SECURITY NEWS (2024/04/24 12:00-2024/04/26 12:00)

2024/04/24 12:00から2024/04/26 12:00のセキュリティ情報です。
今月1ヶ月分のまとめはこちらをご覧下さい。

総合

 CERT/CC, US-CERT, JPCERT/CC, IPAからの勧告やSecurityFocusのニュースレターなど。

CISA Releases Eight Industrial Control Systems Advisories
CISA発表のICSの8件のセキュリティアドバイザリ公開の広報です。

Cisco Releases Security Updates Addressing ArcaneDoor, Vulnerabilities in Cisco Firewall Platforms
CISA発表のCisco ASA, FTDのセキュリティアドバイザリに関する注意喚起です。

CISA Adds Three Known Exploited Vulnerabilities to Catalog
CISAが3件の悪用された脆弱性をKnown Exploited Vulnerabilities Catalogに追加したことに関する広報です。
参考情報

JPCERT-AT-2024-0009 Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関する注意喚起
JPCERT/CC発表のPalo Alto Networks社のPAN-OSの脆弱性に関する注意喚起の更新です。

Microsoft

 Microsoft製品に関する情報。

UNIX

 UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
 扱うOS: HP-UX, Red Hat, Ubuntu, SUSE, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.

Red Hat Enterprise Linuxのlibreswan, tigervnc, buildahのセキュリティフィックス
影響を受ける製品
Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for ARM 64 9 aarch64 (libreswan, buildah). Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for ARM 64 8 aarch64 (tigervnc).
詳細
libreswanはDoS攻撃の1件の脆弱性を、tigervncはorg-x11-serverのヒープベースのバッファオーバーの2件の脆弱性とorg-x11-serverの解放後メモリ利用の1件の脆弱性を、buildahはコンテナ外のファイルシステムにアクセス可能な1件の脆弱性をそれぞれフィックスしています。
解決法
文書に従って更新を行ってください。

Ubuntu Linuxのfirefox, ruby-sanitize, freerdp2 USN-6749-1, USN-6752-1, dnsmasq, Linux kernel (Azure), thunderbird, zabbix, cryptojs, nghttp2のセキュリティフィックス
影響を受ける製品
Ubuntu 23.10 (ruby-sanitize, freerdp2, thunderbird, nghttp2). Ubuntu 22.04 LTS (ruby-sanitize, freerdp2, Linux kernel (Azure), thunderbird, zabbix. cryptojs, nghttp2). Ubuntu 20.04 LTS (firefox, ruby-sanitize, freerdp2, thunderbird, zabbix, cryptojs, nghttp2). Ubuntu 18.04 ESM, 16.04 ESM (dnsmasq, zabbix, cryptojs, nghttp2). Ubuntu 14.04 ESM (zabbix).
詳細
firefoxは14件の脆弱性を、ruby-sanitizeはXSSの2件の脆弱性を、freerdp2(USN-6749-1)は7件の脆弱性を、dnsmasqはKeyTrap攻撃の1件の脆弱性とNSEC3攻撃の1件の脆弱性と不適切なEDNS.0 UDPパケットサイズの1件の脆弱性を、Linux kernel (Azure)は5件の脆弱性を、thunderbirdは8件の脆弱性を、freerdp2 (USN-6752-1)は4件の脆弱性を、zabbixはJavaScriptを含んだリンクを生成可能な2件の脆弱性を、cryptojsはデフォルトで脆弱な暗号の利用の1件の脆弱性を、nghttp2は4件の脆弱性をそれぞれフィックスしています。
解決法
自動更新エージェントを用いるか手動でアップデートを行なってください。

Debian GNU/Linuxのpdns-recursorのセキュリティフィックス
影響を受ける製品
oldstable (bullseye).
詳細
再帰的フォワードが有効な際のDoS攻撃の1件の脆弱性をフィックスしています。
解決法
自動更新エージェントを用いるか手動でアップグレードを行なってください。

Slackware Linuxのlibarchiveのセキュリティフィックス
影響を受ける製品
15.0, -current.
詳細
rar処理部のヒープベースのバッファオーバーの1件の脆弱性をフィックスしています。
解決法
自動更新エージェントを用いるか手動でアップグレードを行なってください。

Apple

 Appleおよびこれに関連するアプリケーションに関する情報(iPhone/iPad等を除く)。

Applications

 各種アプリケーションに関する情報。
 扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。

Chrome 安定版 24.0.6367.78/.79 (Windows, Mac), 124.0.6367.78 (Linux)がリリース
影響を受ける製品
Chrome.
詳細
4件の脆弱性をフィックスしています。1件がCritical, 2High件がに分類されています。
解決法
自動あるいは手動で更新を行ってください。
参考情報


Cisco Systemsがセキュリティアドバイザリをリリース
影響を受ける製品
Cisco Adaptive Security Appliance (ASA) Software, Cisco Firepower Threat Defense (FTD) Software.
詳細
4月24日に3件のセキュリティアドバイザリがリリースされています。うち2件がHighに分類されています。Cisco Security Advisoriesのページをご確認下さい。これら脆弱性を利用した攻撃が観測されており、Ciscoが文書を発表しています。
解決法
文書の指示に従ってください。
参考情報


GitLab Patch Release: 16.11.1, 16.10.4, 16.9.6
影響を受ける製品
GitLab.
詳細
5件の脆弱性をフィックスしています。
解決法
入手しアップデートしてください。バイナリパッケージを利用している場合は各ベンダのアナウンスに注意してください。
参考情報


Drupalにセキュリティアドバイザリ SA-CONTRIB-2024-017
影響を受ける製品
Advanced PWA 1.5.0以前のバージョン。
詳細
モジュールを設定の読出及び変更が可能な1件の脆弱性をフィックスしています。
解決法
Advanced Progressive Web App 8.x-1.5が用意されています。アップデートして下さい。

アラート/アドバイザリ:ウイルスバスター クラウドの脆弱性について (CVE-2024-32849)
影響を受ける製品
トレンドマイクロ ウイルスバスター クラウド (月額版含む).
詳細
権限昇格が可能な1件のローカル脆弱性をフィックスしています。
解決法
更新は自動的に配信されます。

NETGEAR Support NETGEAR Support 一部のルーターにおける認証バイパスに関するセキュリティ勧告 (PSV-2023-0166)
影響を受ける製品
NETGEAR RAX35, RAX38, RAX40.
詳細
バッファオーバーフローの1件の脆弱性が存在します。
解決法
文書の指示に従ってファームウェアのアップデートを行ってください。
参考情報