:: IT Security Neophyte Investigator's MEMO ::: 6月 2025

2025年6月27日金曜日

27日金曜日、友引

+ Mozilla Firefox 140.0.1 released

https://www.mozilla.org/en-US/firefox/140.0.1/releasenotes/

+ JVN#09924566 複数のApache製品におけるサービス運用妨害（DoS）の脆弱性

https://jvn.jp/jp/JVN09924566/index.html

CVE-2025-48976

CVE-2025-48988

+ macOS LaunchDaemon iOS 17.2 Privilege Escalation

https://cxsecurity.com/issue/WLB-2025060025

CVE-2025-24085

JVN#92520966 iroha Boardにおける複数の脆弱性

https://jvn.jp/jp/JVN92520966/index.html

JVNVU#93188600 UDPベースのアプリケーション層プロトコル実装におけるサービス運用妨害 (DoS) の脆弱性

https://jvn.jp/vu/JVNVU93188600/index.html

JVNVU#98807587 gSOAP にスタックバッファオーバーフローの脆弱性

https://jvn.jp/vu/JVNVU98807587/index.html

JVNVU#96471539 三菱電機製空調管理システムにおける認証回避の脆弱性

https://jvn.jp/vu/JVNVU96471539/index.html

2025年6月26日木曜日

26日木曜日、先勝

+ Microsoft、「Windows 10」延命プログラム「ESU」をテスト開始、個人でもOK、無償オプションも

https://forest.watch.impress.co.jp/docs/news/2025455.html

+ Microsoft Excel LTSC Professional Pilus 2021 - MicrosoftR Word LTSC MSO (16.0.14334.20090) 64-bit - Remote Code Execution Bypass - ZIP (RCE)

https://cxsecurity.com/issue/WLB-2025060024

JVNVU#90043828 複数のブラザー製品における複数の脆弱性

https://jvn.jp/vu/JVNVU90043828/index.html

JVNVU#91819309 複数のブラザー製Windows版ドライバーインストーラーにおける権限昇格につながる脆弱性

https://jvn.jp/vu/JVNVU91819309/index.html

JVNVU#99392330 Kaleris製Navis N4における複数の脆弱性

https://jvn.jp/vu/JVNVU99392330/index.html

JVNVU#95387365 Delta Electronics製CNCSoftにおける複数の境界外書き込みの脆弱性

https://jvn.jp/vu/JVNVU95387365/index.html

JVNVU#92348195 複数のSchneider Electric製品における複数の脆弱性

https://jvn.jp/vu/JVNVU92348195/index.html

JVNVU#94639929 Parsons製AccuWeather and Custom RSS widgetにおけるクロスサイトスクリプティングの脆弱性

https://jvn.jp/vu/JVNVU94639929/index.html

JVNVU#94795827 MICROSENS製NMP Web+における複数の脆弱性

https://jvn.jp/vu/JVNVU94795827/index.html

2025年6月25日水曜日

25日水曜日、赤口

+ Google Chrome 138.0.7204.49/50 released

https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop_24.html

+ Mozilla Firefox 140.0 released

https://www.mozilla.org/en-US/firefox/140.0/releasenotes/

+ Mozilla Foundation Security Advisory 2025-51 Security Vulnerabilities fixed in Firefox 140

https://www.mozilla.org/en-US/security/advisories/mfsa2025-51/

CVE-2025-6424

CVE-2025-6425

CVE-2025-6426

CVE-2025-6427

CVE-2025-6428

CVE-2025-6429

CVE-2025-6430

CVE-2025-6431

CVE-2025-6432

CVE-2025-6433

CVE-2025-6434

CVE-2025-6435

CVE-2025-6436

+ Mozilla Foundation Security Advisory 2025-53 Security Vulnerabilities fixed in Firefox ESR 128.12

https://www.mozilla.org/en-US/security/advisories/mfsa2025-53/

+ Mozilla Foundation Security Advisory 2025-52 Security Vulnerabilities fixed in Firefox ESR 115.25

https://www.mozilla.org/en-US/security/advisories/mfsa2025-52/

JVN#21624250 GROWIにおける非効率な正規表現の使用

https://jvn.jp/jp/JVN21624250/index.html

JVN#39435597 エレコム製無線LANルータにおける複数の脆弱性

https://jvn.jp/jp/JVN39435597/index.html

2025年6月24日火曜日

24日火曜日、先負

+ RHSA-2025:9340 Important: Updated 7.1 container image is now available in the Red Hat Ecosystem Catalog.

https://access.redhat.com/errata/RHSA-2025:9340

CVE-2024-24557

CVE-2024-34069

CVE-2024-45338

CVE-2025-4802

+ Zabbix 7.2.9, 7.0.15 released

https://www.zabbix.com/rn/rn7.2.9

https://www.zabbix.com/rn/rn7.0.15

+ Sudo 1.9.17 released

https://www.sudo.ws/releases/stable/#1.9.17

+ Windows File Explorer Windows 11 (23H2) NTLM Hash Disclosure

https://cxsecurity.com/issue/WLB-2025060023

CVE-2025-24071

JVNVU#99381846 トレンドマイクロ株式会社製ウイルスバスタークラウドにおける任意のファイルが削除可能な脆弱性（CVE-2025-49384、CVE-2025-49385）

https://jvn.jp/vu/JVNVU99381846/index.html

2025年6月20日金曜日

20日金曜日、大安

平和な一日でした…

2025年6月19日木曜日

19日木曜日、仏滅

+ Google Chrome 138.0.7204.35 released

https://chromereleases.googleblog.com/2025/06/early-stable-update-for-desktop.html

+ ISC BIND 9.20.10 released

https://downloads.isc.org/isc/bind9/9.20.10/doc/arm/html/notes.html

+ ClamAV 1.4.3 and 1.0.9 security patch versions published

https://blog.clamav.net/2025/06/clamav-143-and-109-security-patch.html

JVNVU#94726768 DTResearch製UEFIアプリケーションにおけるセキュアブート機能を回避可能になる脆弱性

https://jvn.jp/vu/JVNVU94726768/index.html

JVNVU#94490435 LS ELECTRIC製GMWin 4における複数の脆弱性

https://jvn.jp/vu/JVNVU94490435/index.html

JVNVU#94482756 富士電機製Smart Editorにおける複数の脆弱性

https://jvn.jp/vu/JVNVU94482756/index.html

JVN#46288336 KAON製KCM3100における代替パスを使用した認証回避の脆弱性

https://jvn.jp/jp/JVN46288336/index.html

UPDATE: JVNVU#96443907 Siemens製品に対するアップデート（2025年6月）

https://jvn.jp/vu/JVNVU96443907/index.html

JVNVU#94251558 Insyde H2O製UEFIアプリケーションにおけるNVRAM変数を介したデジタル証明書を挿入可能な脆弱性

https://jvn.jp/vu/JVNVU94251558/index.html

2025年6月18日水曜日

18日水曜日、先負

+ RHSA-2025:9142 Moderate: container-tools:rhel8 security update

https://access.redhat.com/errata/RHSA-2025:9142

CVE-2025-22871

+ RHSA-2025:9150 Moderate: gvisor-tap-vsock security update

https://access.redhat.com/errata/RHSA-2025:9150

CVE-2025-22871

+ RHSA-2025:9147 Moderate: buildah security update

https://access.redhat.com/errata/RHSA-2025:9147

CVE-2025-22871

+ RHSA-2025:9145 Moderate: skopeo security update

https://access.redhat.com/errata/RHSA-2025:9145

CVE-2025-22871

+ RHSA-2025:9144 Moderate: podman security update

https://access.redhat.com/errata/RHSA-2025:9144

CVE-2025-22871

+ RHSA-2025:9143 Moderate: containernetworking-plugins security update

https://access.redhat.com/errata/RHSA-2025:9143

CVE-2025-22871

+ Google Chrome 137.0.7151.119/.120, 136.0.7103.177 released

https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop_17.html

https://chromereleases.googleblog.com/2025/06/extended-stable-updates-for-desktop_17.html

+ JVNVU#92268925 Apache Tomcatにおける複数の脆弱性（CVE-2025-49124、CVE-2025-49125）

https://jvn.jp/vu/JVNVU92268925/index.html

CVE-2025-49124

CVE-2025-49125

+ Microsoft Excel Remote Code Execution Vulnerability

https://cxsecurity.com/issue/WLB-2025060018

JVNVU#91137355 TCG TPM2.0のリファレンス実装に境界外読み込みの脆弱性

https://jvn.jp/vu/JVNVU91137355/index.html

2025年6月17日火曜日

17日火曜日、友引

JVNVU#95664084 複数のAVEVA製品における複数の脆弱性

https://jvn.jp/vu/JVNVU95664084/index.html

JVNVU#94757027 複数のPTZカメラにおける複数の脆弱性

https://jvn.jp/vu/JVNVU94757027/index.html

2025年6月16日月曜日

16日月曜日、先勝

+ Mozilla Firefox 139.0.4 released

https://www.mozilla.org/en-US/firefox/139.0.4/releasenotes/

+ libpng 1.6.49 released

https://www.libpng.org/pub/png/src/libpng-1.6.49-README.txt

+ Microsoft Windows 11 Version 24H2 Cross Device Service Elevation of Privilege

https://cxsecurity.com/issue/WLB-2025060013

CVE-2025-24076

JVN#27937557 RICOH Streamline NX PC Clientにおける複数の脆弱性

https://jvn.jp/jp/JVN27937557/index.html

JVNVU#96443907 Siemens製品に対するアップデート（2025年6月）

https://jvn.jp/vu/JVNVU96443907/index.html

2025年6月13日金曜日

13日金曜日、仏滅

+ Apache Tomcat/10.1.39 DoS-BOF

https://cxsecurity.com/issue/WLB-2025060012

CVE-2025-31650

JVN#17860456 アップデートナビにおける意図しないエンドポイントとの通信を拒否しない脆弱性

https://jvn.jp/jp/JVN17860456/index.html

2025年6月12日木曜日

12日木曜日、先負

+ RHSA-2025:8844 Important: mod_security security update

https://access.redhat.com/errata/RHSA-2025:8844

CVE-2025-47947

+ RHSA-2025:8812 Important: .NET 8.0 security update

https://access.redhat.com/errata/RHSA-2025:8812

CVE-2025-30399

+ RHSA-2025:8837 Important: mod_security security update

https://access.redhat.com/errata/RHSA-2025:8837

CVE-2025-47947

+ RHSA-2025:8817 Important: .NET 9.0 security update

https://access.redhat.com/errata/RHSA-2025:8817

CVE-2025-30399

+ RHSA-2025:8813 Important: .NET 8.0 security update

https://access.redhat.com/errata/RHSA-2025:8813

CVE-2025-30399

+ Rocky Linux 10.0 Available Now

https://rockylinux.org/ja-JP/news/rocky-linux-10-0-ga-release

+ 2025 年 6 月のセキュリティ更新プログラム (月例)

https://msrc.microsoft.com/blog/2025/06/202506-security-update/

+ PostgreSQL JDBC Driver 42.7.7 released

https://jdbc.postgresql.org/changelogs/2025-06-11-42/

JVNVU#96443907 Siemens製品に対するアップデート（2025年6月）

https://jvn.jp/vu/JVNVU96443907/index.html

JVNVU#95414770 SinoTrack製IOT PC Platformにおける複数の脆弱性

https://jvn.jp/vu/JVNVU95414770/index.html

JVNVU#98345649 複数のHitachi Energy製品におけるセキュリティ関連の処理に対するレスポンスの違いに起因する情報漏えいの脆弱性

https://jvn.jp/vu/JVNVU98345649/index.html

JVNVU#92981018 MicroDicom製DICOM Viewerにおける境界外書き込みの脆弱性

https://jvn.jp/vu/JVNVU92981018/index.html

JVNVU#97256798 Assured Telematics製Fleet Management Systemにおける認可されていない制御領域への機微なシステム情報の漏えいの脆弱性

https://jvn.jp/vu/JVNVU97256798/index.html

UPDATE: JVNVU#92528757 Siemens製品に対するアップデート（2025年5月）

https://jvn.jp/vu/JVNVU92528757/index.html

UPDATE: JVNVU#96269392 Siemens 製品に対するアップデート (2021年4月)

https://jvn.jp/vu/JVNVU96269392/index.html

2025年6月11日水曜日

11日水曜日、友引

+ RHSA-2025:8756 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2025:8756

CVE-2025-3875

CVE-2025-3877

CVE-2025-3909

CVE-2025-3932

CVE-2025-4918

CVE-2025-4919

CVE-2025-5263

CVE-2025-5264

CVE-2025-5266

CVE-2025-5267

CVE-2025-5268

CVE-2025-5269

+ RHSA-2025:8743 Moderate: kernel security update

https://access.redhat.com/errata/RHSA-2025:8743

CVE-2022-49395

+ RHSA-2025:8676 Moderate: libxslt security update

https://access.redhat.com/errata/RHSA-2025:8676

CVE-2023-40403

+ RHSA-2025:8667 Moderate: grafana security update

https://access.redhat.com/errata/RHSA-2025:8667

CVE-2025-22871

+ RHSA-2025:8655 Moderate: glibc security update

https://access.redhat.com/errata/RHSA-2025:8655

CVE-2025-4802

+ RHSA-2025:8643 Important: kernel security update

https://access.redhat.com/errata/RHSA-2025:8643

CVE-2025-21920

CVE-2025-21926

CVE-2025-21997

CVE-2025-22055

CVE-2025-37785

CVE-2025-37943

+ Google Chrome 137.0.7151.103/.104, 136.0.7103.168 released

https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop_10.html

https://chromereleases.googleblog.com/2025/06/extended-stable-updates-for-desktop_10.html

+ Mozilla Foundation Security Advisory 2025-47 Security Vulnerabilities fixed in Firefox 139.0.4

https://www.mozilla.org/en-US/security/advisories/mfsa2025-47/

CVE-2025-49709

CVE-2025-49710

+ Mozilla Foundation Security Advisory 2025-50 Security Vulnerabilities fixed in Thunderbird 139.0.2

https://www.mozilla.org/en-US/security/advisories/mfsa2025-50/

CVE-2025-5986

+ Mozilla Foundation Security Advisory 2025-49 Security Vulnerabilities fixed in Thunderbird 128.11.1

https://www.mozilla.org/en-US/security/advisories/mfsa2025-49/

CVE-2025-5986

+ Mozilla Thunderbird 139.0.2, 128.11.1 released

https://www.thunderbird.net/en-US/thunderbird/139.0.2/releasenotes/

https://www.thunderbird.net/en-US/thunderbird/128.11.1esr/releasenotes/

+ Apache Tomcat 11.0.8, 10.1.42, 9.0.106 released

https://tomcat.apache.org/tomcat-11.0-doc/changelog.html#Tomcat_11.0.8_(markt)

https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.42_(schultz)

https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.106_(remm)

+ FreeBSD 14.3-RELEASE released

https://www.freebsd.org/releases/14.3R/announce/

+ Current:VU#806555 A Vulnerability in UEFI Applications allows for secure boot bypass via misused NVRAM variable

https://www.kb.cert.org/vuls/id/806555

CVE-2025-3052

+ VU#282450 Out-of-Bounds read vulnerability in TCG TPM2.0 reference implementation

https://www.kb.cert.org/vuls/id/282450

CVE-2025-2884

+ Current:VU#211341 A vulnerability in Insyde H2O UEFI application allows for digital certificate injection via NVRAM variable

https://www.kb.cert.org/vuls/id/211341

CVE-2025-4275

+ Microsoft Excel Local Code Execution Vulnerability

https://cxsecurity.com/issue/WLB-2025060009

CVE-2025-27751

2025年6月10日火曜日

10日火曜日、先勝

+ Python 3.13.4, 3.12.11, 3.11.13, 3.10.18 and 3.9.23 are now available

https://blog.python.org/2025/06/python-3134-31211-31113-31018-and-3923.html

2025年6月9日月曜日

9日月曜日、赤口

+ Apache Tomcat 10.1.39 Denial of Service (DoS)

https://cxsecurity.com/issue/WLB-2025060008

CVE-2025-31650

+ Microsoft Windows 11 23h2 CLFS.sys Elevation of Privilege

https://cxsecurity.com/issue/WLB-2025060007

CVE-2024-49138

UPDATE: JVNVU#90702915 複数のHitachi Energy製品における複数の脆弱性

https://jvn.jp/vu/JVNVU90702915/index.html

UPDATE: JVNVU#96418385 Hitachi Energy製Relion 670, 650およびSAM600-IO Seriesにおけるデータの信頼性確認が不十分な脆弱性

https://jvn.jp/vu/JVNVU96418385/index.html

UPDATE: JVNVU#90348129 複数のHitachi Energy製品における複数の脆弱性

https://jvn.jp/vu/JVNVU90348129/index.html

UPDATE: JVNVU#97100330 Hitachi Energy製IEC 61850 MMS-Serverにおけるリソースの不適切なシャットダウンまたはリリースの脆弱性

https://jvn.jp/vu/JVNVU97100330/index.html

JVNVU#93076726 複数のHitachi Energy製品における複数の脆弱性

https://jvn.jp/vu/JVNVU93076726/index.html

JVNVU#99623024 Kea DHCPにおける複数の脆弱性（May 28, 2025）

https://jvn.jp/vu/JVNVU99623024/index.html

JVN#10964289 複数のi-PRO製監視カメラにおけるクロスサイトリクエストフォージェリの脆弱性

https://jvn.jp/jp/JVN10964289/index.html

2025年6月6日金曜日

6日金曜日、先負

+ WebSocket endless loop

https://curl.se/docs/CVE-2025-5399.html

CVE-2025-5399

+ GCC 13.4 released

https://gcc.gnu.org/onlinedocs/13.4.0/

https://gcc.gnu.org/gcc-13/changes.html

+ PHP 8.4.8, 8.3.22 released

https://www.php.net/ChangeLog-8.php#8.4.8

https://www.php.net/ChangeLog-8.php#8.3.22

UPDATE: JVNVU#92330101 三菱電機製 FA エンジニアリングソフトウェア製品における複数の脆弱性

https://jvn.jp/vu/JVNVU92330101/index.html

JVNVU#99623024 Kea DHCPにおける複数の脆弱性（May 28, 2025）

https://jvn.jp/vu/JVNVU99623024/index.html

2025年6月5日木曜日

5日木曜日、友引

+ RHSA-2025:8514 Important: nodejs:20 security update

https://access.redhat.com/errata/RHSA-2025:8514

CVE-2025-23166

+ RHSA-2025:8506 Important: nodejs:22 security update

https://access.redhat.com/errata/RHSA-2025:8506

CVE-2025-23166

+ RHSA-2025:8478 Moderate: go-toolset:rhel8 security update

https://access.redhat.com/errata/RHSA-2025:8478

CVE-2025-22871

+ RHSA-2025:8476 Moderate: golang security update

https://access.redhat.com/errata/RHSA-2025:8476

CVE-2025-22871

+ RHSA-2025:8468 Important: nodejs:20 security update

https://access.redhat.com/errata/RHSA-2025:8468

CVE-2025-23166

+ RHSA-2025:8467 Important: nodejs:22 security update

https://access.redhat.com/errata/RHSA-2025:8467

CVE-2025-23166

+ Rocky Linux 9.6 Available Now

https://rockylinux.org/ja-JP/news/rocky-linux-9-6-ga-release

+ Wireshark 4.4.7, 4.2.12 Release Notes

https://www.wireshark.org/docs/relnotes/wireshark-4.4.7.html

https://www.wireshark.org/docs/relnotes/wireshark-4.2.12.html

JVNVU#93192651 複数のSchneider Electric製品における複数の脆弱性

https://jvn.jp/vu/JVNVU93192651/index.html

2025年6月4日水曜日

4日水曜日、先勝

+ RHSA-2025:8432 Moderate: perl-CPAN security update

https://access.redhat.com/errata/RHSA-2025:8432

CVE-2020-16156

+ RHSA-2025:8431 Important: java-1.8.0-ibm security update

https://access.redhat.com/errata/RHSA-2025:8431

CVE-2025-4447

CVE-2025-21587

CVE-2025-30698

+ RHSA-2025:8419 Low: python36:3.6 security update

https://access.redhat.com/errata/RHSA-2025:8419

CVE-2024-5629

+ RHSA-2025:8414 Moderate: git security update

https://access.redhat.com/errata/RHSA-2025:8414

CVE-2024-52005

+ RHSA-2025:8411 Moderate: krb5 security update

https://access.redhat.com/errata/RHSA-2025:8411

CVE-2025-3576

+ RHSA-2025:8395 Low: rsync security update

https://access.redhat.com/errata/RHSA-2025:8395

CVE-2016-9840

+ RHSA-2025:8345 Important: kpatch-patch-4_18_0-553, kpatch-patch-4_18_0-553_16_1, kpatch-patch-4_18_0-553_30_1, and kpatch-patch-4_18_0-553_40_1 security update

https://access.redhat.com/errata/RHSA-2025:8345

CVE-2024-53141

CVE-2025-21756

+ RHSA-2025:8468 Important: nodejs:20 security update

https://access.redhat.com/errata/RHSA-2025:8468

CVE-2025-23166

+ RHSA-2025:8467 Important: nodejs:22 security update

https://access.redhat.com/errata/RHSA-2025:8467

CVE-2025-23166

+ RHSA-2025:8337 Important: varnish security update

https://access.redhat.com/errata/RHSA-2025:8337

CVE-2025-47905

+ Google Chrome 136.0.7103.156 released

https://chromereleases.googleblog.com/2025/06/extended-stable-updates-for-desktop.html

JVN#37075430 タイム・ワークスにおけるパストラバーサルの脆弱性

https://jvn.jp/jp/JVN37075430/index.html

JVN#05562338 PC Time Tracerにおける不適切なファイルアクセス権設定の脆弱性

https://jvn.jp/jp/JVN05562338/index.html

2025年6月3日火曜日

3日火曜日、赤口

+ Google Chrome 137.0.7151.68/.69 released

https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop.html

+ Mozilla Thnderbird 139.0.1 released

https://www.thunderbird.net/en-US/thunderbird/139.0.1/releasenotes/

JVNVU#94070048 三菱電機製MELSEC iQ-F CPUユニットにおける入力値の不適切な検証に関する脆弱性

https://jvn.jp/vu/JVNVU94070048/index.html

2025年6月2日月曜日

2日月曜日、大安

+ JVNVU#91929206 Apache TomcatのCGIサーブレットにおいてpathInfoのセキュリティ制約が回避される脆弱性

https://jvn.jp/vu/JVNVU91929206/index.html

JVN#51394666 wivia 5における複数の脆弱性

https://jvn.jp/jp/JVN51394666/index.html

JVNVU#92585729 Consilium Safety製CS5000 Fire Panelにおける複数の脆弱性

https://jvn.jp/vu/JVNVU92585729/index.html

JVNVU#94499889 Instantel製Micromateにおける重要な機能に対する認証の欠如の脆弱性

https://jvn.jp/vu/JVNVU94499889/index.html

JVNVU#92457126 Santesoft製Sante DICOM Viewer Proにおける境界外読み取りの脆弱性

https://jvn.jp/vu/JVNVU92457126/index.html

UPDATE: JVNVU#92528757 Siemens製品に対するアップデート（2025年5月）

https://jvn.jp/vu/JVNVU92528757/index.html