフィックスしています。Criticalに分類されています。
- 解決法
- 脆弱性を解決したZimbra 10.1.14が用意されています。アップデートしてください。
- Kibana 8.19.7, 9.1.7, and 9.2.1 Security Update (ESA-2025-24)
Kibana 8.19.7, 9.1.7, 9.2.1 Security Update (ESA-2025-25) -
- 影響を受ける製品
- Kibana versions 8.19.x, 9.1.x, 9.2.x.
- 詳細
- 11月12日に2件のセキュリティアドバイザリが公開されています。1件がHighに分類されています。
- 解決法
- Kibana 8.19.7, 9.1.7, 9.2.1が用意されています。入手しアップデートして下さい。バイナリパッケージを利用している場合は各ベンダのアナウンスに注意してください。
- 参考情報
-
- Drupalのセキュリティアドバイザリがリリース
-
- 影響を受ける製品
- Drupal.
- 詳細
- 11月12日に4件のセキュリティアドバイザリが公開されています。Security advisoriesのページをご確認下さい。
- 解決法
- 文書に従って下さい。
- CTX695486: NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2025-12101
-
- 影響を受ける製品
- NetScaler ADC, NetScaler Gateway
- 詳細
- XSSの1件の脆弱性をフィックスしています。
- 解決法
- アップデートが用意されています。文書の指示に従って下さい。
- 2025-11-13 - pgAdmin 4 v9.10 Released
-
- 影響を受ける製品
- pgAdmin 4.
- 詳細
- 4件の脆弱性をフィックスしています。1件がCriticalに分類されています。
- 解決法
- pgAdmin 4 v9.10が用意されています。入手しアップデートして下さい。
- 参考情報
-
- GitHub Enterprise Serverに脆弱性 Enterprise Server 3.18.1, Enterprise Server 3.17.7, Enterprise Server 3.16.10, Enterprise Server 3.15.14, Enterprise Server 3.14.19
-
- 影響を受ける製品
- GitHub Enterprise Server 3.17.x, 3.16.x, 3.15.x, 3.14.x.
- 詳細
- redisのメモリ破損の1件の脆弱性とRCEの1件のリモート脆弱性を含む複数の脆弱性をそれぞれフィックスしています。
- 解決法
- 入手しアップデートして下さい。
- Palo Alto Networks: Palo Alto Networks社製品に複数の脆弱性
-
- 影響を受ける製品
- Palo Alto Networks社の複数の製品。
- 詳細
- 11月13日に3件のセキュリティアドバイザリが公開されています。Security Advisoriesのページをご確認下さい。
- 解決法
- 文書に従って下さい。
- 参考情報
-
- ManageEngine: CVE-2025-8324: Unauthenticated SQL Injection Vulnerability in Analytics Plus on-premise
-
- 影響を受ける製品
- ManageEngine Analytics Plus on-premise.
- 詳細
- SQL挿入の1件のリモート脆弱性をフィクスしています。Criticalに分類されています。
- 解決法
- 文書に従って下さい。
- 参考情報
-
