JPCERT コーディネーションセンター

Weekly Report 2024-10-09号

JPCERT-WR-2024-1009
JPCERT/CC
2024-10-09

<<< JPCERT/CC WEEKLY REPORT 2024-10-09 >>>

■09/29(日)〜10/05(土) のセキュリティ関連情報

目 次

【1】複数のCisco製品に脆弱性

【2】複数のMozilla製品に脆弱性

【3】CUPSに複数の脆弱性

【4】Google Chromeに複数の脆弱性

【5】Apache TomcatにTLSハンドシェイク処理の不備

【6】複数のセイコーエプソン製品のWeb Configに初期パスワードに関する脆弱性

【7】RevoWorksクラウドに意図しないプロセス実行が可能となる脆弱性

【8】IoT製品に対するセキュリティ要件適合評価・ラベリング制度が2025年3月から開始

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のCisco製品に脆弱性

情報源

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndfc-cmdinj-UvYZrKfr

概要

Ciscoは同社製品における脆弱性に関するアドバイザリを計14件(Critical 1件、High 3件、Medium 10件)公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。

関連文書

https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【2】複数のMozilla製品に脆弱性

情報源

https://www.mozilla.org/en-US/security/advisories/mfsa2024-46/

概要

複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。

関連文書

https://www.mozilla.org/en-US/security/advisories/mfsa2024-47/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-48/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-49/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-50/

【3】CUPSに複数の脆弱性

情報源

https://jvn.jp/vu/JVNVU91741031/

概要

インターネット印刷プロトコル(IPP)の実装であるCUPSを採用している印刷システムには複数の脆弱性があり、システム上で任意のコードあるいはコマンドが実行される可能性があります。この問題は、CUPSにおいてcups-browsedによるブラウジングサービスを無効化することで回避可能です。修正版CUPSパッケージは、各Linuxディストリビューターの提供する情報を確認してください。

関連文書

https://github.com/OpenPrinting/cups-browsed/security/advisories/GHSA-rj88-6mr5-rcw8

https://github.com/OpenPrinting/libcupsfilters/security/advisories/GHSA-w63j-6g73-wmg5

https://github.com/OpenPrinting/libppd/security/advisories/GHSA-7xfx-47qg-grp6

https://github.com/OpenPrinting/cups-filters/security/advisories/GHSA-p9rh-jxmq-gq47

https://github.com/advisories/GHSA-phc2-g348-384g

【4】Google Chromeに複数の脆弱性

情報源

https://chromereleases.googleblog.com/2024/10/stable-channel-update-for-desktop.html

概要

Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】Apache TomcatにTLSハンドシェイク処理の不備

情報源

https://jvn.jp/jp/JVN72148744/

概要

Apache Tomcatにはサービス運用妨害(DoS)の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書

https://lists.apache.org/thread/wms60cvbsz3fpbz9psxtfx8r41jl6d4s

【6】複数のセイコーエプソン製品のWeb Configに初期パスワードに関する脆弱性

情報源

https://jvn.jp/vu/JVNVU95133448/

概要

セイコーエプソンが提供する製品に導入されているWeb Configには、初期状態では管理者パスワードが設定されていない脆弱性があります。この問題は、当該製品に管理者パスワードを設定することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書

https://www.epson.jp/support/misc_t/240930_03_oshirase.htm

https://www.epson.jp/support/misc/cautions_for_connection.htm

【7】RevoWorksクラウドに意図しないプロセス実行が可能となる脆弱性

情報源

https://jvn.jp/jp/JVN39280069/

概要

ジェイズ・コミュニケーション株式会社が提供するRevoWorksクラウドには、意図しないプロセス実行が可能となる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書

https://jscom.jp/news-20240918/

【8】IoT製品に対するセキュリティ要件適合評価・ラベリング制度が2025年3月から開始

情報源

https://www.ipa.go.jp/pressrelease/2024/press20240930.html

概要

独立行政法人情報処理推進機構(IPA)は、IoT製品に対するセキュリティ適合性評価制度となる「セキュリティ要件適合評価およびラベリング制度(JC-STAR)」の運用を2025年3月から開始します。IPAでは、本制度の説明会を11月頃に予定しています。また、具体的な申請方法や申請料、適合基準について紹介するガイド等をIPA公式Webサイトで公開予定とのことです。

■JPCERT/CCからのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter