SECURITY NEWS (2024/07/10 12:00-2024/07/11 12:00)

2024/07/10 12:00から2024/07/11 12:00のセキュリティ情報です。
今月1ヶ月分のまとめはこちらをご覧下さい。


総合

 CERT/CC, US-CERT, JPCERT/CC, IPAからの勧告やSecurityFocusのニュースレターなど。

CISA and FBI Release Secure by Design Alert on Eliminating OS Command Injection Vulnerabilities
CISA, FBI共同発表のSecure by Design Alert: Eliminating OS Command Injection Vulnerabilities公開の注意喚起です。
参考情報

Microsoft 製品の脆弱性対策について(2024年7月)
IPA発表の 7月のMicrosoftのセキュリティ更新プログラムに関する注意喚起です。


Microsoft

 Microsoft製品に関する情報。


UNIX

 UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
 扱うOS: HP-UX, Red Hat, Ubuntu, SUSE, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.

Red Hat Enterprise Linuxのdotnet8.0 RHSA-2024:4450, RHSA-2024:4451, opensshのセキュリティフィックス
影響を受ける製品
Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for x86_64 - Extended Update Support 9.4 x86_64, Red Hat Enterprise Linux Server - AUS 9.4 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 9.4 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for Power, little endian - Extended Update Support 9.4 ppc64le, Red Hat Enterprise Linux for ARM 64 9 aarch64, Red Hat Enterprise Linux for ARM 64 - Extended Update Support 9.4 aarch64, Red Hat Enterprise Linux Server for Power LE - Update Services for SAP Solutions 9.4 ppc64le, Red Hat Enterprise Linux for x86_64 - Update Services for SAP Solutions 9.4 x86_64, Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.4 aarch64, Red Hat Enterprise Linux Server for IBM z Systems - 4 years of updates 9.4 s390x (dotnet8.0 (RHSA-2024:4450), openssh). Red Hat CodeReady Linux Builder for x86_64 9 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 9 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 9 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 9 s390x, Red Hat CodeReady Linux Builder for x86_64 - Extended Update Support 9.4 x86_64, Red Hat CodeReady Linux Builder for Power, little endian - Extended Update Support 9.4 ppc64le, Red Hat CodeReady Linux Builder for IBM z Systems - Extended Update Support 9.4 s390x, Red Hat CodeReady Linux Builder for ARM 64 - Extended Update Support 9.4 aarch64 (dotnet8.0 (RHSA-2024:4450)). Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for ARM 64 8 aarch64, Red Hat CodeReady Linux Builder for x86_64 8 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 8 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 8 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 8 s390x (dotnet8.0 (RHSA-2024:4451)).
詳細
dotnet8.0はDoS攻撃の3件の脆弱性を、opensshは任意のコードを実行可能な1件のリモート脆弱性をそれぞれフィックスしています。
解決法
文書に従って更新を行ってください。
参考情報


Ubuntu Linuxのfirefox, .NET, Linux kernel (IBM), Linux kernel (AWS) USN-6868-2, USN-6866-3のセキュリティフィックス
影響を受ける製品
Ubuntu 24.04 LTS, 23.10, 22.04 LTS (.NET). Ubuntu 20.04 LTS (firefox, Linux kernel (IBM)). Ubuntu 18.04 ESM (Linux kernel (AWS) (USN-6868-2)). Ubuntu 14.04 ESM (Linux kernel (Azure) (USN-6866-3)).
詳細
firefoxは14件の脆弱性を、.NETはDoS攻撃の3件の脆弱性を、Linux kernel (IBM)は154件の脆弱性を、Linux kernel (AWS) (USN-6868-2)はnetfilterのDoS攻撃の2件の脆弱性とIntelプロセッサの情報漏洩の1件のローカル脆弱性を、Linux kernel (Azure) (USN-6866-3)は12件の脆弱性をそれぞれフィックスしています。
解決法
自動更新エージェントを用いるか手動でアップデートを行なってください。

Slackware Linuxのmozilla-firefoxのセキュリティフィックス
影響を受ける製品
15.0, -current.
詳細
5件の脆弱性をフィックスしています。
解決法
自動更新エージェントを用いるか手動でアップグレードを行なってください。


Apple

 Appleおよびこれに関連するアプリケーションに関する情報(iPhone/iPad等を除く)。


Applications

 各種アプリケーションに関する情報。
 扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。

GitLab Critical Patch Release: 17.1.1, 17.0.3, 16.11.5
影響を受ける製品
GitLab.
詳細
14件の脆弱性をフィックスしています。うち1件はCriticalに分類されています。
解決法
入手しアップデートしてください。バイナリパッケージを利用している場合は各ベンダのアナウンスに注意してください。
参考情報


複数のZoom製品に脆弱性
影響を受ける製品
Zoom社の複数の製品。
詳細
7月 9日に8件のセキュリティアドバイザリが公開されています。Security Bulletinのページをご確認下さい。
解決法
自動あるいは手動で製品を更新してください。
参考情報


Palo Alto Networks: Palo Alto Networks社製品に複数の脆弱性
影響を受ける製品
Palo Alto Networks社の複数の製品。
詳細
6件のセキュリティアドバイザリが公開されています。
解決法
文書に従って下さい。
参考情報


VMSA-2024-0017: VMware Aria Automation updates address SQL-injection vulnerability (CVE-2024-22280)
影響を受ける製品
VMware Aria Automation.
詳細
SQL挿入の1件の脆弱性をフィックスしています。
解決法
パッチが用意されています。入手しアップデートして下さい。
参考情報


Juniper Networksがセキュリティアドバイザリをリリース
影響を受ける製品
複数のJuniper Networks社製品。
詳細
7月10日に46件のセキュリティアドバイザリがリリースされています。1件がCritical, 18件がHighに分類されています。Security Advisoriesのページをご確認下さい。
解決法
文書の指示に従ってください。

SAP Security Patch Day - July 2024
影響を受ける製品
SAP社の複数の製品。
詳細
複数の脆弱性をフィックスしています。
解決法
文書を確認してください。

Joomla 5.1.2 and Joomla 4.4.6 Security and Bug Fix Release
影響を受ける製品
Joomla.
詳細
5件の脆弱性をフィックスしています。
解決法
フルパッケージあるいはアップグレードパッケージが用意されています。入手し適用してください。

Django security releases issued: 5.0.7 and 4.2.14
影響を受ける製品
Django.
詳細
4件の脆弱性をフィックスしています。
解決法
パッチ及び解決済リリースが用意されています。バイナリパッケージを利用している場合は各ベンダのアナウンスに注意してください。