Keras 2.13より前のバージョンで作成されたTensorFlowベースのKerasモデルには、モデルに含まれるLambdaレイヤの安全性を確認できない問題があります。この問題は、バージョン 2.13以上のKeras 2またはKeras 3を利用し、モデルをロードする際はsafe_modeをTrueに設定することで解決します。詳細は、CERT/CCが提供する情報を参照してください。

【2】LINEヤフー社製Armeria-samlにおけるSAMLメッセージ取り扱い不備

情報源

https://jvn.jp/vu/JVNVU91216202/

概要

LINEヤフー株式会社が提供するArmeria-samlには、SAMLメッセージの取り扱いに不備があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】LINE client for iOSにおけるサーバ証明書の検証不備の脆弱性

情報源

https://jvn.jp/vu/JVNVU91696361/

概要

LINE client for iOSに組み込まれている金融系モジュールには、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】2024年4月Oracle Critical Patch Updateについて

情報源

https://www.cisa.gov/news-events/alerts/2024/04/18/oracle-releases-critical-patch-update-advisory-april-2024

概要

Oracleから、複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公表されました。詳細は、Oracleが提供する情報を参照してください。

【5】PuTTY SSHクライアントのECDSA署名処理に脆弱性

情報源

https://jvn.jp/vu/JVNVU91264077/

概要

PuTTY SSHクライアントには、ECDSA署名処理の実装に脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。また、NIST P521秘密鍵を使用している場合は、鍵対の更新も必要になります。詳細は、ベンダーが提供する情報を参照してください。

【6】WordPress用プラグインForminatorにおける複数の脆弱性

情報源

https://jvn.jp/jp/JVN50132400/

概要

WPMU DEVが提供するWordPress用プラグインForminatorには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【7】Proscend Communications製M330-WおよびM330-W5におけるOSコマンドインジェクションの脆弱性

情報源

https://jvn.jp/jp/JVN23835228/

概要

Proscend Communications Inc.が提供するM330-WおよびM330-W5には、脆弱性があります。この問題は、修正済みのファームウェアに更新することで解決します。

【8】バッファロー製無線LANルーターに複数の脆弱性

情報源

https://jvn.jp/jp/JVN58236836/

概要

株式会社バッファローが提供する無線LANルーターの複数のモデルには、脆弱性があります。対象となる製品は、多岐にわたります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【9】経済産業省が「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」および「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊：スマート化を進める上でのポイント】」の英訳版を公表

情報源

https://www.meti.go.jp/policy/netsecurity/wg1/factorysystems_guideline.html

概要

2024年4月17日、経済産業省は「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインVer 1.0」および「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊：スマート化を進める上でのポイント】」の英訳版を公表しました。本ガイドラインでは、工場システムのセキュリティ対策を実施する上で参照すべき考え方やステップを手引きとして示し 、必要最小限と考えられる対策事項として脅威に対する技術的な対策から運用・管理面の対策までを明記しています。

【10】IPAが「アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について Adobe ColdFusion の脆弱性（CVE-2023-29300）を狙う攻撃」に関する注意喚起を公表

情報源

https://www.ipa.go.jp/security/security-alert/2024/alert_orb.html

概要

2024年4月18日、独立行政法人情報処理推進機構（IPA）は、「アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について Adobe ColdFusion の脆弱性（CVE-2023-29300）を狙う攻撃」と題して注意喚起を公表しました。IPAによると、本脆弱性を悪用した攻撃による被害を確認しており、国内の複数組織においてwebshellが設置されていたとのことです。IPAは、当該製品を修正済みバージョンに更新することや、通信ログなどからの攻撃の被害を確認することを推奨しています。

【11】CISAが「Deploying AI Systems Securely」を公表

情報源

https://www.cisa.gov/news-events/alerts/2024/04/15/joint-guidance-deploying-ai-systems-securely

概要

2024年4月15日、CISAが「Deploying AI Systems Securely」と題してガイダンスを公表しました。本ガイダンスは、外部で開発された人工知能（AI）システムを導入および運用するためのベストプラクティスを取りまとめたものです。

■JPCERT/CCからのお願い

本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2024-04-24号

<<< JPCERT/CC WEEKLY REPORT 2024-04-24 >>>

■04/14(日)〜04/20(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書

情報源

概要

関連文書

情報源

概要

関連文書

情報源

概要

関連文書

情報源

概要

関連文書

情報源

概要

関連文書

情報源

概要

関連文書

情報源

概要

関連文書

情報源

概要

情報源

概要

関連文書

情報源

概要

■JPCERT/CCからのお願い

目　次