2024/04/23 12:00から2024/04/24 12:00のセキュリティ情報です。
今月1ヶ月分のまとめはこちらをご覧下さい。
総合
CERT/CC, US-CERT, JPCERT/CC, IPAからの勧告やSecurityFocusのニュースレターなど。
- JPCERT/CC WEEKLY REPORT 2024-04-24
- 【1】TensorFlowベースのKerasモデルに含まれるLambdaレイヤにコードインジェクションが発生する問題
【2】LINEヤフー社製Armeria-samlにおけるSAMLメッセージ取り扱い不備
【3】LINE client for iOSにおけるサーバ証明書の検証不備の脆弱性
【4】2024年4月Oracle Critical Patch Updateについて
【5】PuTTY SSHクライアントのECDSA署名処理に脆弱性
【6】WordPress用プラグインForminatorにおける複数の脆弱性
【7】Proscend Communications製M330-WおよびM330-W5におけるOSコマンドインジェクションの脆弱性
【8】バッファロー製無線LANルーターに複数の脆弱性
【9】経済産業省が「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」および「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊:スマート化を進める上でのポイント】」の英訳版を公表
【10】IPAが「アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃」に関する注意喚起を公表
【11】CISAが「Deploying AI Systems Securely」を公表 - CISA Releases Two Industrial Control Systems Advisories
- CISA発表のICSの2件のセキュリティアドバイザリ公開の広報です。
- CISA Adds One Known Exploited Vulnerability to Catalog
- CISAが1件の悪用された脆弱性をKnown Exploited Vulnerabilities Catalogに追加したことに関する広報です。
Microsoft
Microsoft製品に関する情報。
UNIX
UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
扱うOS: HP-UX, Red Hat, Ubuntu, SUSE, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.
- Red Hat Enterprise Linuxのshim, kpatch-patch, go-toolset:rhel8, golang, libreswan, grub2, kernel, Satellite Client Asyncのセキュリティフィックス
-
- 影響を受ける製品
- Red Hat Enterprise Linux Server 7 x86_64 (shim, kpatch-patch, grub2, kernel, Satellite Client Async). Red Hat Enterprise Linux Server - Extended Life Cycle Support 7 x86_64, Red Hat Enterprise Linux for Power, little endian 7 ppc64le (kpatch-patch, grub2, kernel, Satellite Client Async). Red Hat Enterprise Linux Workstation 7 x86_64, Red Hat Enterprise Linux Desktop 7 x86_64, Red Hat Enterprise Linux for Power, big endian 7 ppc64 (grub2, kernel, Satellite Client Async). Red Hat Enterprise Linux for Scientific Computing 7 x86_64 (grub2, kernel). Red Hat Enterprise Linux Server - Extended Life Cycle Support (for IBM z Systems) 7 s390x (kernel). Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for ARM 64 8 aarch64 (go-toolset:rhel8, libreswan, Satellite Client Async). Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for ARM 64 9 aarch64 (golang, Satellite Client Async, Satellite Client Async). Red Hat Enterprise Linux Server - Extended Life Cycle Support 6 x86_64, Red Hat Enterprise Linux Server - Extended Life Cycle Support 6 i386, Red Hat Enterprise Linux for IBM z Systems 7 s390x, Red Hat Enterprise Linux Server - Extended Life Cycle Support (for IBM z Systems) 6 for RHEL 6 s390x (Satellite Client Async).
- 詳細
- shimは6件の脆弱性を、kpatch-patchは解放後メモリ利用の2件の脆弱性を、go-toolset:rhel8, golangはHTTP/2のDoS攻撃の1件のリモート脆弱性を、libreswanはDoS攻撃の1件の脆弱性を、kernelは5件の脆弱性を、Satellite Client AsyncはSOCKS5のヒープベースのバッファオーバー1件の脆弱性をそれぞれフィックスしています。
- 解決法
- 文書に従って更新を行ってください。
- Ubuntu Linuxのsquid, Google Guest Agent, Google OS Config Agent, Linux kernelのセキュリティフィックス
-
- 影響を受ける製品
- Ubuntu 23.10 (Google Guest Agent, Google OS Config Agent). Ubuntu 22.04 LTS (Google Guest Agent, Google OS Config Agent, Linux kernel). Ubuntu 20.04 LTS (squid).
- 詳細
- squidは不具合が発生して取り下げされていたCVE-2023-5824の再度のセキュリティフィックスを行っています。Google Guest Agent, Google OS Config AgentはDoS攻撃の1件の脆弱性を、Linux kernelは4件の脆弱性をそれぞれフィックスしています。
- 解決法
- 自動更新エージェントを用いるか手動でアップデートを行なってください。
- Debian GNU/Linuxのglibcのセキュリティフィックス
-
- 影響を受ける製品
- oldstable (bullseye), stable (bookworm).
- 詳細
- iconv()の境界外メモリ書込の1件の脆弱性をフィックスしています。
- 解決法
- 自動更新エージェントを用いるか手動でアップグレードを行なってください。
- Slackware Linuxのrubyのセキュリティフィックス
-
- 影響を受ける製品
- 15.0, -current.
- 詳細
- 正規表現処理部の任意のメモリの読込が可能な1件の脆弱性とRDocの任意のコードを実行可能な1件のリモート脆弱性とStringIOのバッファオーバーリードの1件の脆弱性をフィックスしています。
- 解決法
- 自動更新エージェントを用いるか手動でアップグレードを行なってください。
Apple
Appleおよびこれに関連するアプリケーションに関する情報(iPhone/iPad等を除く)。
Applications
各種アプリケーションに関する情報。
扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。
- Ruby 3.3.1, 3.2.4, 3.1.5, 3.0.7がリリース
-
- 影響を受ける製品
- Ruby.
- 詳細
- CVE-2024-27282: Arbitrary memory address read vulnerability with Regex search, CVE-2024-27281: RCE vulnerability with .rdoc_options in RDoc, CVE-2024-27280: Buffer overread vulnerability in StringIOの3件の脆弱性をフィックスしています。
- 解決法
- Ruby 3.3.1, 3.2.4, 3.1.5, 3.0.7がリリースされています。アップデートを行ってください。バイナリパッケージを利用している製品については各ベンダのアナウンスに注意してください。