国立大学法人 電気通信大学

情報基盤センター

Information Technology Center, The University of Electro-Communications

2026/04/30 12:00から2026/05/01 12:00のセキュリティ情報です。
今月１ヶ月分のまとめはこちらをご覧下さい。

---

総合

　CISA, JPCERT/CC, IPAからの注意喚起など。

CISA Adds One Known Exploited Vulnerability to Catalog

CISAが1件の悪用された脆弱性をKnown Exploited Vulnerabilities Catalogに追加したことに関する広報です。

---

Microsoft

　Microsoft製品に関する情報。

Microsoft Edge for Stable (Version 147.0.3912.98)がリリース

影響を受ける製品

Microsoft Edge.

詳細

最新のChromium projectの最新のアップデートを反映したリリースです。

解決法

自動的に更新されます。自動的に更新されない場合は手動で更新を行なってください。

---

UNIX

　UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
　扱うOS: Red Hat Enterprise Linux （標準のみ）, Ubuntu, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.

Red Hat Enterprise Linuxのfence-agents, libtiff RHSA-2026:12265, RHSA-2026:12271, thunderbird, sudo, libcap RHSA-2026:12423, RHSA-2026:12441のセキュリティフィックス

影響を受ける製品

Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux High Availability for x86_64 8 x86_64, Red Hat Enterprise Linux High Availability for ARM 64 8 aarch64, Red Hat Enterprise Linux for ARM 64 8 aarch64, Red Hat Enterprise Linux Resilient Storage for x86_64 8 x86_64, Red Hat Enterprise Linux Resilient Storage for IBM z Systems 8 s390x, Red Hat Enterprise Linux High Availability for IBM z Systems 8 s390x, Red Hat Enterprise Linux Resilient Storage for Power, little endian 8 ppc64le, Red Hat Enterprise Linux High Availability for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for x86_64 - Extended Life Cycle 8.10 x86_64, Red Hat Enterprise Linux for ARM 64 - Extended Life Cycle 8.10 aarch64, Red Hat Enterprise Linux for Power, little endian - Extended Life Cycle 8.10 ppc64le, Red Hat Enterprise Linux for IBM z Systems - Extended Life Cycle 8.10 s390x, Red Hat Enterprise Linux High Availability for ARM 64 - Extended Life Cycle 8.10 aarch64, Red Hat Enterprise Linux High Availability for Power, little endian - Extended Life Cycle 8.10 ppc64le, Red Hat Enterprise Linux High Availability for IBM z Systems - Extended Life Cycle 8.10 s390x, Red Hat Enterprise Linux High Availability for x86_64 - Extended Life Cycle 8.10 x86_64, Red Hat Enterprise Linux Resilient Storage for Power, little endian - Extended Life Cycle 8.10 ppc64le, Red Hat Enterprise Linux Resilient Storage for IBM z Systems - Extended Life Cycle 8.10 s390x, Red Hat Enterprise Linux Resilient Storage for x86_64 - Extended Life Cycle 8.10 x86_64 (fence-agents). Red Hat Enterprise Linux for x86_64 10 x86_64, Red Hat Enterprise Linux for IBM z Systems 10 s390x, Red Hat Enterprise Linux for Power, little endian 10 ppc64le, Red Hat Enterprise Linux for ARM 64 10 aarch64 (libtiff (RHSA-2026:12265), thunderbird, libcap (RHSA-2026:12423)). Red Hat CodeReady Linux Builder for x86_64 10 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 10 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 10 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 10 s390x (libtiff (RHSA-2026:12265)). Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for ARM 64 9 aarch64 (libtiff (RHSA-2026:12271), sudo, libcap (RHSA-2026:12441)). Red Hat CodeReady Linux Builder for x86_64 9 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 9 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 9 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 9 s390x (libtiff (RHSA-2026:12271)).

詳細

fence-agentsはcryptographyの点が曲線の想定される素数順序部分群に属しているかの検証の不備の1件の脆弱性とpyjwtのcritヘッダーパラメータの不適切な検証の1件の脆弱性とpyasn1の無限ループの1件の脆弱性を、libtiffは整数桁溢れの1件の脆弱性を、thunderbirdは25件の脆弱性を、sudoは権限昇格の1件のローカル脆弱性を、libcapはTOCTOU競合条件の1件の脆弱性をそれぞれフィックスしています。

解決法

文書に従って更新を行ってください。

Copy Fail CVE-2026-31431

影響を受ける製品

2017年以降のLinux kernel.

詳細

2017年以降のLinux kernelに権限昇格の1件のローカル脆弱性が発見されました。一般ユーザーが暗号化API（AF_ALG)に対し攻撃を行うことでパスワードなしで特権ユーザーに権限昇格可能となります。また、攻撃を行ったあとは攻撃者だけではなく全ての一般ユーザーが権限昇格可能となります。

解決法

緩和策が用意されています。文書を確認してください。各Linuxディストリビューションのアナウンスに注意してください。

参考情報

• TENABLE BLOG
• Daily CyberSecurity
• BLEEPING COMPUTER

inetutils-2.8 released with 2 CVE fixes

影響を受ける製品

GNU inetutils.

詳細

telnetdの認証のバイパスの1件のリモート脆弱性とtelnetdの任意のコードを実行可能な1件のリモート脆弱性をフィックスしています。両者ともCriticalに分類されています。

解決法

入手しアップデートしてください。バイナリパッケージを利用している場合は各ベンダのアナウンスに注意してください。

---

Apple

　Macおよびこれに関連するアプリケーションに関する情報(iPhone/iPadを除く）。

---

Applications

　各種アプリケーションに関する情報。
　扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。

Thunderbird 150.0.1, Thunderbird 140.10.1esrがリリース

影響を受ける製品

Firefox, Thunderbird.

詳細

Thunderbird 150.0.1は4件の脆弱性を、, Thunderbird 140.10.1esrは4件の脆弱性をそれぞれフィックスしています。

解決法

自動更新機能あるいは手動でアップデートしてください。

Progress: MOVEit Automation Critical Security Alert Bulletin - April 2026 - (CVE-2026-4670, CVE-2026-5174)

影響を受ける製品

MOVEit Automation.

詳細

認証のバイパスの1件の脆弱性と権限昇格の1件の脆弱性をフィックスしています。Criticalに分類されています。

解決法

文書の指示に従って下さい。

JetBrainsがセキュリティアドバイザリをリリース

影響を受ける製品

JetBrains IntelliJ IDEA.

詳細

4月30日に1件のセキュリティアドバイザリがリリースされています。Highに分類されています。Fixed security issuesのページをご確認下さい。

解決法

文書の指示に従ってください。

---