2025/04/23 12:00から2025/04/24 12:00のセキュリティ情報です。
今月1ヶ月分のまとめはこちらをご覧下さい。
総合
CISA, JPCERT/CC, IPAからの注意喚起など。
Microsoft
Microsoft製品に関する情報。
UNIX
UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
扱うOS: Red Hat Enterprise Linux (標準のみ), Ubuntu, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.
- Ubuntu Linuxのmatrix-synapse, Linux kernel (GCP), erlang, haproxy, Linux kernel USN-7445-1, USN-7448-1, USN-7449-1, USN-7450-1, USN-7451-1, USN-7452-1, mod_auth_openidc, Linux kernel (Real-time), libarchiveのセキュリティフィックス
-
- 影響を受ける製品
- Ubntu 25.04 (erlang, haproxy, mod_auth_openidc, libarchive). Ubuntu 24.10 (Linux kernel (USN-7445-1, USN-7448-1), mod_auth_openidc, libarchive). Ubuntu 24.04 LTS (Linux kernel (USN-7445-1, USN-7448-1, USN-7449-1, USN-7450-1), mod_auth_openidc, Linux kernel (Real-time), libarchive). Ubuntu 22.04 LTS (matrix-synapse, Linux kernel (GCP), mod_auth_openidc, Linux kernel (USN-7449-1, USN-7451-1, USN-7452-1), libarchive). Ubntu 20.04 LTS (matrix-synapse, libarchive). Ubuntu 18.04 ESM (matrix-synapse).
- 詳細
- matrix-synapseは8件の脆弱性を、Linux kernel (GCP)は8件の脆弱性を、erlangはErlang/OTP SSHのRCEの1件のリモート脆弱性を、haproxyはヒープベースのバッファオーバーフローの1件の脆弱性を、Linux kernel (USN-7445-1)は40件の脆弱性を、Linux kernel (USN-7448-1)は41件の脆弱性を、mod_auth_openidcは情報漏洩の1件の脆弱性を、Linux kernel (USN-7449-1)は461件の脆弱性を、Linux kernel (USN-7450-1)は460件の脆弱性を、Linux kernel (USN-7451-1)は577件の脆弱性を、Linux kernel (USN-7452-1)は460件の脆弱性を、Linux kernel (Real-time)は461件の脆弱性を、libarchiveはDoS攻撃の1件の脆弱性とNULLポインタの逆参照の1件の脆弱性をそれぞれフィックスしています。
- 解決法
- 自動更新エージェントを用いるか手動でアップデートを行なってください。
Apple
Macおよびこれに関連するアプリケーションに関する情報(iPhone/iPadを除く)。
Applications
各種アプリケーションに関する情報。
扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。
- GitLab Patch Release: 17.11.1, 17.10.5, 17.9.7
-
- 影響を受ける製品
- GitLab.
- 詳細
- 5件の脆弱性をフィックスしています。3件がHighに分類されています。
- 解決法
- 脆弱性を解決したバージョンが用意されています。入手しアップデートしてください。バイナリパッケージを利用している場合は各ベンダのアナウンスに注意してください。
- 参考情報
-
- Commvalut: CV_2025_04_1: Vulnerability in Commvault Command Center Installation
-
- 影響を受ける製品
- Commvault Command Center 11.38.0 - 11.38.19.
- 詳細
- 認証なしのRCEの1件のリモート脆弱性ををフィックスしています。Criticalに分類されています。
- 解決法
- 脆弱性を解決したバージョンが用意されています。入手しアップデートしてください。
- 参考情報
-
- NVIDIAが2件のセキュリティアドバイザリを公開
Security Bulletin: NVIDIA NeMo - April 2025,
Security Bulletin: NVIDIA App - April 2025 -
- 影響を受ける製品
- NVIDIA NeMo Framework. NVIDIA App.
- 詳細
- NVIDIA NeMo - April 2025はRCEの2件のリモート脆弱性と任意のファイルの書込の1件の脆弱性を、NVIDIA App - April 2025はDLLロードにおけるハードコードされたパスの1件の脆弱性をそれぞれフィックスしています。前者の3件がHighに分類されています。
- 解決法
- 文書に従って下さい。
- 参考情報
-
- CVE-2025-22234: Spring Security BCryptPasswordEncoder maximum password length breaks timing attack mitigation
-
- 影響を受ける製品
- Spring Security.
- 詳細
- CVE-2025-22228の不完全なセキュリティフィックスによるタイミング攻撃の1件の脆弱性をフィックスしています。
- 解決法
- 文書に従って下さい。
- 参考情報
-
- Drupalのセキュリティアドバイザリがリリース
-
- 影響を受ける製品
- Drupal.
- 詳細
- 4月16日に7件の、4月23日に6件のセキュリティアドバイザリが公開されています。7件がCriticalに分類されています。Security advisoriesのページをご確認下さい。
- 解決法
- 文書に従って下さい。
- SonicWall: SNWLID-2025-0009 SonicOS SSLVPN NULL Pointer Dereference Denial-of-Service (DoS) Vulnerability/dt>
-
- 影響を受ける製品
- SonicOS Version 7.1.1-7040 - 7.1.3-7015. SonicOS Version 8.0.0-8037及びこれら以前のバージョン。
- 詳細
- SSLVPNのNULLポインタの逆参照の1件の脆弱性をフィックスしています。
- 解決法
- 脆弱性を解決するアップデートがが用意されています。アップデートして下さい。
- 参考情報
-
- Grafana security release: Medium and high severity fixes for CVE-2025-3260, CVE-2025-2703, CVE-2025-3454
-
- 影響を受ける製品
- Grafana 11.6.0, 11.5.3, 11.4.3, 11.3.5, 11.2.8, 10.4.17.
- 詳細
- パーミッションのバイパスの1件の脆弱性とXSSの1件の脆弱性と認証のバイパスの1件の脆弱性をフィックスしています。
- 解決法
- パッチリリースが用意されています。アップグレードして下さい。
- 参考情報
-
- TP-Link: Statement on cross-site scripting (XSS) vulnerability on TP-Link WR841N (CVE-2025-25427)
-
- 影響を受ける製品
- TP-Link WR841N.
- 詳細
- XSSの1件の脆弱性をフィックスしています。
- 解決法
- 脆弱性を解決するファームウェアが用意されています。アップデートして下さい。
- 参考情報
- 影響を受ける製品
- Zyxel USG FLEX H series.
- 詳細
- 権限昇格の2件のローカル脆弱性をフィックスしています。
- 解決法
- 脆弱性を解決したファームウェアが用意されています。アップデートして下さい。
- 参考情報
-