:: IT Security Neophyte Investigator's MEMO ::

2025年12月11日木曜日

11日木曜日、先勝

+ RHSA-2025:23048 Important: tomcat security update

https://access.redhat.com/errata/RHSA-2025:23048

CVE-2025-31651

CVE-2025-55752

+ RHSA-2025:23063 Moderate: ruby:3.3 security update

https://access.redhat.com/errata/RHSA-2025:23063

CVE-2025-24294

CVE-2025-58767

CVE-2025-61594

+ RHSA-2025:23034 Important: firefox security update

https://access.redhat.com/errata/RHSA-2025:23034

CVE-2025-14321

CVE-2025-14322

CVE-2025-14323

CVE-2025-14324

CVE-2025-14325

CVE-2025-14328

CVE-2025-14329

CVE-2025-14330

CVE-2025-14331

CVE-2025-14333

+ Google Chrome 143.0.7499.109/.110, 142.0.7499.235 released

https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop_10.html

https://chromereleases.googleblog.com/2025/12/extended-stable-updates-for-desktop_10.html

+ Mozilla Foundation Security Advisory 2025-95 Security Vulnerabilities fixed in Thunderbird 146

https://www.mozilla.org/en-US/security/advisories/mfsa2025-95/

CVE-2025-14321

CVE-2025-14322

CVE-2025-14323

CVE-2025-14324

CVE-2025-14325

CVE-2025-14326

CVE-2025-14327

CVE-2025-14328

CVE-2025-14329

CVE-2025-14330

CVE-2025-14331

CVE-2025-14332

CVE-2025-14333

+ Mozilla Foundation Security Advisory 2025-96 Security Vulnerabilities fixed in Thunderbird 140.6

https://www.mozilla.org/en-US/security/advisories/mfsa2025-96/

+ Mozilla Thunderbird 146.0, 140.6.0 released

https://www.thunderbird.net/en-US/thunderbird/146.0/releasenotes/

https://www.thunderbird.net/en-US/thunderbird/140.6.0esr/releasenotes/

+ JVNVU#95258252 Apache Struts 2におけるサービス運用妨害（DoS）の脆弱性（S2-068）

https://jvn.jp/vu/JVNVU95258252/index.html

CVE-2025-64775

+ Linux Kernelの脆弱性(CVE-2025-40209～CVE-2025-40344)

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20251211/

CVE-2025-40209

CVE-2025-40210

CVE-2025-40211

CVE-2025-40212

CVE-2025-40213

CVE-2025-40214

CVE-2025-40215

CVE-2025-40216

CVE-2025-40217

CVE-2025-40218

CVE-2025-40219

CVE-2025-40220

CVE-2025-40221

CVE-2025-40222

CVE-2025-40223

CVE-2025-40224

CVE-2025-40225

CVE-2025-40226

CVE-2025-40227

CVE-2025-40228

CVE-2025-40229

CVE-2025-40230

CVE-2025-40231

CVE-2025-40232

CVE-2025-40233

CVE-2025-40234

CVE-2025-40235

CVE-2025-40236

CVE-2025-40237

CVE-2025-40238

CVE-2025-40239

CVE-2025-40240

CVE-2025-40241

CVE-2025-40242

CVE-2025-40243

CVE-2025-40244

CVE-2025-40245

CVE-2025-40246

CVE-2025-40247

CVE-2025-40248

CVE-2025-40249

CVE-2025-40250

CVE-2025-40251

CVE-2025-40252

CVE-2025-40253

CVE-2025-40254

CVE-2025-40255

CVE-2025-40256

CVE-2025-40257

CVE-2025-40258

CVE-2025-40259

CVE-2025-40260

CVE-2025-40261

CVE-2025-40262

CVE-2025-40263

CVE-2025-40264

CVE-2025-40265

CVE-2025-40266

CVE-2025-40267

CVE-2025-40268

CVE-2025-40269

CVE-2025-40270

CVE-2025-40271

CVE-2025-40272

CVE-2025-40273

CVE-2025-40274

CVE-2025-40275

CVE-2025-40276

CVE-2025-40277

CVE-2025-40278

CVE-2025-40279

CVE-2025-40280

CVE-2025-40281

CVE-2025-40282

CVE-2025-40283

CVE-2025-40284

CVE-2025-40285

CVE-2025-40286

CVE-2025-40287

CVE-2025-40288

CVE-2025-40289

CVE-2025-40290

CVE-2025-40291

CVE-2025-40292

CVE-2025-40293

CVE-2025-40294

CVE-2025-40295

CVE-2025-40296

CVE-2025-40297

CVE-2025-40298

CVE-2025-40299

CVE-2025-40300

CVE-2025-40301

CVE-2025-40302

CVE-2025-40303

CVE-2025-40304

CVE-2025-40305

CVE-2025-40306

CVE-2025-40307

CVE-2025-40308

CVE-2025-40309

CVE-2025-40310

CVE-2025-40311

CVE-2025-40312

CVE-2025-40313

CVE-2025-40314

CVE-2025-40315

CVE-2025-40316

CVE-2025-40317

CVE-2025-40318

CVE-2025-40319

CVE-2025-40320

CVE-2025-40321

CVE-2025-40322

CVE-2025-40323

CVE-2025-40324

CVE-2025-40325

CVE-2025-40326

CVE-2025-40327

CVE-2025-40328

CVE-2025-40329

CVE-2025-40330

CVE-2025-40331

CVE-2025-40332

CVE-2025-40333

CVE-2025-40334

CVE-2025-40335

CVE-2025-40336

CVE-2025-40337

CVE-2025-40338

CVE-2025-40339

CVE-2025-40340

CVE-2025-40341

CVE-2025-40342

CVE-2025-40343

CVE-2025-40344

+ Apache Strutsの脆弱性(Important: CVE-2025-64775 (採番し直し：CVE-2025-66675が最新))

https://security.sios.jp/vulnerability/struts-security-vulnerability-20251202/

CVE-2025-66675

+ Apache Struts 2の脆弱性(Important: CVE-2025-66675 (Old: CVE-2025-64775))

https://security.sios.jp/vulnerability/struts-security-vulnerability-20251210/

CVE-2025-66675

JVN#19940619 GroupSessionにおける複数の脆弱性

https://jvn.jp/jp/JVN19940619/index.html

JVN#03295012 複数のアイ・オー・データ製NAS管理アプリケーションにおける引用符で囲まれていないファイルパスの脆弱性

https://jvn.jp/jp/JVN03295012/index.html

JVNVU#99514792 Siemens製品に対するアップデート（2025年12月）

https://jvn.jp/vu/JVNVU99514792/index.html

JVNVU#95829976 Universal Boot Loader（U-Boot）におけるブートコードがコピーされる揮発性メモリに対するアクセス制御が不適切な脆弱性

https://jvn.jp/vu/JVNVU95829976/index.html

JVNVU#99751719 Festo製LX Applianceにおけるクロスサイトスクリプティングの脆弱性

https://jvn.jp/vu/JVNVU99751719/index.html

ニュース＆リポート

アサヒ、ランサム被害で初会見　大規模被害招いた3つの盲点

EDRで検知できず、バックアップ無事も復旧まで長期化

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/120201355/?ST=nxt_thmit_security

2025年12月10日水曜日

10日水曜日、赤口

+ RHSA-2025:22801 Moderate: kernel security update

https://access.redhat.com/errata/RHSA-2025:22801

CVE-2022-50543

CVE-2023-53401

CVE-2023-53539

+ RHSA-2025:22789 Important: webkit2gtk3 security update

https://access.redhat.com/errata/RHSA-2025:22789

CVE-2023-43000

CVE-2025-13502

CVE-2025-13947

CVE-2025-43392

CVE-2025-43419

CVE-2025-43421

CVE-2025-43425

CVE-2025-43427

CVE-2025-43429

CVE-2025-43430

CVE-2025-43431

CVE-2025-43432

CVE-2025-43434

CVE-2025-43440

CVE-2025-43443

CVE-2025-43458

CVE-2025-43480

CVE-2025-66287

+ RHSA-2025:22790 Important: webkit2gtk3 security update

https://access.redhat.com/errata/RHSA-2025:22790

CVE-2023-43000

CVE-2025-13502

CVE-2025-13947

CVE-2025-43392

CVE-2025-43419

CVE-2025-43421

CVE-2025-43425

CVE-2025-43427

CVE-2025-43429

CVE-2025-43430

CVE-2025-43431

CVE-2025-43432

CVE-2025-43434

CVE-2025-43440

CVE-2025-43443

CVE-2025-43458

CVE-2025-43480

CVE-2025-66287

+ Mozilla Firefox 146.0 released

https://www.firefox.com/en-US/firefox/146.0/releasenotes/

+ Mozilla Foundation Security Advisory 2025-92 Security Vulnerabilities fixed in Firefox 146

https://www.mozilla.org/en-US/security/advisories/mfsa2025-92/

CVE-2025-14321

CVE-2025-14322

CVE-2025-14323

CVE-2025-14324

CVE-2025-14325

CVE-2025-14326

CVE-2025-14327

CVE-2025-14328

CVE-2025-14329

CVE-2025-14330

CVE-2025-14331

CVE-2025-14332

CVE-2025-14333

+ Mozilla Foundation Security Advisory 2025-94 Security Vulnerabilities fixed in Firefox ESR 140.6

https://www.mozilla.org/en-US/security/advisories/mfsa2025-94/

+ Mozilla Foundation Security Advisory 2025-93 Security Vulnerabilities fixed in Firefox ESR 115.31

https://www.mozilla.org/en-US/security/advisories/mfsa2025-93/

VU#821724 TOTOLINK's X5000R's (AX1800 router) lacks authentication for telnet

https://www.kb.cert.org/vuls/id/821724

VU#404544 Vulnerabilities identified in PCIe Integrity and Data Encryption (IDE) protocol specification

https://www.kb.cert.org/vuls/id/404544

JVN#33172708 エレコム製クローン for Windowsにおける引用符で囲まれていないファイルパスの脆弱性

https://jvn.jp/jp/JVN33172708/index.html

JVNVU#99073323 MAXHUB製Pivotにおける脆弱なパスワードリカバリの脆弱性

https://jvn.jp/vu/JVNVU99073323/index.html

データは語る

SaaS事業者のランサムウエア対策　BCP策定未実施の企業が6割超

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600010/120200213/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

アサヒのランサム記者会見に多くの学び、攻撃は「高度かつ巧妙」だったのか

https://xtech.nikkei.com/atcl/nxt/column/18/00676/120300212/?ST=nxt_thmit_security

2025年12月9日火曜日

9日火曜日、大安

+ Apache Tomcat 11.0.15, 10.1.50 Released

https://tomcat.apache.org/tomcat-11.0-doc/changelog.html#Tomcat_11.0.15_(markt)

https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.50_(schultz)

JVNVU#91640936 React Server Componentsにおける信頼できないデータのデシリアライゼーションの脆弱性

https://jvn.jp/vu/JVNVU91640936/index.html

JVNVU#99973778 Androidアプリ「Brother iPrint&Scan」における外部キャッシュディレクトリの不適切な使用

https://jvn.jp/vu/JVNVU99973778/index.html

JVN#19940619 GroupSessionにおける複数の脆弱性

https://jvn.jp/jp/JVN19940619/index.html

JVN#59242986 ＧＳユアサ製FULLBACK Manager Proにおける引用符で囲まれていないファイルパスの脆弱性

https://jvn.jp/jp/JVN59242986/index.html

JVNVU#98826583 Fluent Bitにおける複数の脆弱性

https://jvn.jp/vu/JVNVU98826583/index.html

ニュース解説

「伴走型」セキュリティーサービス続々、顧問を求める経営者のニーズ受け

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11324/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

地下タンクのタマダHDGが不正アクセス被害、ゲートウエイに総当たり攻撃

https://xtech.nikkei.com/atcl/nxt/column/18/00598/041800344/?ST=nxt_thmit_security

10万件以上の個人情報が漏洩、審調社がランサム被害の調査結果を公表

https://xtech.nikkei.com/atcl/nxt/news/24/03016/?ST=nxt_thmit_security

2025年12月11日木曜日

11日 木曜日、先勝

2025年12月10日水曜日

10日 水曜日、赤口

2025年12月9日火曜日

9日 火曜日、大安

11日木曜日、先勝

10日水曜日、赤口

9日火曜日、大安