SECURITY NEWS (2025/06/04 12:00-2025/06/05 12:00)

2025/06/04 12:00から2025/06/05 12:00のセキュリティ情報です。
今月1ヶ月分のまとめはこちらをご覧下さい。

総合

 CISA, JPCERT/CC, IPAからの注意喚起など。

JPCERT/CC WEEKLY REPORT 2025-06-05
【1】wivia 5に複数の脆弱性
【2】Apache TomcatのCGIサーブレットにpathInfoのセキュリティ制約が回避される脆弱性
【3】複数のMozilla製品に脆弱性
【4】Google Chromeに複数の脆弱性
【5】NISCが国際文書「SIEM 及び SOAR プラットフォームに関するガイダンス」へ共同署名
【6】IPAが「2024年度中小企業における情報セキュリティ対策に関する実態調査報告書」を公表

Updated Guidance on Play Ransomware
CISA発表のAA23-352A #StopRansomware: Play Ransomware更新の広報です。

Microsoft

 Microsoft製品に関する情報。

Microsoft Edge Stable Channel (Version 137.0.3296.62)がリリース
影響を受ける製品
Microsoft Edge.
詳細
攻撃が観測されている1件の脆弱性を含む最新のChromium projectの最新のアップデートを反映したリリースです。
解決法
自動的に更新されます。自動的に更新されない場合は手動で更新を行なってください。

UNIX

 UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
 扱うOS: Red Hat Enterprise Linux (標準のみ), Ubuntu, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.

Red Hat Enterprise Linuxのgolang RHSA-2025:8476, RHSA-2025:8477, go-toolset:rhel8, nodejs22 RHSA-2025:8493, RHSA-2025:8506, nodejs:20, varnishのセキュリティフィックス
影響を受ける製品
Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for x86_64 - Extended Update Support 9.6 x86_64, Red Hat Enterprise Linux Server - AUS 9.6 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 9.6 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for Power, little endian - Extended Update Support 9.6 ppc64le, Red Hat Enterprise Linux for ARM 64 9 aarch64, Red Hat Enterprise Linux for ARM 64 - Extended Update Support 9.6 aarch64, Red Hat Enterprise Linux Server for Power LE - Update Services for SAP Solutions 9.6 ppc64le, Red Hat Enterprise Linux for x86_64 - Update Services for SAP Solutions 9.6 x86_64, Red Hat Enterprise Linux for ARM 64 - 4 years of updates 9.6 aarch64, Red Hat Enterprise Linux for IBM z Systems - 4 years of updates 9.6 s390x (golang (RHSA-2025:8476)). Red Hat Enterprise Linux for x86_64 10 x86_64, Red Hat Enterprise Linux for x86_64 - Extended Update Support 10.0 x86_64, Red Hat Enterprise Linux for IBM z Systems 10 s390x, Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 10.0 s390x, Red Hat Enterprise Linux for Power, little endian 10 ppc64le, Red Hat Enterprise Linux for Power, little endian - Extended Update Support 10.0 ppc64le, Red Hat Enterprise Linux for ARM 64 10 aarch64, Red Hat Enterprise Linux for ARM 64 - Extended Update Support 10.0 aarch64, Red Hat Enterprise Linux for ARM 64 - 4 years of updates 10.0 aarch64, Red Hat Enterprise Linux for IBM z Systems - 4 years of updates 10.0 s390x, Red Hat Enterprise Linux for Power, little endian - 4 years of support 10.0 ppc64le, Red Hat Enterprise Linux for x86_64 - 4 years of updates 10.0 x86_64 (golang (RHSA-2025:8477), nodejs22 (RHSA-2025:8493), varnish). Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for ARM 64 8 aarch64 (go-toolset:rhel8, nodejs22 (RHSA-2025:8506), nodejs:20).
詳細
golang, go-toolset:rhel8はnet/httpのリクエストスマグリング攻撃の1件の脆弱性を、nodejs22, nodejs:20はDoS攻撃の1件のリモート脆弱性を、varnishはリクエストスマグリング攻撃の1件の脆弱性をそれぞれフィックスしています。
解決法
文書に従って更新を行ってください。

Debian GNU/Linuxのchromiumのセキュリティフィックス
影響を受ける製品
stable (bookworm).
詳細
V8の境界外メモリ読み書きの1件の脆弱性とBlinkの解放後メモリ利用の1件の脆弱性をフィックスしています。
解決法
自動更新エージェントを用いるか手動でアップグレードを行なってください。

Ubuntu LinuxのLinux kernel (Azure CVM), Linux kernel USN-7553-1, USN-7554-1, USN-7554-2, Linux kernel (FIPS) USN-7553-2, USN-7554-3, python-djangoのセキュリティフィックス
影響を受ける製品
Ubuntu 25.04, 24.10, 24.04 LTS (python-django). Ubuntu 22.04 LTS (Linux kernel (Azure CVM), python-django). Ubuntu 20.04 LTS (python-django). Ubuntu 18.04 LTS (Linux kernel (USN-7553-1), Linux kernel (FIPS) (USN-7553-2)). Ubuntu 16.04 LTS (Linux kernel (USN-7553-1, USN-7554-1), Linux kernel (FIPS) (USN-7554-3)). Ubuntu 14.04 LTS (Linux kernel (USN-7554-2)).
詳細
Linux kernel (Azure CVM)はdrm/amd/displayの境界外メモリアクセスの1件の脆弱性とdrm/amdgpuの解放後slab利用の1件の脆弱性とsunrpcの解放後メモリ利用の1件の脆弱性を、Linux kernel (USN-7553-1), Linux kernel (FIPS) (USN-7553-2)は9件の脆弱性を、Linux kernel (USN-7554-1, USN-7554-2), Linux kernel (FIPS) (USN-7554-3)は11件の脆弱性を、python-djangoはログ挿入が可能な1件の脆弱性をそれぞれフィックスしています。
解決法
自動更新エージェントを用いるか手動でアップデートを行なってください。

Slackware Linuxのcurl, python3のセキュリティフィックス
影響を受ける製品
15.0, -current.
詳細
curlはDoS攻撃の1件の脆弱性を、python3は5件の脆弱性をそれぞれフィックスしています。
解決法
自動更新エージェントを用いるか手動でアップグレードを行なってください。

Apple

 Macおよびこれに関連するアプリケーションに関する情報(iPhone/iPadを除く)。

Applications

 各種アプリケーションに関する情報。
 扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。

Cisco Systemsがセキュリティアドバイザリをリリース
影響を受ける製品
複数のCisco社製品。
詳細
6月 4日に10件のセキュリティアドバイザリがリリースされています。1件がCriticalに、2件がHighに分類されています。Cisco Security Advisoriesのページをご確認下さい。
解決法
文書の指示に従ってください。
参考情報


VMSA-2025-0012: VMware NSX updates address multiple vulnerabilities (CVE-2025-22243, CVE-2025-22244, CVE-2025-22245)
影響を受ける製品
VMware NSX. Vmware Cloud Foundation. VMware Telco Cloud Platform
詳細
XSSの3件の脆弱性をフィックスしています。
解決法
脆弱性を解決したバージョンが用意されています。入手しアップデートして下さい。
参考情報


Python 3.13.4, 3.12.11, 3.11.13, 3.10.18 and 3.9.23 are now available
影響を受ける製品
Python 3.
詳細
非CVEの2件を含む6件の脆弱性をフィックスしています。
解決法
入手しアップグレードしてください。バイナリパッケージを利用している場合は各ベンダのアナウンスに注意してください。

Samba: smbd doesn't pick up group membership changes when re-authenticating an expired SMB session
影響を受ける製品
Samba 4.21.0以降の全てのバージョン。
詳細
Kerberos認証にて管理者がADのグループからユーザーを削除してもその削除が反映されない1件のリモート脆弱性をフィックスしています。
解決法
Samba 4.21.6が用意されています。入手しアップグレードしてください。バイナリパッケージを利用している場合は各ベンダのアナウンスに注意してください。

SolarWinds DameWare Mini Remote Control Service Incorrect Permissions Local Privilege Escalation Vulnerability (CVE-2025-26396)
影響を受ける製品
SolarWinds Platform 12.3.1.20及びこれ以前のバージョン。
詳細
権限昇格が可能な1件のローカル脆弱性をフィックスしています。
解決法
脆弱性を解決したバージョンが用意されています。文書に従ってください。
参考情報