JPCERT-WR-2024-0807
JPCERT/CC
2024-08-07
<<< JPCERT/CC WEEKLY REPORT 2024-08-07 >>>
■07/28(日)〜08/03(土) のセキュリティ関連情報
目 次
【1】マルチテナント型のメールリレーサービスに複数の脆弱性
【2】複数のApple製品に脆弱性
【3】エレコム製無線LANルーターに複数の脆弱性
【4】EC-CUBE 4系用プラグイン「EC-CUBE Web API プラグイン」に格納型クロスサイトスクリプティングの脆弱性
【5】EC-CUBE 4系にプラグインインストール時の入力値チェックの不備
【6】FFRI AMCにOSコマンドインジェクションの脆弱性
【7】SKYSEA Client Viewに複数の脆弱性
【8】SDoPにスタックベースのバッファオーバーフローの脆弱性
【9】IPAが「セキュリティ・バイ・デザイン「システム開発のセキュリティ向上0.0」」を公開
【10】IPAがインシデント演習およびIoT/DXのセキュリティ対策に関する2つの啓発コンテンツを公開
【11】DigiCertが発行した一部の証明書にドメイン検証不備があり失効を要することを公表
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】マルチテナント型のメールリレーサービスに複数の脆弱性
情報源
概要
米CERT/CCは、メール配信のホスティングサービスをマルチテナント型で提供する複数のサービスに、送信ドメイン認証技術が回避され、なりすましメールが送信可能となる脆弱性の情報を公表しました。この問題について、ホスティングプロバイダー向け、ドメイン所有者向け、メール送信者向けにそれぞれワークアラウンドが提供されています。詳細は、米CERT/CCが提供する情報を参照してください。
【2】複数のApple製品に脆弱性
情報源
https://www.cisa.gov/news-events/alerts/2024/07/30/apple-releases-security-updates-multiple-products
概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
【3】エレコム製無線LANルーターに複数の脆弱性
情報源
概要
エレコム株式会社が提供する複数の無線LANルーターには、複数の脆弱性が存在します。想定される影響は各脆弱性により異なります。この問題は、当該製品を修正済みのファームウェアにアップデートすることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
【4】EC-CUBE 4系用プラグイン「EC-CUBE Web API プラグイン」に格納型クロスサイトスクリプティングの脆弱性
情報源
概要
株式会社イーシーキューブが提供する EC-CUBE 4系用プラグイン「EC-CUBE Web API プラグイン」のOAuth管理機能には、格納型クロスサイトスクリプティングの脆弱性があります。この問題は、当該プラグインを最新版へアップデートすることで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.ec-cube.net/info/weakness/20240701/web_api_plugin.php
【5】EC-CUBE 4系にプラグインインストール時の入力値チェックの不備
情報源
概要
株式会社イーシーキューブが提供するEC-CUBE 4系には、プラグインインストール時の入力値チェックに不備があります。この問題は、当該製品に修正パッチを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
【6】FFRI AMCにOSコマンドインジェクションの脆弱性
情報源
概要
株式会社FFRIセキュリティが提供するFFRI AMCおよびOEM製品には、OSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、各製品の提供元による情報を参照してください。
関連文書
https://www.ffri.jp/assets/files/other_docs/20240729.pdf
【7】SKYSEA Client Viewに複数の脆弱性
情報源
概要
Sky株式会社が提供するSKYSEA Client Viewには、複数の脆弱性が存在します。想定される影響は各脆弱性により異なります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
【8】SDoPにスタックベースのバッファオーバーフローの脆弱性
情報源
概要
SDoPには、入力データの取り扱い不備に起因するスタックベースのバッファオーバーフローの脆弱性が存在します。この問題は、修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://github.com/PhilipHazel/SDoP/commit/ff83d851b4b39ff2fd37ab2ab14365649515b023
【9】IPAが「セキュリティ・バイ・デザイン「システム開発のセキュリティ向上0.0」」を公開
情報源
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/security-by-design.html
概要
IPAは、「セキュリティ・バイ・デザイン「システム開発のセキュリティ向上0.0」」を公開しました。組織内の開発チームが、「開発初期」からセキュリティを考慮する事を、セキュリティ・バイ・デザインのポイントと捉え、開発初学者に提供する教育ドキュメントとして作成したとのことです。
【10】IPAがインシデント演習およびIoT/DXのセキュリティ対策に関する2つの啓発コンテンツを公開
情報源
概要
IPAは、インシデント演習およびIoT/DXのセキュリティ対策に関する2つの啓発コンテンツを公開しました。IPAによると、インシデント対応における情報連携にフォーカスしたカードゲームは、自社組織内の情報連携やコミュニケーションの課題を洗い出すために作成したとのことです。また、IoTやDXに関するサイバー被害と対策を学ぶカードゲームは、IoTやDXに関して発生しうるサイバー被害から原因や対策を考えられる能力を身に付けるために作成したとされています。
【11】DigiCertが発行した一部の証明書にドメイン検証不備があり失効を要することを公表
情報源
https://www.cisa.gov/news-events/alerts/2024/07/30/digicert-certificate-revocations
概要
DigiCertはCNAMEベースのドメイン検証の不備により、一部の証明書を失効させる必要があると公表しました。影響を受ける組織には、DigiCertから個別に通知が行われています。DigiCertは、影響を受けた証明書の再発行を推奨しています。詳細は、DigiCertが提供する情報を参照してください。
関連文書
https://www.digicert.com/support/certificate-revocation-incident
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/
