SECURITY NEWS (2024/04/23 12:00-2024/04/24 12:00)

2024/04/23 12:00から2024/04/24 12:00のセキュリティ情報です。
今月１ヶ月分のまとめはこちらをご覧下さい。

総合　 Windows　Unix　Mac　アプリケーション

総合

　CERT/CC, US-CERT, JPCERT/CC, IPAからの勧告やSecurityFocusのニュースレターなど。

JPCERT/CC WEEKLY REPORT 2024-04-24: 【1】TensorFlowベースのKerasモデルに含まれるLambdaレイヤにコードインジェクションが発生する問題
【2】LINEヤフー社製Armeria-samlにおけるSAMLメッセージ取り扱い不備
【3】LINE client for iOSにおけるサーバ証明書の検証不備の脆弱性
【4】2024年4月Oracle Critical Patch Updateについて
【5】PuTTY SSHクライアントのECDSA署名処理に脆弱性
【6】WordPress用プラグインForminatorにおける複数の脆弱性
【7】Proscend Communications製M330-WおよびM330-W5におけるOSコマンドインジェクションの脆弱性
【8】バッファロー製無線LANルーターに複数の脆弱性
【9】経済産業省が「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」および「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊：スマート化を進める上でのポイント】」の英訳版を公表
【10】IPAが「アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について Adobe ColdFusion の脆弱性（CVE-2023-29300）を狙う攻撃」に関する注意喚起を公表
【11】CISAが「Deploying AI Systems Securely」を公表
CISA Releases Two Industrial Control Systems Advisories: CISA発表のICSの２件のセキュリティアドバイザリ公開の広報です。
CISA Adds One Known Exploited Vulnerability to Catalog: CISAが１件の悪用された脆弱性をKnown Exploited Vulnerabilities Catalogに追加したことに関する広報です。

Microsoft

　Microsoft製品に関する情報。

UNIX

　UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
　扱うOS: HP-UX, Red Hat, Ubuntu, SUSE, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.

Red Hat Enterprise Linuxのshim, kpatch-patch, go-toolset:rhel8, golang, libreswan, grub2, kernel, Satellite Client Asyncのセキュリティフィックス

影響を受ける製品: Red Hat Enterprise Linux Server 7 x86_64 (shim, kpatch-patch, grub2, kernel, Satellite Client Async). Red Hat Enterprise Linux Server - Extended Life Cycle Support 7 x86_64, Red Hat Enterprise Linux for Power, little endian 7 ppc64le (kpatch-patch, grub2, kernel, Satellite Client Async). Red Hat Enterprise Linux Workstation 7 x86_64, Red Hat Enterprise Linux Desktop 7 x86_64, Red Hat Enterprise Linux for Power, big endian 7 ppc64 (grub2, kernel, Satellite Client Async). Red Hat Enterprise Linux for Scientific Computing 7 x86_64 (grub2, kernel). Red Hat Enterprise Linux Server - Extended Life Cycle Support (for IBM z Systems) 7 s390x (kernel). Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for ARM 64 8 aarch64 (go-toolset:rhel8, libreswan, Satellite Client Async). Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for ARM 64 9 aarch64 (golang, Satellite Client Async, Satellite Client Async). Red Hat Enterprise Linux Server - Extended Life Cycle Support 6 x86_64, Red Hat Enterprise Linux Server - Extended Life Cycle Support 6 i386, Red Hat Enterprise Linux for IBM z Systems 7 s390x, Red Hat Enterprise Linux Server - Extended Life Cycle Support (for IBM z Systems) 6 for RHEL 6 s390x (Satellite Client Async).
詳細: shimは６件の脆弱性を、kpatch-patchは解放後メモリ利用の２件の脆弱性を、go-toolset:rhel8, golangはHTTP/2のDoS攻撃の１件のリモート脆弱性を、libreswanはDoS攻撃の１件の脆弱性を、kernelは５件の脆弱性を、Satellite Client AsyncはSOCKS5のヒープベースのバッファオーバー１件の脆弱性をそれぞれフィックスしています。
解決法: 文書に従って更新を行ってください。

Ubuntu Linuxのsquid, Google Guest Agent, Google OS Config Agent, Linux kernelのセキュリティフィックス

影響を受ける製品: Ubuntu 23.10 (Google Guest Agent, Google OS Config Agent). Ubuntu 22.04 LTS (Google Guest Agent, Google OS Config Agent, Linux kernel). Ubuntu 20.04 LTS (squid).
詳細: squidは不具合が発生して取り下げされていたCVE-2023-5824の再度のセキュリティフィックスを行っています。Google Guest Agent, Google OS Config AgentはDoS攻撃の１件の脆弱性を、Linux kernelは４件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Debian GNU/Linuxのglibcのセキュリティフィックス

影響を受ける製品: oldstable (bullseye), stable (bookworm).
詳細: iconv()の境界外メモリ書込の１件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

Slackware Linuxのrubyのセキュリティフィックス

影響を受ける製品: 15.0, -current.
詳細: 正規表現処理部の任意のメモリの読込が可能な１件の脆弱性とRDocの任意のコードを実行可能な１件のリモート脆弱性とStringIOのバッファオーバーリードの１件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

Apple

　Appleおよびこれに関連するアプリケーションに関する情報(iPhone/iPad等を除く）。

Applications

　各種アプリケーションに関する情報。
　扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。

Ruby 3.3.1, 3.2.4, 3.1.5, 3.0.7がリリース

影響を受ける製品: Ruby.
詳細: CVE-2024-27282: Arbitrary memory address read vulnerability with Regex search, CVE-2024-27281: RCE vulnerability with .rdoc_options in RDoc, CVE-2024-27280: Buffer overread vulnerability in StringIOの３件の脆弱性をフィックスしています。
解決法: Ruby 3.3.1, 3.2.4, 3.1.5, 3.0.7がリリースされています。アップデートを行ってください。バイナリパッケージを利用している製品については各ベンダのアナウンスに注意してください。

総合　 Windows　Unix　Mac　アプリケーション