SECURITY NEWS (2025/02)

このページにて緊急対応が必要なセキュリティ情報を提供します。
提供する情報は、Windows, UNIX, Macおよび主要なアプリケーションに関するものです。

総合

　CISA, JPCERT/CC, IPAからの注意喚起など。

2025/02/05

JPCERT/CC WEEKLY REPORT 2025-02-05

【1】ISC BIND 9に複数の脆弱性
【2】Google Chromeに複数の脆弱性
【3】キヤノン製スモールオフィス向け複合機およびレーザービームプリンターにおける複数の脆弱性
【4】WordPress用プラグインSimple Image Sizesにクロスサイトスクリプティングの脆弱性
【5】複数のApple製品に脆弱性
【6】IPA が「情報セキュリティ10大脅威 2025」を公表
【7】JSSECが『Android アプリのセキュア設計・セキュアコーディングガイド』2025年1月29日版を公開
【8】フィッシング対策協議会が「送信ドメイン認証技術「DMARC」の導入状況と必要性について」を公開

CISA Releases Nine Industrial Control Systems Advisories

CISA発表のICSの９件のセキュリティアドバイザリ公開の広報です。

CISA Adds Four Known Exploited Vulnerabilities to Catalog

CISAが４件の悪用された脆弱性をKnown Exploited Vulnerabilities Catalogに追加したことに関する広報です。
参考情報

Security NEXT

CISA Partners with ASD’s ACSC, CCCS, NCSC-UK, and Other International and US Organizations to Release Guidance on Edge Devices

CISA及び国際パートナー共同発表のGuidance and Strategies to Protect Network Edge Devices公開の広報です。
参考情報

BLEEPING COMPUTER

2025/02/04

SB25-034 Vulnerability Summary for the Week of January 27, 2025: CISA発表の脆弱性情報のサマリです( 1月27日の週)。

Microsoft

　Microsoft製品に関する情報。

2025/02/03

Microsoft Edge Stable Channel (Version 132.0.2957.140)がリリース

影響を受ける製品

Microsoft Edge.

詳細

Chromium projectの最新のアップデートを反映したリリースです。

解決法

自動的に更新されます。自動的に更新されない場合は手動で更新を行なってください。

参考情報

Security NEXT

UNIX

　UNIX系OSおよびUNIX上で動作するアプリケーションに関する情報。
　扱うOS: HP-UX, Red Hat Enterprise Linux （標準のみ）, Ubuntu, Debian, Slackware, FreeBSD, NetBSD, OpenBSD.

2025/02/05

Red Hat Enterprise Linuxのmariadb:10.11, galera, mariadb, keepalived, podman, buildah, bzip2, mingw-glib2のセキュリティフィックス

影響を受ける製品: Red Hat Enterprise Linux for x86_64 9 x86_64, Red Hat Enterprise Linux for IBM z Systems 9 s390x, Red Hat Enterprise Linux for Power, little endian 9 ppc64le, Red Hat Enterprise Linux for ARM 64 9 aarch64 (mariadb:10.11, galera, mariadb, keepalived, podman, buildah, bzip2). Red Hat CodeReady Linux Builder for x86_64 9 x86_64 (galera, mariadb, mingw-glib2). Red Hat CodeReady Linux Builder for Power, little endian 9 ppc64le, Red Hat CodeReady Linux Builder for ARM 64 9 aarch64, Red Hat CodeReady Linux Builder for IBM z Systems 9 s390x (galera, mariadb).
詳細: mariadb:10.11はmysqldumpの影響が不明の１件の脆弱性を、galera, mariadbはInnoDBの影響が不明の１件の脆弱性とmysqldumpの影響が不明の１件の脆弱性を、keepalivedは整数桁溢れの１件の脆弱性を、podman, buildahはコンテナ脱出の１件の脆弱性を、bzip2は境界外メモリ書込の１件の脆弱性を、mingw-glib2はバッファオーバーフローの１件の脆弱性をそれぞれフィックスしています。
解決法: 文書に従って更新を行ってください。

Ubuntu Linuxのopencv, libndp, libvpx, Linux kernel (Azure), Linux kernel (Low Latency)のセキュリティフィックス

影響を受ける製品: Ubuntu 24.10 (Linux kernel (Low Latency)). Ubuntu 22.04 LTS (opencv). Ubuntu 20.04 LTS (Linux kernel (Azure)). Ubuntu 18.04 ESM (opencv, libndp, libvpx, Linux kernel (Azure)). Ubuntu 16.04 ESM (libndp, libvpx). Ubuntu 14.04 ESM (libvpx).
詳細: opencvは５件の脆弱性を、libndpはバッファオーバーフローの１件のローカル脆弱性を、libvpxは整数桁溢れの１件の脆弱性を、Linux kernel (Azure)は５件の脆弱性を、Linux kernel (Low Latency)はschedのqlenの調整の不適切な順番の１件の脆弱性とhv_sockのポインタの不適切な初期化の１件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Slackware Linuxのmozilla-firefoxのセキュリティフィックス

影響を受ける製品: 15.0, -current.
詳細: ９件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

2025/02/04

Ubuntu Linuxのnetdata, harfbuzz, Linux kernel (Azure)のセキュリティフィックス

影響を受ける製品: Ubuntu 24.10, 18.04 ESM (netdata). Ubuntu 22.04 LTS, 20.04 LTS (netdata, harfbuzz). Ubuntu 16.04 ESM (Linux kernel (Azure)).
詳細: netdataは７件の脆弱性を、harfbuzzはリソース浪費の１件の脆弱性を、Linux kernel (Azure)は15件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Debian GNU/Linuxのopenjdk-17のセキュリティフィックス

影響を受ける製品: stable (bookworm).
詳細: 情報漏洩の１件の脆弱性をフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップグレードを行なってください。

2025/02/03

Ubuntu Linuxのvlc, jinja2, tomcat6, mysql-8.0, jquery, Linux kernel (Azure) (USN-7233-2), Linux kernel (HWE), Linux kernel (Azure) (USN-7235-2), Linux kernel (Oracle)のセキュリティフィックス

影響を受ける製品: Ubuntu 24.10 (jinja2, mysql-8.0, Linux kernel (Oracle)). Ubuntu 24.04 LTS, 22.04 LTS (vlc, jinja2, mysql-8.0). Ubuntu 20.04 LTS (vlc, jinja2, mysql-8.0, jquery, Linux kernel (Azure) (USN-7235-2)). Ubuntu 18.04 ESM (vlc, jinja2, Linux kernel (Azure) (USN-7233-2), Linux kernel (HWE)). Ubuntu 16.04 ESM (vlc). Ubuntu 14.04 ESM (tomcat6, Linux kernel (Azure) (USN-7233-2)).
詳細: vlcは整数桁溢れの１件の脆弱性を、jinja2は任意のPythonコードを実行可能な２件の脆弱性を、tomcat6はRCEの１件のリモート脆弱性を、mysql-8.0は15件の脆弱性を、jqueryは信頼できないコードを実行可能な２件の脆弱性を、Linux kernel (Azure) (USN-7233-2)は15件の脆弱性を、Linux kernel (HWE)は５件の脆弱性を、Linux kernel (Azure) (USN-7235-2)はnet: schedのqlenの調整の不適切な順番の１件の脆弱性とhv_sockのポインタの不適切な初期化の１件の脆弱性とnetfilter: ipsetの範囲チェック漏れの１件の脆弱性を、Linux kernel (Oracle)はqlenの調整の不適切な順番の１件の脆弱性とhv_sockのポインタの不適切な初期化の１件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新エージェントを用いるか手動でアップデートを行なってください。

Apple

　Macおよびこれに関連するアプリケーションに関する情報(iPhone/iPadを除く）。

Applications

　各種アプリケーションに関する情報。
　扱う主なアプリケーション: apache, openssh, openssl, BINDなど。ネットワーク機器・アプライアンス等もここに分類します。

2025/02/05

Chrome 安定版 133.0.6943.53/54 (Windows, Mac), 133.0.6943.53 (Linux)がリリース

影響を受ける製品

Chrome.

詳細

12件の脆弱性をフィックスしています。２件がHighに分類されています。

解決法

自動あるいは手動で更新を行ってください。

参考情報

Security NEXT

Firefox 135, Firefox ESR 128.7, Firefox ESR 115.20, Thunderbird 135.0, Thunderbird 128.7.0esrがリリース

影響を受ける製品: Firefox.
詳細: Firefox 135は11件の脆弱性を、Firefox ESR 128.7は９件の脆弱性を、Firefox ESR 115.20は４件の脆弱性を、Thunderbird 135.0は13件の脆弱性を、Thunderbird 128.7.0esrは11件の脆弱性をそれぞれフィックスしています。
解決法: 自動更新機能あるいは手動でアップデートしてください。

HPESBNW04784 rev.1 - HPE Aruba Networking ClearPass Policy Manager (CPPM) Multiple Vulnerabilities

影響を受ける製品: HPE Aruba Networking ClearPass Policy Manager 6.12.x: 6.12.3及びこれ以前バージョン, 6.11.x: 6.11.9及びこれ以前バージョン。
詳細: ５件の脆弱性をフィックスしています。
解決法: 脆弱性を解決したバージョンが用意されています。文書を確認して下さい。

Veeam Support Knowledge Base CVE-2025-23114

影響を受ける製品

Veeam Backup for Salesforce. Veeam Backup for Nutanix AHV. Veeam Backup for AWS. Veeam Backup for Microsoft Azure. Veeam Backup for Google Cloud. Veeam Backup for Oracle Linux Virtualization Manager and Red Hat Virtualization.

詳細

Veeam Updaterコンポーネントの中間者攻撃が可能な１件のリモート脆弱性をフィックスしています。Criticalに分類されています。

解決法

脆弱性を解決したバージョンが用意されています。文書に従って下さい。

参考情報