<<< JPCERT/CC WEEKLY REPORT 2024-06-26 >>>
■06/16(日)〜06/22(土) のセキュリティ関連情報
目 次
【1】LINE client for iOSにユニバーサルクロスサイトスクリプティングの脆弱性
【2】IPAが「VMware 製品の脆弱性対策について(CVE-2024-37079 等) 」を公開
【3】複数のトレンドマイクロ製品に複数の脆弱性
【4】WordPress用プラグインSiteGuard WP Pluginに変更したログインパスが漏えいする脆弱性
【5】ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性
【6】IPAが「TLS暗号設定ガイドライン 安全なウェブサイトのために(暗号設定対策編)」を改訂
【7】JPCERT/CC および IPA が「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】LINE client for iOSにユニバーサルクロスサイトスクリプティングの脆弱性
情報源
概要
LINE client for iOSのアプリ内ブラウザーには、ユニバーサルクロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://line.github.io/security-advisory-blog/CVE-2024-5739/
【2】IPAが「VMware 製品の脆弱性対策について(CVE-2024-37079 等) 」を公開
情報源
https://www.ipa.go.jp/security/security-alert/2024/alert20240619.html
概要
2024年6月19日、独立行政法人情報処理推進機構(IPA)は「VMware 製品の脆弱性対策について(CVE-2024-37079 等)」を公開しました。IPAによると、本脆弱性を悪用された場合、任意のコードを実行されたり、root権限に昇格される可能性があるとのことです。IPAは、修正プログラムの適用を推奨しています。
関連文書
https://core.vmware.com/resource/vmsa-2024-0012-questions-answers
【3】複数のトレンドマイクロ製品に複数の脆弱性
情報源
概要
複数のトレンドマイクロ製品には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://success.trendmicro.com/dcx/s/solution/000298098?language=ja
https://success.trendmicro.com/dcx/s/solution/000298149?language=ja
https://success.trendmicro.com/dcx/s/solution/000298154?language=ja
【4】WordPress用プラグインSiteGuard WP Pluginに変更したログインパスが漏えいする脆弱性
情報源
概要
EGセキュアソリューションズが提供するWordPress用プラグインSiteGuard WP Pluginには、変更したログインパスへのアクセスが、 他のページからのリダイレクトにより可能になる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.jp-secure.com/siteguard_wp_plugin/vuls/WPV2024001.html
【5】ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性
情報源
概要
エフサステクノロジーズ株式会社が提供するID リンク・マネージャーおよびFUJITSU Software TIME CREATORには、複数の脆弱性があります。この問題は、当該製品にセキュリティパッチを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fujitsu.com/jp/group/fsas/about/resources/security/2024/0617.html
【6】IPAが「TLS暗号設定ガイドライン 安全なウェブサイトのために(暗号設定対策編)」を改訂
情報源
https://www.ipa.go.jp/security/crypto/guideline/ssl_crypt_config.html
概要
2024年6月21日、独立行政法人情報処理推進機構(IPA)は「TLS暗号設定ガイドライン 安全なウェブサイトのために(暗号設定対策編)」を改訂しました。TLSサーバーの構築者や運営者向けのガイドラインで、CRYPTREC暗号リストを更新するなどの改訂が行われています。チェックリストや設定例なども更新されています。
関連文書
https://www.ipa.go.jp/security/crypto/guideline/gmcbt80000005ufv-att/ipa-cryptrec-gl-3001-3.1.0.pdf
【7】JPCERT/CC および IPA が「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂
情報源
https://www.ipa.go.jp/security/guide/vuln/partnership_guide.html
概要
2024年6月18日、JPCERT/CC と独立行政法人情報処理推進機構(IPA)は「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂しました。悪用を示す情報に関する取り扱いや検証ができない脆弱性等の取り扱いの整理、優先情報提供に関する取り扱いの規定改正の反映などを行っています。
関連文書
https://www.ipa.go.jp/security/guide/vuln/ug65p90000019by0-att/partnership_guideline.pdf
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/