SECURITY NEWS (2024/4)

Palo Alto Networks 製 PAN-OS の脆弱性対策について(CVE-2024-3400): IPA発表のPalo Alto Networks社のPAN-OSの脆弱性に関する注意喚起です。
Oracle Java の脆弱性対策について(CVE-2023-41993等): IPA発表のOracle Javaのセキュリティアップデートに関する注意喚起です。
JPCERT-AT-2024-0009 Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性（CVE-2024-3400）に関する注意喚起: JPCERT/CC発表のPalo Alto Networks社のPAN-OSの脆弱性に関する注意喚起の更新です。
JPCERT/CC WEEKLY REPORT 2024-04-17: 【1】XenServerおよびCitrix Hypervisorに複数の脆弱性
【2】複数のJuniper Networks製品に脆弱性
【3】複数のプログラミング言語にWindows環境でのコマンドインジェクションの脆弱性
【4】a-blog cmsに複数の脆弱性
【5】複数のアドビ製品に脆弱性
【6】複数のFortinet製品に脆弱性
【7】複数のHTTP/2実装にCONTINUATIONフレームの取り扱い不備
【8】OpenSSLにサービス運用妨害（DoS）の脆弱性
【9】WordPress用プラグインNinja Formsに複数の脆弱性
【10】Palo Alto Networks社製PAN-OS GlobalProtect機能にOSコマンドインジェクションの脆弱性（CVE-2024-3400）
【11】複数のマイクロソフト製品に脆弱性
CISA Releases Four Industrial Control Systems Advisories: CISA発表のICSの４件のセキュリティアドバイザリ公開の広報です。

2024/04/16

Joint Guidance on Deploying AI Systems Securely

CISA, NSA AISC共同発表のDeploying AI Systems Securely公開の広報です。
参考情報

Security NEXT

SB24-106 Vulnerability Summary for the Week of April 8, 2024

CISA発表の脆弱性情報のサマリです( 4月 8日の週)。

2024/04/15

Palo Alto Networks 製 PAN-OS の脆弱性対策について(CVE-2024-3400): IPA発表のPalo Alto Networks社のPAN-OSの脆弱性に関する注意喚起です。
JPCERT-AT-2024-0009 Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性（CVE-2024-3400）に関する注意喚起: JPCERT/CC発表のPalo Alto Networks社のPAN-OSの脆弱性に関する注意喚起の公開とその更新です。
Palo Alto Networks Releases Guidance for Vulnerability in PAN-OS, CVE-2024-3400: CISA発表のPalo Alto Networks社のPAN-OSのゼロデイ脆弱性のガイダンスに関する注意喚起です。
CISA Adds One Known Exploited Vulnerability to Catalog: CISAが１件の悪用された脆弱性をKnown Exploited Vulnerabilities Catalogに追加したことに関する広報です。
Citrix Releases Security Updates for XenServer and Citrix Hypervisor: CISA発表のCitrix社XenServer及びCitrix Hypervisorのセキュリティアップデートに関する注意喚起です。
Juniper Releases Security Bulletin for Multiple Juniper Products: CISA発表のJuniper Networks社の複数の製品のセキュリティブレティンに関する注意喚起です。

2024/04/12

CISA Issues Emergency Directive 24-02: Mitigating the Significant Risk from Nation-State Compromise of Microsoft Corporate Email System

CISA発表のED 24-02: Mitigating the Significant Risk from Nation-State Compromise of Microsoft Corporate Email System公開の広報です。
参考情報

BLEEPING COMPUTER

CISA Adds Two Known Exploited Vulnerabilities to Catalog

CISAが２件の悪用された脆弱性をKnown Exploited Vulnerabilities Catalogに追加したことに関する広報です。

Compromise of Sisense Customer Data

CISA発表のSisense社の顧客データ侵害の広報です。
参考情報

BLEEPING COMPUTER

CISA Releases Nine Industrial Control Systems Advisories

CISA発表のICSの９件のセキュリティアドバイザリ公開の広報です。

2024/04/10

Microsoft 製品の脆弱性対策について(2024年4月): IPA発表の 4月のMicrosoftのセキュリティ更新プログラムに関する注意喚起です。
JPCERT-AT-2024-0008 2024年4月マイクロソフトセキュリティ更新プログラムに関する注意喚起: JPCERT/CC発表の 4月のMicrosoftのセキュリティ更新プログラムに関する注意喚起です。
Adobe Releases Security Updates for Multiple Products: CISA発表のAdobe社の複数の製品のセキュリティアップデートに関する注意喚起です。
Microsoft Releases April 2024 Security Updates: CISA発表の 4月のMicrosoftのセキュリティ更新プログラムに関する注意喚起です。
Fortinet Releases Security Updates for Multiple Products: CISA発表のFortinet社の複数の製品のセキュリティアドバイザリに関する注意喚起です。
CISA Releases One Industrial Control Systems Advisory: CISA発表のICSの１件のセキュリティアドバイザリ公開の広報です。
JPCERT/CC WEEKLY REPORT 2024-04-10: 【1】Apache HTTP Server 2.4に複数の脆弱性
【2】Ivanti Connect SecureおよびIvanti Policy Secureに複数の脆弱性
【3】NEC Atermシリーズに複数の脆弱性
【4】Centeミドルウェアに複数の脆弱性
【5】プラネックス製無線LANルータMZK-MF300Nに複数の脆弱性
【6】複数のCisco製品に脆弱性
【7】フルノシステムズ製マネージド・スイッチACERA 9010（MSモード以外で使用時）に初期パスワードに関する脆弱性
【8】XZ Utilsに悪意のあるコードが挿入された問題（CVE-2024-3094）について
【9】経済産業省が「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊：スマート化を進める上でのポイント】」を公表

2024/04/09

SB24-099 Vulnerability Summary for the Week of April 1, 2024: CISA発表の脆弱性情報のサマリです( 4月 1日の週)。

2024/04/08

Ivanti Releases Security Update for Ivanti Connect Secure and Policy Secure Gateways: CISA発表のIvanti Connect Secure及びPolicy Secure gateways.のセキュリティアドバイザリに関する注意喚起です。
CISA Adds One Known Exploited Vulnerability to Catalog: CISAが１件の悪用された脆弱性をKnown Exploited Vulnerabilities Catalogに追加したことに関する広報です。
CISA Releases Two Industrial Control Systems Advisories: CISA発表のICSの２件のセキュリティアドバイザリ公開の広報です。

2024/04/04

SB24-092 Vulnerability Summary for the Week of March 25, 2024: CISA発表の脆弱性情報のサマリです( 3月25日の週)。

2024/04/03

CISA Releases One Industrial Control Systems Advisory: CISA発表のICSの１件のセキュリティアドバイザリ公開の広報です。
CISA Publishes New Webpage Dedicated to Providing Resources for High-Risk Communities: CISA発表のHigh-Risk Communities公開の広報です。
JPCERT/CC WEEKLY REPORT 2024-04-03: 【1】スマートフォンアプリ「Yahoo! JAPAN」にクロスサイトスクリプティングの脆弱性
【2】複数のCisco製品に脆弱性
【3】複数のApple製品に脆弱性
【4】WordPress用プラグインSurvey Makerに複数の脆弱性
【5】エレコム製無線ルーターに複数の脆弱性
【6】WordPress用プラグインeasy-popup-showにクロスサイトリクエストフォージェリの脆弱性
【7】JPCERT/CCが「インシデント相談・情報提供窓口」を公開

2024/04/01

Reported Supply Chain Compromise Affecting XZ Utils Data Compression Library, CVE-2024-3094: CISA発表のXZ Utils versions 5.6.0及び5.6.1にバックドアが仕掛けられていた件に関する対応の広報です。

Microsoft

　Microsoft製品に関する情報。

2024/04/19

Microsoft Edge Stable Channel (Version 124.0.2478.51)がリリース

影響を受ける製品: Microsoft Edge.
詳細: Edge固有の２件を含む16件の脆弱性をフィックスしています。
解決法: 自動的に更新されます。自動的に更新されない場合は手動で更新を行なってください。

2024/04/15

Microsoft Edge Stable Channel (Version 123.0.2420.97)がリリース

影響を受ける製品

Microsoft Edge.

詳細

境界外メモリアクセスの１件の脆弱性とヒープバッファオーバーフローの１件の脆弱性と解放後メモリ利用の１件の脆弱性をフィックスしています。

解決法

自動的に更新されます。自動的に更新されない場合は手動で更新を行なってください。

参考情報

Security NEXT

2024/04/10

マイクロソフトが2024年 4月のセキュリティ更新プログラムをリリース

影響を受ける製品

複数のMicrosoft製品。

詳細

149件のMicrosoftのCVEと６件の非MicrosoftのCVEで示される脆弱性をフィックスしています。

解決法

Microsoft UpdateあるいはWindows Updateから更新プログラムをインストールしてください。あるいはMicrosoftダウンロードセンターから更新プログラムを入手し適用してください。

参考情報

2024/04/08

Microsoft Edge Stable Channel (Version 123.0.2420.81), Extended Stable Channel (Version 122.0.2365.120)がリリース

影響を受ける製品: Microsoft Edge.
詳細: Edge固有の２件を含む５件の脆弱性をフィックスしています。
解決法: 自動的に更新されます。自動的に更新されない場合は手動で更新を行なってください。

UNIX

　UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
　扱うOS: HP-UX, Red Hat Enterprise Linux （標準のみ）, Ubuntu, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.

2024/04/19

Red Hat Enterprise Linuxのmod_http2, rhc-worker-script, gnutls, shim RHSA-2024:1902, RHSA-2024:1903, firefox RHSA-2024:1908, RHSA-2024:1910, RHSA-2024:1912, java-21-openjdkのセキュリティフィックス

影響を受ける製品: Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x (mod_http2, gnutls, shim, firefox, java-21-openjdk). Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for ARM 64 9 aarch64 (mod_http2, gnutls, firefox, java-21-openjdk). Red Hat Enterprise Linux Server 7 x86_64, Red Hat Enterprise Linux Server - Extended Life Cycle Support 7 x86_64, Red Hat Enterprise Linux Workstation 7 x86_64, Red Hat Enterprise Linux Desktop 7 x86_64 (rhc-worker-script, firefox). Red Hat Enterprise Linux for Scientific Computing 7 x86_64 (rhc-worker-script). Red Hat Enterprise Linux for IBM z Systems 7 s390x, Red Hat Enterprise Linux for Power, big endian 7 ppc64, Red Hat Enterprise Linux for Power, little endian 7 ppc64le, Red Hat Enterprise Linux Server - Extended Life Cycle Support (for IBM z Systems) 7 s390x (firefox). Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for ARM 64 8 aarch64 (shim, firefox, java-21-openjdk). Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for ARM 64 8 aarch64 (firefox, java-21-openjdk). Red Hat CodeReady Linux Builder for x86_64 9 x86_64, Red Hat CodeReady Linux Builder for x86_64 8 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 9 ppc64le, Red Hat CodeReady Linux Builder for Power, little endian 8 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 9 aarch64, Red Hat CodeReady Linux Builder for ARM 64 8 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 9 s390x, Red Hat CodeReady Linux Builder for IBM z Systems 8 s390x (java-21-openjdk).
詳細: mod_http2はHTTP/2のDoS攻撃の１件のリモート脆弱性を、rhc-worker-scriptはgolang-protobufのDoS攻撃の１件の脆弱性を、gnutlsはDoS攻撃の１件の脆弱性とサイドチャネル攻撃の１件の脆弱性を、shimは６件の脆弱性を、firefoxは７件の脆弱性をそれぞれフィックスしています。
解決法: 文書に従って更新を行ってください。

Ubuntu Linuxのglibcのセキュリティフィックス

影響を受ける製品: Ubuntu 23.10, 22.04 LTS, 20.04 LTS.
詳細: iconv()の境界外メモリ書込の１件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Debian GNU/Linuxのjetty9, tomcat10のセキュリティフィックス

影響を受ける製品: oldstable (bullseye) (jetty9). stable (bookworm) (jetty9, tomcat10).
詳細: jetty9はHTTP/2のDoS攻撃の１件のリモート脆弱性を、tomcat10はHTTPリクエストスマグリング攻撃の１件の脆弱性とHTTP/2のDoS攻撃の１件のリモート脆弱性とWebSocketのリソース枯渇の１件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

Slackware Linuxのglibcのセキュリティフィックス

影響を受ける製品: 15.0, -current.
詳細: iconv()の境界外メモリ書込の１件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

2024/04/18

Ubuntu LinuxのLinux kernel (Xilinx ZynqMP), apache2のセキュリティフィックス

影響を受ける製品: Ubuntu 20.04 LTS (Linux kernel (Xilinx ZynqMP)). Ubuntu 18.04 ESM, 16.04 ESM (apache2).
詳細: Linux kernel (Xilinx ZynqMP)は23件の脆弱性を、apache2はHTTPレスポンス分割攻撃の１件のリモート脆弱性と複数のモジュールのHTTPレスポンス分割攻撃の１件のリモート脆弱性とHTTP/2のDoS攻撃の１件のリモート脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Debian GNU/Linuxのfirefox-esrのセキュリティフィックスとcockpitのセキュリティフィックスのアップデート

影響を受ける製品: oldstable (bullseye) (firefox-esr). stable (bookworm) (firefox-esr, cockpit).
詳細: firefox-esrは８件の脆弱性をフィックスしています。cockpitは不適切なパッケージのビルドを修正しています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

Slackware Linuxのmozilla-thunderbirdのセキュリティフィックス

影響を受ける製品: 15.0, -current.
詳細: Thunderbird 115.10へのアップグレードに伴い脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

2024/04/17

Red Hat Enterprise Linuxのjava-1.8.0-openjdkのセキュリティフィックス

影響を受ける製品: Red Hat Enterprise Linux Server 7 x86_64, Red Hat Enterprise Linux Server - Extended Life Cycle Support 7 x86_64, Red Hat Enterprise Linux Workstation 7 x86_64, Red Hat Enterprise Linux Desktop 7 x86_64, Red Hat Enterprise Linux for IBM z Systems 7 s390x, Red Hat Enterprise Linux for Power, big endian 7 ppc64, Red Hat Enterprise Linux for Scientific Computing 7 x86_64, Red Hat Enterprise Linux for Power, little endian 7 ppc64le, Red Hat Enterprise Linux Server - Extended Life Cycle Support (for IBM z Systems) 7 s390x.
詳細: ４件の脆弱性をフィックスしています。
解決法: 文書に従って更新を行ってください。

Ubuntu Linuxのnodejs, klibc, Linux kernel, Linux kernel (AWS), Linux kernel (IoT)のセキュリティフィックス

影響を受ける製品: Ubuntu 23.10 (nodejs, klibc, Linux kernel). Ubuntu 22.04 LTS (nodejs, klibc, Linux kernel, Linux kernel (AWS)). Ubuntu 20.04 LTS (nodejs, klibc, Linux kernel (AWS), Linux kernel (IoT)). Ubuntu 18.04 ESM, 16.04 ESM, 14.04 ESM (nodejs, klibc).
詳細: nodejsはcrypto.X509Certificate() APIのDoS攻撃の１件の脆弱性とHTTPリクエストスマグリング攻撃の１件の脆弱性とgenerateKeys() APIの不適切な鍵の生成の１件の脆弱性を、klibcは４件の脆弱性を、Linux kernelは12件の脆弱性を、Linux kernel (AWS)は46件の脆弱性を、Linux kernel (IoT)は23件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Debian GNU/Linuxのphp7.4, php8.2, apache2のセキュリティフィックス

影響を受ける製品: oldstable (bullseye) (php7.4, apache2). stable (bookworm) (php8.2, apache2).
詳細: php7.4, php8.2は４件の脆弱性を、apache2は６件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

Slackware Linuxのmozilla-firefoxのセキュリティフィックス

影響を受ける製品: 15.0, -current.
詳細: ９件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

2024/04/16

Ubuntu Linuxのyard, webkit2gtk, gnutls28, libvirtのセキュリティフィックス

影響を受ける製品: Ubuntu 23.10, 22.04 LTS (yard, webkit2gtk, gnutls28, libvirt). Ubuntu 20.04 LTS (yard, gnutls28, libvirt). Ubuntu 18.04 ESM, 16.04 ESM (yard).
詳細: yardはディレクトリトラバーサルの１件の脆弱性とパストラバーサルの１件の脆弱性とXSSの１件の脆弱性を、webkit2gtkは８件の脆弱性を、gnutls28はDoS攻撃の１件の脆弱性とサイドチャネル攻撃の１件の脆弱性を、libvirtはオフバイワンエラーの１件の脆弱性とDoS攻撃の１件の脆弱性とNULLポインタの逆参照の１件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

2024/04/15

Debian GNU/Linuxのxorg-server, linux, trafficserverのセキュリティフィックス

影響を受ける製品: oldstable (bullseye) (xorg-server, trafficserver). stable (bookworm) (xorg-server, linux, trafficserver).
詳細: xorg-serverはヒープバッファオーバーリードの２件の脆弱性と解放後メモリ利用の１件の脆弱性を、linuxは180件の脆弱性を、trafficserverはHTTP/2のDoS攻撃の１件のリモート脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

Slackware Linuxのphp, lessのセキュリティフィックス

影響を受ける製品: 15.0, -current.
詳細: phpはコマンド挿入の１件の脆弱性と__Host-/__Secure-クッキーのバイパスの１件の脆弱性とアカウント乗っ取りの１件の脆弱性を、lessはOSコマンド挿入の１件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

2024/04/12

Red Hat Enterprise Linuxのunbound, bind9.16, bind and dhcp, gnutls, xorg-x11-serve, httpd:2.4/mod_http2, squid, bindのセキュリティフィックス

影響を受ける製品: Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for ARM 64 8 aarch64 (unbound, bind9.16, bind and dhcp, gnutls, httpd:2.4/mod_http2). Red Hat CodeReady Linux Builder for x86_64 8 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 8 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 8 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 8 s390x (bind9.16). Red Hat Enterprise Linux Server 7 x86_64, Red Hat Enterprise Linux Server - Extended Life Cycle Support 7 x86_64, Red Hat Enterprise Linux Workstation 7 x86_64, Red Hat Enterprise Linux for IBM z Systems 7 s390x, Red Hat Enterprise Linux for Power, big endian 7 ppc64, Red Hat Enterprise Linux for Power, little endian 7 ppc64le, Red Hat Enterprise Linux Server - Extended Life Cycle Support (for IBM z Systems) 7 s390x (xorg-x11-serve, squid). Red Hat Enterprise Linux for Scientific Computing 7 x86_64, Red Hat Enterprise Linux Desktop 7 x86_64 (xorg-x11-serve). Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for ARM 64 9 aarch64, Red Hat CodeReady Linux Builder for x86_64 9 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 9 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 9 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 9 s390x (bind).
詳細: unboundは不適切なデフォルトパーミッション設定の１件の脆弱性を、bind9.16, bindは６件の脆弱性を、bind and dhcpはDoS攻撃の１件のリモート脆弱性とKeyTrap攻撃の１件のリモート脆弱性とNSEC3攻撃の１件のリモート脆弱性を、gnutlsはサイドチャネル攻撃の１件の脆弱性を、xorg-x11-serveはヒープバッファオーバーリードの２件の脆弱性と解放後メモリ利用の１件の脆弱性を、httpd:2.4/mod_http2はHTTP/2のDoS攻撃の１件のリモート脆弱性を、squidは６件の脆弱性をそれぞれフィックスしています。
解決法: 文書に従って更新を行ってください。

Ubuntu Linuxのapache2, maven-shared-utilsのセキュリティフィックスとsquid, nssのセキュリティフィックスのアップデート

影響を受ける製品: Ubuntu 23.10 (apache2). Ubuntu 22.04 LTS (apache2, maven-shared-utils, nss). Ubuntu 20.04 LTS (apache2, maven-shared-utils, squid, nss). Ubuntu 18.04 ESM, 16.04 ESM, 14.04 ESM (maven-shared-utils).
詳細: apache2はHTTPレスポンス分割攻撃の１件のリモート脆弱性と複数のモジュールのHTTPレスポンス分割攻撃の１件のリモート脆弱性とHTTP/2のDoS攻撃の１件のリモート脆弱性を、maven-shared-utilsはシェルコマンド挿入が可能な１件の脆弱性をそれぞれフィックスしています。squid, nssは回帰エラーをフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Debian GNU/Linuxのchromiumのセキュリティフィックス

影響を受ける製品: stable (bookworm).
詳細: 境界外メモリアクセスの１件の脆弱性とヒープバッファオーバーフローの１件の脆弱性と解放後メモリ利用の１件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

2024/04/11

Red Hat Enterprise Linuxのunboundのセキュリティフィックス

影響を受ける製品: Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for ARM 64 9 aarch64, Red Hat CodeReady Linux Builder for x86_64 9 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 9 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 9 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 9 s390x.
詳細: 不適切なデフォルトパーミッション設定の１件の脆弱性をフィックスしています。
解決法: 文書に従って更新を行ってください。

Ubuntu Linuxのutil-linux, nss, squidのセキュリティフィックス

影響を受ける製品: Ubuntu 23.10, 22.04 LTS, 20.04 LTS.
詳細: util-linuxはwall, writeコマンドの不適切なパーミッションの１件の脆弱性を、nssはサイドチャネル攻撃の２件のローカル脆弱性とBleichenbacher攻撃の１件の脆弱性を、squidは５件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

2024/04/10

Red Hat Enterprise Linuxのrearのセキュリティフィックス

影響を受ける製品: Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for ARM 64 8 aarch64.
詳細: 不適切なファイルパーミッションの設定の１件の脆弱性をフィックスしています。
解決法: 文書に従って更新を行ってください。

Ubuntu Linuxのbind9, Linux kernel USN-6724-1, USN-6725-1, USN-6726-1, Linux kernel (Azure)のセキュリティフィックスとX.Org X Serverのセキュリティフィックスのアップデート

影響を受ける製品: Ubuntu 23.10 (Linux kernel (USN-6724-1), X.Org X Server). Ubuntu 22.04 LTS (Linux kernel (USN-6724-1), Linux kernel (USN-6725-1), X.Org X Server). Ubuntu 20.04 LTS (Linux kernel (USN-6725-1), Linux kernel (USN-6726-1), X.Org X Server). Ubuntu 18.04 ESM (bind9, Linux kernel (USN-6726-1), X.Org X Server). Ubuntu 16.04 ESM (bind9, X.Org X Server). Ubuntu 14.04 ESM (bind9, Linux kernel (Azure), X.Org X Server).
詳細: bind9はKeyTrap攻撃の１件のリモート脆弱性とNSEC3攻撃の１件のリモート脆弱性を、Linux kernel (USN-6724-1)は12件の脆弱性を、Linux kernel (USN-6725-1)は46件の脆弱性を、Linux kernel (USN-6726-1)は23件の脆弱性を、Linux kernel (Azure)は12件の脆弱性をそれぞれフィックスしています。X.Org X Serverは回帰エラーをフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

2024/04/09

Red Hat Enterprise Linuxのnodejs:20 RHSA-2024:1687, RHSA-2024:1688, varnish RHSA-2024:1690, RHSA-2024:1691, lessのセキュリティフィックス

影響を受ける製品: Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for Power, little endian 8 ppc64le, Red Hat Enterprise Linux for ARM 64 8 aarch64 (nodejs:20, varnish). Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for ARM 64 9 aarch64 (nodejs:20, varnish, less). Red Hat CodeReady Linux Builder for x86_64 9 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 9 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 9 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 9 s390x (varnish).
詳細: nodejs:20は７件の脆弱性を、varnishはHTTP/2のBroken Window攻撃の１件のリモート脆弱性を、lessはOSコマンド挿入が可能な１件の脆弱性をそれぞれフィックスしています。
解決法: 文書に従って更新を行ってください。

Ubuntu Linuxのpython-djangoのセキュリティフィックス

影響を受ける製品: Ubuntu 14.04 ESM.
詳細: アカウント乗っ取りが可能な１件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Slackware Linuxのlibarchiveのセキュリティフィックス

影響を受ける製品: 15.0, -current.
詳細: tarアーカイブの不適切なエラーレポートの１件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

2024/04/08

Ubuntu LinuxのX.Org X Serverのセキュリティフィックスとfirefoxのセキュリティフィックスのアップデート

影響を受ける製品: Ubuntu 23.10, 22.04 LTS, 18.04 ESM, 16.04 ESM, 14.04 ESM (X.Org X Server). Ubuntu 20.04 LTS (X.Org X Server, firefox).
詳細: X.Org X Serverは４件の脆弱性をフィックスしています。firefoxは回帰エラーをフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Debian GNU/Linuxのchromium, cockpitのセキュリティフィックス

影響を受ける製品: stable (bookworm).
詳細: chromiumはV8の不適切な実装の１件の脆弱性とブックマークの解放後メモリ利用の１件の脆弱性とV8の境界外メモリアクセスの１件の脆弱性を、cockpitは任意のコマンドを実行可能な１件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

Slackware Linuxのhttpd, nghttp2, tigervncのセキュリティフィックス

影響を受ける製品: 15.0, -current.
詳細: httpdはHTTPレスポンス分割攻撃の１件のリモート脆弱性と複数のモジュールのHTTPレスポンス分割攻撃の１件のリモート脆弱性とHTTP/2のDoS攻撃の１件のリモート脆弱性を、nghttp2はHTTP/2のDoS攻撃の１件のリモート脆弱性を、tigervncは４件の脆弱性をそれぞれをフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

2024/04/04

Ubuntu LinuxのKernel Live Patchのリリース

影響を受ける製品: Ubuntu 22.04 LTS, 20.04 LTS, 18.04 ESM, 16.04 ESM, 14.04 ESM.
詳細: ６件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Debian GNU/Linuxのgtkwaveのセキュリティフィックス

影響を受ける製品: oldstable (bullseys), stable (bookworm).
詳細: 82件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

Slackware Linuxのxorg-serverのセキュリティフィックス

影響を受ける製品: 15.0, -current.
詳細: ４件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

OpenBSDのxserver 7.3, 7.4のセキュリティフィックス

影響を受ける製品: OpenBSD 7.3, 7.4.
詳細: ヒープベースのバッファオーバーリードの２件の脆弱性と解放後メモリ利用の１件の脆弱性をフィックスしています。
解決法: パッチを用いてソースツリーをアップデートしてリビルドしてください。もしくはバイナリアップデートを行ってください。

2024/04/03

Red Hat Enterprise Linuxのcurl, kernel, opencryptoki, less, kpatch-patch, expat, grafana-pcp, grafanaのセキュリティフィックス

影響を受ける製品: Red Hat Enterprise Linux for x86_64 8 x86_64, Red Hat Enterprise Linux for Power, little endian 8 ppc64le (curl, kernel, opencryptoki, less, kpatch-patch, expat, grafana-pcp, grafana). Red Hat Enterprise Linux for IBM z Systems 8 s390x, Red Hat Enterprise Linux for ARM 64 8 aarch64 (curl, kernel, opencryptoki, less, expat, grafana-pcp, grafana). Red Hat CodeReady Linux Builder for x86_64 8 x86_64, Red Hat CodeReady Linux Builder for Power, little endian 8 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 8 aarch64 (kernel, opencryptoki). Red Hat CodeReady Linux Builder for IBM z Systems 8 s390x (opencryptoki).
詳細: curlは解放後メモリ利用の１件の脆弱性とクッキー挿入が可能な１件の脆弱性と悪意あるサーバによりスーパークッキーが設定可能な１件の脆弱性を、kernelは７件の脆弱性を、opencryptokiはサイドチャネル攻撃の１件の脆弱性を、lessはOSコマンド挿入が可能な１件の脆弱性を、kpatch-patchはGSM 0710 tty処理部の権限昇格が可能な１件のローカル脆弱性を、expatはDoS攻撃の１件の脆弱性を、grafana-pcp, grafanaはopenssl由来のメモリ漏洩の１件の脆弱性をそれぞれフィックスしています。
解決法: 文書に従って更新を行ってください。

Ubuntu Linuxのcactiのセキュリティフィックス

影響を受ける製品: Ubuntu 22.04 LTS.
詳細: SQL挿入の１件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Debian GNU/Linuxのpy7zrのセキュリティフィックス

影響を受ける製品: oldstable (bullseys).
詳細: ディレクトリトラバーサルの１件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

2024/04/01

Red Hat Enterprise Linuxのruby:3.1のセキュリティフィックス

影響を受ける製品: Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for ARM 64 9 aarch64.
詳細: ４件の脆弱性をフィックスしています。
解決法: 文書に従って更新を行ってください。

Debian GNU/Linuxのchromium, xz-utils, util-linux, mediawikiのセキュリティフィックス

影響を受ける製品: oldstable (bullseys) (util-linux, mediawiki). stable (bookworm) (chromium, util-linux, mediawiki). testing, unstable, experimental (xz-utils).
詳細: chromiumは11件の脆弱性を、xz-utilsはバックドアが仕込まれた１件の脆弱性を、util-linuxはwallコマンドのエスケープ文字の不適切な処理の１件の脆弱性を、mediawikiはXSSの１件の脆弱性とDoS攻撃の１件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

Slackware Linuxのcoreutilsのセキュリティフィックス

影響を受ける製品: 15.0, -current.
詳細: splitのヒープベースのバッファオーバーフローの１件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

Apple

　Macおよびこれに関連するアプリケーションに関する情報(iPhone/iPadを除く）。

Applications

　各種アプリケーションに関する情報。
　扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。

2024/04/18

Cisco Systemsがセキュリティアドバイザリをリリース

影響を受ける製品

複数のCisco社製品。

詳細

4月17日に３件のセキュリティアドバイザリがリリースされています。うち２件がHighに分類されています。Cisco Security Advisoriesのページをご確認下さい。

解決法

文書の指示に従ってください。

参考情報

Chrome 安定版 124.0.6367.60/.61 (Windows, Mac), 124.0.6367.60 (Linux)がリリース

影響を受ける製品

Chrome.

詳細

23件の脆弱性をフィックスしています。４件がHighに分類されています。

解決法

自動あるいは手動で更新を行ってください。

参考情報

Security NEXT

Thunderbird 115.10がリリース

影響を受ける製品: Thunderbird.
詳細: 詳細は不明ですが脆弱性をフィックスしています。
解決法: 自動更新機能あるいは手動でアップデートしてください。

Atlassian: Security Bulletin - April 16 2024

影響を受ける製品: Bamboo Data Center and Server. Confluence Data Center and Server. Jira Software Data Center and Server. Jira Service Management Data Center and Server.
詳細: 合わせて７件の脆弱性が公開されています。
解決法: 文書に従ってください。

Jenkins Security Advisory 2024-04-17

影響を受ける製品: Jenkins (core).
詳細: Terrapin攻撃の１件の脆弱性をフィックスしています。
解決法: 脆弱性を解決したJenkins weekly 2.452, Jenkins LTS 2.440.3が用意されています。入手しアップデートしてください。

2024/04/17

Oracle Critical Patch Update Advisory - April 2024

影響を受ける製品

JavaSE, Solaris, MySQLを含むOracle社の複数の製品。

詳細

複数のセキュリティフィックスが行なわれています。

解決法

ベンダーより入手し適用してください。JRE等は自動あるいは手動でアップデートしてください。

参考情報

Firefox 125, Firefox ESR 115.10がリリース

影響を受ける製品

Firefox.

詳細

Firefox 125は15件の脆弱性を、Firefox 115.10は９件の脆弱性をそれぞれフィックスしています。

解決法

自動更新機能あるいは手動でアップデートしてください。

参考情報

Security NEXT

Ivanti: Avalanche 6.4.3 Security Hardening and CVEs addressed

影響を受ける製品

Ivanti Avalanche mobile device management (MDM) solution.

詳細

27件の脆弱性をフィックスしています。

解決法

Avalanche 6.4.3が用意されています。入手しアップデートして下さい。

参考情報

BLEEPING COMPUTER

CVE-2024-31497: Secret Key Recovery of NIST P-521 Private Keys Through Biased ECDSA Nonces in PuTTY Client

影響を受ける製品

PuTTY 0.68 - 0.80. PuTTYを組み込んでいる製品も影響を受けます。

詳細

秘密鍵が復元可能な１件の脆弱性をフィックスしています。

解決法

PuTTY 0.81が用意されています。入手しアップデートして下さい。

参考情報

2024/04/15

株式会社バッファロー一部Wi-Fiルーター商品における複数の脆弱性とその対処方法(JVN#58236836)

影響を受ける製品

バッファロー社 WCR-1166DS, WSR-1166DHP, WSR-1166DHP2, WSR-2533DHP, WSR-2533DHPL, WSR-2533DHP2, WSR-A2533DHP2.

詳細

パスワードの平文保存の１件の脆弱性とOSコマンド挿入の１件の脆弱性が存在します。

解決法

文書の指示に従ってファームウェアのアップデートを行ってください。

参考情報

JVN#58236836

PHP 8.1.28, PHP 8.2.18, PHP 8.3.6がリリース

影響を受ける製品

PHP.

詳細

PHP 8.1.28, 8.2.18はコマンド挿入の１件の脆弱性と__Host-/__Secure-クッキーのバイパスの１件の脆弱性とアカウント乗っ取りの１件の脆弱性を、PHP 8.3.6は４毛の脆弱性をそれぞれそれぞれフィックスしています。

解決法

入手しアップデートしてください。バイナリパッケージを利用している場合は各OSベンダのアナウンスに注意してください。

参考情報

2024/04/12

Oracle Critical Patch Update Pre-Release Announcement - April 2024

影響を受ける製品: Oracle社の複数の製品。
詳細: 複数のセキュリティフィックスが行なわれる予定です。
解決法: 2024年 4月16日にリリースされる予定です。ベンダーからの情報に注意してください。

CTX633151 XenServer and Citrix Hypervisor Security Update for CVE-2023-46842, CVE-2024-2201 and CVE-2024-31142

影響を受ける製品

Citrix Hypervisor. Xen Server.

詳細

Intel CPUのSpectre v2攻撃の１件の脆弱性とAMD CPUのメモリ漏洩の１件の脆弱性とVMからホストへのDoS攻撃の１件の脆弱性をフィックスしています。

解決法

アップデートとHotfixが用意されています。文書の指示に従ってください。

参考情報

2024/04/11

Chrome 安定版 123.0.6312.122/.123 (Windows), 123.0.6312.122/.123/.124 (Mac), 123.0.6312.122 (Linux)がリリース

影響を受ける製品

Chrome.

詳細

境界外メモリアクセスの１件の脆弱性とヒープバッファオーバーフローの１件の脆弱性と解放後メモリ利用の１件の脆弱性をフィックスしています。３件ともHighに分類されています。

解決法

自動あるいは手動で更新を行ってください。

参考情報

Security NEXT

Node.js: Wednesday, April 10, 2024 Security Releases

影響を受ける製品

Node.js.

詳細

Windows向けシステムのchild_process.spawn / child_process.spawnSyncバッチファイルのコマンド挿入が可能な１件の脆弱性をフィックスしています。

解決法

Node v21.7.3 (Current), v20.12.2 (LTS), v18.20.2 (LTS)がリリースされました。バイナリパッケージを利用している場合は各OSベンダのアナウンスに注意してください。

参考情報

複数のZoom製品に脆弱性

影響を受ける製品

Zoom Desktop Client for Windows, macOS, Linux.

詳細

4月 9日にZoom Rooms Clientの３件のセキュリティアドバイザリが公開されています。Security Bulletinのページをご確認下さい。

解決法

自動あるいは手動で製品を更新してください。

参考情報

Security NEXT

Juniper Networksがセキュリティアドバイザリをリリース

影響を受ける製品

複数のJuniper Networks社製品。

詳細

4月10日に34件のセキュリティアドバイザリがリリースされています。３件がCritical, 10件がHighに分類されています。Security Advisoriesのページをご確認下さい。

解決法

文書の指示に従ってください。

参考情報

Palo Alto Networks: PAN-OSに複数の脆弱性

影響を受ける製品

Palo Alto Networks社PAN-OS.

詳細

８件の脆弱性をフィックスしています。４件がHighに分類されています。

解決法

脆弱性を解決したバージョンが用意されています。アップデートしてください。

参考情報

VUSec: INSPECTRE GADGET Inspecting the Residual Attack Surface of Cross-privilege Spectre v2

影響を受ける製品

Intelプロセッサで動作するLinux kernel.

詳細

Intelプロセッサで動作するLinux kernelにおいて新たなサイドチャネル攻撃の脆弱性が発見されました。権限の低いeBPFからカーネルメモリの読出が可能なことが明らかにされています。

解決法

各Linux OSベンダのアナウンスに注意して下さい。

参考情報

GitLab Patch Release: 16.10.2, 16.9.4, 16.8.6

影響を受ける製品

GitLab.

詳細

４件の脆弱性をフィックスしています。

解決法

入手しアップデートしてください。バイナリパッケージを利用している場合は各ベンダのアナウンスに注意してください。

参考情報

Security NEXT

2024/04/10

Adobe製品のセキュリティアップデートがリリース

影響を受ける製品

Adobe After Effects. Adobe Photoshop. Adobe Commerce. Adobe InDesign. Adobe Experience Manager. Adobe Media Encoder. Adobe Bridge. Adobe Illustrator.Adobe Animate.

詳細

Security Updates Available for Adobe After Effects | APSB24-09, Security update available for Adobe Photoshop | APSB24-16, Security update available for Adobe Commerce | APSB24-18, Security Update Available for Adobe InDesign | APSB24-20, Security updates available for Adobe Experience Manager | APSB24-21, Security Updates Available for Adobe Media Encoder | APSB24-23, Security Updates Available for Adobe Bridge | APSB24-24, Security Updates Available for Adobe Illustrator | APSB24-25, Security updates available for Adobe Animate | APSB24-26の９件のセキュリティアップデートが公開されています。

解決法

文書の指示に従って下さい。

参考情報

Fortinetがセキュリティアドバイザリをリリース

影響を受ける製品

複数のFortinet製品。

詳細

4月 9日に11件のセキュリティアドバイザリがリリースされています。１件がCriticalに、４件がHighに分類されています。PSIRT Advisoriesを確認してください。

解決法

文書の指示に従ってください。

参考情報

Rust: Security advisory for the standard library (CVE-2024-24576)

影響を受ける製品

Windows向けRust version 1.77.2以前のバージョン。

詳細

Rust標準ライブラリのCommand APIの不適切なエスケープ処理により任意のシェルコマンドを実行可能な１件の脆弱性が存在します。Criticalに判定されています。

解決法

Rust 1.77.2がリリースされています。文書の指示に従ってアップグレードして下さい。

参考情報

WordPress 6.5.2 Maintenance and Security Release

影響を受ける製品

Wordpress.

詳細

XSSの１件のリモート脆弱性をフィックスしています。

解決法

自動更新機能あるいは手動でアップデートを行ってください。

参考情報

Security NEXT

SAP Security Patch Day – April 2024

影響を受ける製品: SAP社の複数の製品。
詳細: 複数の脆弱性をフィックスしています。
解決法: 文書を確認してください。

a-blog cms: JVNで報告された脆弱性への対応について

影響を受ける製品

a-blog cms.

詳細

５件の脆弱性が存在します。

解決法

脆弱性を修正したフィックスバージョンがリリースされています。入手しアップデートして下さい。一部の脆弱性についてはワークアラウンドが用意されています。文書に従ってください。

参考情報

JVN#70977403

2024/04/09

OpenSSL Security Advisory [8th April 2024]

影響を受ける製品

OpenSSL 3.2, 3.1, 3.0, 1.1.1.

詳細

TLSv1.3のサーバ処理部のメモリ枯渇の１件の脆弱性をフィックスしています。

解決法

現状では脆弱性を解決するリリースは公開されません。OpenSSL 3.2.2, 3.1.6, 3.0.14, 1.1.1yにて解決される予定です。gitリポジトリでは脆弱性は解決されています。バイナリパッケージを利用している場合は、各ベンダのアナウンスに注意してください。

参考情報

2024/04/08

Apache httpd 2.4.59がリリース

影響を受ける製品

Apache 2.4系列。

詳細

HTTPレスポンス分割攻撃の１件のリモート脆弱性と複数のモジュールのHTTPレスポンス分割攻撃の１件のリモート脆弱性とHTTP/2のDoS攻撃の１件のリモート脆弱性をフィックスしています。

解決法

入手しインストールしてください。バイナリパッケージを利用している場合は各OSベンダのアナウンスに注意してください。

参考情報

Node.js: Tuesday, April 9, 2024 Security Releases

影響を受ける製品

Node.js.

詳細

２件の脆弱性をフィックスする予定です。

解決法

脆弱性を解決したリリースは4月9日にリリースされます。アナウンスに注意して下さい。バイナリパッケージを利用している場合は各OSベンダのアナウンスに注意してください。

参考情報

Security NEXT

Node.js: Wednesday, April 3, 2024 Security Releases

影響を受ける製品

Node.js.

詳細

HTTP/2のDoS攻撃の１件のリモート脆弱性とHTTPリクエストスマグリング攻撃の１件のリモート脆弱性をフィックスしています。

解決法

Node v21.7.2 (Current), v20.12.1 (LTS), v18.20.1 (LTS)がリリースされました。バイナリパッケージを利用している場合は各OSベンダのアナウンスに注意してください。

参考情報

Security NEXT

[security] Go 1.22.2 and Go 1.21.9 are released

影響を受ける製品: Go言語。
詳細: HTTP/2のDoS攻撃が可能な１件のリモート脆弱性をフィックスしています。
解決法: 文書の指示に従ってください。バイナリパッケージを利用している場合は各OSベンダのアナウンスに注意してください。

Aterm製品におけるLAN側からの不正アクセスの脆弱性への対処方法について［2024年4月5日更新］

影響を受ける製品

NEC Aterm CR2500P, MR01LN, MR02LN, W300P, W1200EX(-MS), WF300HP, WF300HP2, WF800HP, WF1200HP, WF1200HP2, WG300HP, WG600HP, WG1200HP, WG1200HP2, WG1200HP3, WG1200HS, WG1200HS2, WG1200HS3, WG1400HP, WG1800HP, WG1800HP2, WG1800HP3, WG1800HP4, WG1810HP(JE), WG1810HP(MF), WG1900HP, WG1900HP2, WG2200HP, WM3400RN, WM3450RN, WM3500R, WM3600R, WM3800R, WR1200H, WR4100N, WR4500N, WR6600H, WR6650S, WR6670S, WR7800H, WR7850S, WR7870S, WR8100N, WR8150N, WR8160N, WR8165N, WR8166N, WR8170N, WR8175N, WR8200N, WR8300N, WR8370N, WR8400N, WR8500N, WR8600N, WR8700N, WR8750N, WR9300N, WR9500N.

詳細

合わせて12件の脆弱性が存在します。

解決法

文書に従ってアップデート及び緩和策を実行して下さい。一部製品はサポートが終了します。利用を停止して下さい。

参考情報