JPCERT コーディネーションセンター

Weekly Report 2024-02-07号

JPCERT-WR-2024-0207
JPCERT/CC
2024-02-07

<<< JPCERT/CC WEEKLY REPORT 2024-02-07 >>>

■01/28(日)〜02/03(土) のセキュリティ関連情報

目 次

【1】HOME SPOT CUBE2に複数のバッファオーバーフローの脆弱性

【2】トレンドマイクロ製Airサポートに不適切なアクセス権の割り当ての脆弱性

【3】Group Officeにクロスサイトスクリプティングの脆弱性

【4】ペイメントEXに情報漏えいの脆弱性

【5】Docker関連コンポーネントに複数の脆弱性

【6】シャープ製クラウド連携エネルギーコントローラ(機器連携コントローラ)に複数の脆弱性

【7】複数のJuniper Networks製品に脆弱性

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】HOME SPOT CUBE2に複数のバッファオーバーフローの脆弱性

情報源

https://jvn.jp/vu/JVNVU93740658/

概要

KDDI株式会社が提供するHOME SPOT CUBE2には、複数のバッファオーバーフローの脆弱性があります。当該製品はサポートを終了しており修正アップデートは提供されません。詳細は開発者が提供する情報を参照してください。

関連文書

https://www.au.com/support/service/mobile/guide/wlan/home_spot_cube_2/

【2】トレンドマイクロ製Airサポートに不適切なアクセス権の割り当ての脆弱性

情報源

https://jvn.jp/vu/JVNVU99844997/

概要

トレンドマイクロ株式会社が提供するAirサポートには、不適切なアクセス権の割り当ての脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

関連文書

https://helpcenter.trendmicro.com/ja-jp/article/tmka-12132

【3】Group Officeにクロスサイトスクリプティングの脆弱性

情報源

https://jvn.jp/jp/JVN63567545/

概要

Intermesh BVが提供するGroup Officeには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

関連文書

https://www.group-office.com/

【4】ペイメントEXに情報漏えいの脆弱性

情報源

https://jvn.jp/jp/JVN41129639/

概要

シンプルサイトが提供するペイメントEXには、情報漏えいの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

【5】Docker関連コンポーネントに複数の脆弱性

情報源

https://www.cisa.gov/news-events/alerts/2024/02/01/moby-and-open-container-initiative-release-critical-updates-multiple-vulnerabilities-affecting

概要

Docker関連コンポーネントであるMoby BuildKitやOCI runcには、脆弱性があります。この問題は、当該コンポーネントを修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

関連文書

https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv

https://github.com/moby/buildkit/security/advisories/GHSA-m3r6-h7wv-7xxv

https://github.com/moby/buildkit/security/advisories/GHSA-4v98-7qmw-rqr8

https://github.com/moby/buildkit/security/advisories/GHSA-wr6v-9f75-vh2g

https://snyk.io/blog/leaky-vessels-docker-runc-container-breakout-vulnerabilities/

【6】シャープ製クラウド連携エネルギーコントローラ(機器連携コントローラ)に複数の脆弱性

情報源

https://jvn.jp/vu/JVNVU94591337/

概要

シャープ株式会社が提供するクラウド連携エネルギーコントローラ(機器連携コントローラ)には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

関連文書

https://jp.sharp/support/taiyo/info/JVNVU94591337_jp.pdf

【7】複数のJuniper Networks製品に脆弱性

情報源

https://www.cisa.gov/news-events/alerts/2024/01/29/juniper-networks-releases-security-bulletin-j-web-junos-os-srx-series-and-ex-series

概要

Juniper NetworksのSRXシリーズおよびEXシリーズにおけるJunos OSのJ-Webコンポーネントには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

関連文書

https://supportportal.juniper.net/s/article/2024-01-Out-of-Cycle-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Multiple-vulnerabilities-in-J-Web-have-been-addressed?language=en_US

■JPCERT/CCからのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter