JPCERT-WR-2025-0219
JPCERT/CC
2025-02-19
<<< JPCERT/CC WEEKLY REPORT 2025-02-19 >>>
■02/09(日)〜02/15(土) のセキュリティ関連情報
目 次
【1】PostgreSQLに脆弱性
【2】NEC Atermシリーズに複数の脆弱性
【3】Centeミドルウェアに境界外読み取りの脆弱性
【4】OpenSSLにRFC7250ハンドシェイクによる認証の失敗を検知できない問題
【5】ファイルめがねに複数の脆弱性
【6】複数のPalo Alto Networks製品に脆弱性
【7】Google Chromeに複数の脆弱性
【8】複数のアドビ製品に脆弱性
【9】複数のIntel製品に脆弱性
【10】acmailer CGIおよびacmailer DBに脆弱性
【11】複数のApple製品に脆弱性
【12】JPCERT/CCが「Ivanti Connect Secureの脆弱性を利用して設置されたマルウェアSPAWNCHIMERA」に関するブログを公開
【13】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】PostgreSQLに脆弱性
情報源
https://www.postgresql.org/about/news/postgresql-173-167-1511-1416-and-1319-released-3015/
概要
PostgreSQLには、引用符の不適切な無害化の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
【2】NEC Atermシリーズに複数の脆弱性
情報源
概要
日本電気株式会社が提供するAtermシリーズには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新したり回避策を適用したりすることで解決します。なお、一部製品はすでにサポートが終了しており、開発者は後続製品への乗り換えなどの検討を推奨しています。詳細は、開発者が提供する情報を参照してください。
関連文書
【3】Centeミドルウェアに境界外読み取りの脆弱性
情報源
概要
DMG MORI Digital株式会社が開発し、NXTech株式会社が提供するCenteミドルウェアTCP/IPネットワークシリーズの一部製品には、境界外読み取りの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
【4】OpenSSLにRFC7250ハンドシェイクによる認証の失敗を検知できない問題
情報源
概要
OpenSSLには、RFC7250で定義されたRaw Public Key(RPK)を用いてサーバー認証を行う際に、認証の失敗をクライアント側で検知できない脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
【5】ファイルめがねに複数の脆弱性
情報源
概要
ジップインフォブリッジ株式会社が提供するファイルめがねには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.info-brdg.co.jp/support/report/megane/sec20250201.html
【6】複数のPalo Alto Networks製品に脆弱性
情報源
概要
複数のPalo Alto Networks製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新するか、緩和策などを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
【7】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/02/stable-channel-update-for-desktop_12.html
概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【8】複数のアドビ製品に脆弱性
情報源
https://helpx.adobe.com/security/products/magento/apsb25-08.html
概要
複数のアドビ製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
【9】複数のIntel製品に脆弱性
情報源
概要
複数のIntel製品には、脆弱性があります。対象となる製品およびバージョンは多岐にわたります。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.intel.com/content/www/us/en/security-center/default.html
【10】acmailer CGIおよびacmailer DBに脆弱性
情報源
概要
エクストライノベーション株式会社が提供するacmailer CGIおよびacmailer DBには、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
【11】複数のApple製品に脆弱性
情報源
概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。Appleは脆弱性を悪用された可能性があるという報告を確認しているとのことです。詳細は、開発者が提供する情報を参照してください。
関連文書
【12】JPCERT/CCが「Ivanti Connect Secureの脆弱性を利用して設置されたマルウェアSPAWNCHIMERA」に関するブログを公開
情報源
概要
JPCERT/CCが対応したインシデントの中で、Ivanti Connect Secureの脆弱性(CVE-2025-0282)悪用後に感染するマルウェアSPAWNファミリーのアップデートを確認しました。JPCERT/CCが公開した本記事では、アップデートされたSPAWN(SPAWNCHIMERA)について解説します。
【13】複数のマイクロソフト製品に脆弱性
情報源
概要
複数のマイクロソフト製品には、脆弱性があります。同社は、今回修正された一部の脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2025/02/202502-security-update/
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/