:: IT Security Neophyte Investigator's MEMO ::: 2025

2025年12月26日金曜日

26日金曜日、大安

NEWS close-up

アサヒがランサム被害でVPN廃止

大規模被害招いた3つの技術的盲点　攻撃は「巧妙かつ高度であった」

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/121700311/?ST=nxt_thmit_security

月刊ランサムリポート第13回

「Qilin」は活動減速も攻撃数トップ、25年11月のランサム被害

https://xtech.nikkei.com/atcl/nxt/column/18/03053/122200014/?ST=nxt_thmit_security

ITが危ない

内部不正が招く情報漏洩危機、退職者や現職者の正規アクセス権が盲点に

https://xtech.nikkei.com/atcl/nxt/column/18/00989/121500196/?ST=nxt_thmit_security

2025年12月25日木曜日

25日木曜日、仏滅

+ MongoDBの脆弱性(High: CVE-2025-14847)

https://security.sios.jp/vulnerability/mongodb-security-vulnerability-20251225/

CVE-2025-14847

ニュース＆リポート

プライバシー強化技術「PETs」普及へ　新団体設立、「オールジャパンで連携」

AI分野や企業間データ連携を支える重要技術に

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/121501367/?ST=nxt_thmit_security

北郷達郎のテクノロジー温故知新

「AIによる要約」はいつか来た道、メディアはAIの記事収集を受け入れるべきか

https://xtech.nikkei.com/atcl/nxt/column/18/02598/121700028/?ST=nxt_thmit_security

ニュース解説

アサヒやアスクルへの攻撃で使われた「EDR回避」、専門家に聞く代表的手法

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11374/?ST=nxt_thmit_security

2025年12月24日水曜日

24日水曜日、先負

+ nginx 1.28.1 released

https://nginx.org/en/CHANGES-1.28

勝村幸博の「今日も誰かが狙われる」

ランサム攻撃を容易にする「ダークLLM」　ガードレールなし、無料版も登場

https://xtech.nikkei.com/atcl/nxt/column/18/00676/121600213/?ST=nxt_thmit_security

2025年12月23日火曜日

23日火曜日、友引

+ RHSA-2025:23948 Moderate: grafana security update

https://access.redhat.com/errata/RHSA-2025:23948

CVE-2025-58183

+ RHSA-2025:23732 Important: httpd:2.4 security update

https://access.redhat.com/errata/RHSA-2025:23732

CVE-2025-55753

CVE-2025-58098

CVE-2025-65082

CVE-2025-66200

+ RHSA-2025:23856 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2025:23856

CVE-2025-14321

CVE-2025-14322

CVE-2025-14323

CVE-2025-14324

CVE-2025-14325

CVE-2025-14328

CVE-2025-14329

CVE-2025-14330

CVE-2025-14331

CVE-2025-14333

+ RHSA-2025:23739 Important: mod_md security update

https://access.redhat.com/errata/RHSA-2025:23739

CVE-2025-55753

+ RHSA-2025:23730 Important: kpatch-patch-5_14_0-611_9_1 security update

https://access.redhat.com/errata/RHSA-2025:23730

CVE-2025-38499

徹底予測2026

ランサムはAI駆動に　バイブハッキング台頭［Part 4］

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/121500521/121500004/?ST=nxt_thmit_security

徹底予測2026

SIerに変革迫るAI　脱・人月型が急務に［Part 3］

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/121500521/121500003/?ST=nxt_thmit_security

徹底予測2026

開発作業は全自動へ　技術者の価値も再編［Part 2］

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/121500521/121500002/?ST=nxt_thmit_security

徹底予測2026

国産振興へソブリンAI　業界特化型に活路［Part 1］

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/121500521/121500001/?ST=nxt_thmit_security

ネットワークコマンドの基本に立ち返る第4回

ネットワークの根幹支える3コマンド、「netstat」「arp」「route」を知る

https://xtech.nikkei.com/atcl/nxt/column/18/03441/121500004/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

資格の学校TACで11年以上個人情報を公開状態、被害者が検索で発見

https://xtech.nikkei.com/atcl/nxt/column/18/00598/041800327/?ST=nxt_thmit_security

ニュース解説

シスコ製品にゼロデイ攻撃、TOKAIコミュニケーションズで個人情報漏洩か

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11372/?ST=nxt_thmit_security

JVNVU#96471539 三菱電機製空調管理システムにおける認証回避の脆弱性

https://jvn.jp/vu/JVNVU96471539/index.html

JVNVU#96231218 メディアプレーヤ MP-01における重要な機能に対する認証の欠如の脆弱性

https://jvn.jp/vu/JVNVU96231218/index.html

JVNVU#95021911 セイコーエプソン製プロジェクターのEPSON WebConfig / Epson Web Controlにおける過度な認証試行を制限する機能の欠如

https://jvn.jp/vu/JVNVU95021911/index.html

JVNVU#97069449 複数のキーエンス製品における複数の脆弱性

https://jvn.jp/vu/JVNVU97069449/index.html

JVNVU#98834100 UEFIファームウェアを搭載した一部のマザーボードにおけるIOMMU初期化処理の不備の脆弱性

https://jvn.jp/vu/JVNVU98834100/index.html

2025年12月22日月曜日

22日月曜日、先勝

+ Apache Log4j Coreの脆弱性(Moderate: CVE-2025-68161)

https://security.sios.jp/vulnerability/log4j-security-vulnerability-20251219/

CVE-2025-68161

日経コンピュータ「動かないコンピュータ」

全ファイルサーバーがランサム被害　消し忘れアカウントからVPN侵入

美濃工業

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/121500196/?ST=nxt_thmit_security

ネットワークコマンドの基本に立ち返る第3回

鉄板コマンド2種、IPアドレスを知るipconfigと名前解決をするnslookup

https://xtech.nikkei.com/atcl/nxt/column/18/03441/121500003/?ST=nxt_thmit_security

ヒット記事で振り返る2025年第1回

ランサム攻撃が日本を揺るがす、証券口座乗っ取りでは多要素認証が破られる

https://xtech.nikkei.com/atcl/nxt/column/18/03400/120400007/?ST=singleview

吉川孝志のマルウエア徹底解剖第23回

クラウドストレージを狙う新たなランサム攻撃、手口・実例・対策を解説

https://xtech.nikkei.com/atcl/nxt/column/18/02805/121700024/?ST=nxt_thmit_security

アスクル、池田CDXOと上野CSOを直撃　「別の攻撃者が関与」か

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11366/?ST=nxt_thmit_security

UPDATE: JVNVU#97729686 GENESIS64、ICONICS Suite、MobileHMIおよびMC Works64のソフトウェアキーボード機能におけるOSコマンドインジェクションの脆弱性

https://jvn.jp/vu/JVNVU97729686/index.html

JVNVU#96501642 Inductive Automation製Ignitionにおける不要な権限での実行の脆弱性

https://jvn.jp/vu/JVNVU96501642/index.html

JVNVU#94092106 Schneider Electric製EcoStruxure Foxboro DCS Advisorにおける信頼できないデータのデシリアライゼーションの脆弱性

https://jvn.jp/vu/JVNVU94092106/index.html

JVNVU#97639710 National Instruments製LabVIEWにおける複数の脆弱性

https://jvn.jp/vu/JVNVU97639710/index.html

JVNVU#92923265 Advantech製WebAccess/SCADAにおける複数の脆弱性

https://jvn.jp/vu/JVNVU92923265/index.html

JVNVU#97076977 複数のRockwell Automation製品における複数の脆弱性

https://jvn.jp/vu/JVNVU97076977/index.html

JVNVU#90333110 Central Dogmaにおけるオープンリダイレクトの脆弱性

https://jvn.jp/vu/JVNVU90333110/index.html

JVNVU#92506407 三菱電機製MELSOFT Update Managerに搭載されている7-Zipに複数の脆弱性

https://jvn.jp/vu/JVNVU92506407/index.html

JVNVU#99514792 Siemens製品に対するアップデート（2025年12月）

https://jvn.jp/vu/JVNVU99514792/index.html

2025年12月19日金曜日

19日金曜日、先負

+ RHSA-2025:23663 Important: webkit2gtk3 security update

https://access.redhat.com/errata/RHSA-2025:23663

CVE-2025-43501

CVE-2025-43529

CVE-2025-43531

CVE-2025-43535

CVE-2025-43536

CVE-2025-43541

+ RHSA-2025:23530 Important: python39:3.9 security update

https://access.redhat.com/errata/RHSA-2025:23530

CVE-2024-5642

CVE-2024-9287

CVE-2024-11168

CVE-2025-0938

CVE-2025-4138

CVE-2025-4330

CVE-2025-4435

CVE-2025-4516

CVE-2025-4517

CVE-2025-6069

CVE-2025-6075

CVE-2025-8291

+ RHSA-2025:23700 Important: webkit2gtk3 security update

https://access.redhat.com/errata/RHSA-2025:23700

CVE-2025-43501

CVE-2025-43529

CVE-2025-43531

CVE-2025-43535

CVE-2025-43536

CVE-2025-43541

+ RHSA-2025:23483 Moderate: libssh security update

https://access.redhat.com/errata/RHSA-2025:23483

CVE-2025-5987

+ Google Chrome 143.0.7499.169/.170 released

https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop_18.html

+ Mozilla Firefox 146.0.1 released

https://www.firefox.com/en-US/firefox/146.0.1/releasenotes/

+ Mozilla Foundation Security Advisory 2025-98 Security Vulnerabilities fixed in Firefox 146.0.1

https://www.mozilla.org/en-US/security/advisories/mfsa2025-98/

CVE-2025-14860

CVE-2025-14861

+ Zabbix 7.4.6 released

https://www.zabbix.com/rn/rn7.4.6

+ ClamAV signature Retirement.

https://blog.clamav.net/2025/12/clamav-signature-retirement.html

+ PHP 8.5.1, 8.3.29, 8.2.30 released

https://www.php.net/ChangeLog-8.php#8.5.1

https://www.php.net/ChangeLog-8.php#8.3.29

https://www.php.net/ChangeLog-8.php#8.2.30

+ Apache Log4j Coreの脆弱性(Moderate: CVE-2025-68161)

https://security.sios.jp/vulnerability/log4j-security-vulnerability-20251219/

CVE-2025-68161

JVNVU#97729686 GENESIS64、ICONICS Suite、MobileHMIおよびMC Works64のソフトウェアキーボード機能におけるOSコマンドインジェクションの脆弱性

https://jvn.jp/vu/JVNVU97729686/index.html

JVNVU#94068946 Ruijie Networks製AP180シリーズにおけるOSコマンドインジェクションの脆弱性

https://jvn.jp/vu/JVNVU94068946/index.html

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

アサヒのランサム会見に学び　攻撃は高度で巧妙だったのか

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/121500175/?ST=nxt_thmit_security

ネットワークコマンドの基本に立ち返る第2回

ネットワークコマンドの基本はping、応用編のtracertとpathpingも学ぶ

https://xtech.nikkei.com/atcl/nxt/column/18/03441/121500002/?ST=nxt_thmit_security

動かないコンピュータ

岐阜県の自動車部品メーカーがランサム被害、一時アカウントからVPN侵入

美濃工業

https://xtech.nikkei.com/atcl/nxt/column/18/01157/121600149/?ST=nxt_thmit_security

事業者型電子契約のTREASURY、JIPDECトラステッド・サービス登録第1号に

https://xtech.nikkei.com/atcl/nxt/news/24/03031/?ST=nxt_thmit_security

2025年12月18日木曜日

18日木曜日、友引

+ RHSA-2025:23481 Moderate: openssh security update

https://access.redhat.com/errata/RHSA-2025:23481

CVE-2025-61984

CVE-2025-61985

+ Zabbix 7.2.15, 7.0.22, 6.0.43 released

https://www.zabbix.com/rn/rn7.2.15

https://www.zabbix.com/rn/rn7.0.22

https://www.zabbix.com/rn/rn6.0.43

+ Mozilla Thunderbird 146.0.1 released

https://www.thunderbird.net/en-US/thunderbird/146.0.1/releasenotes/

+ ISC BIND 9.20.17, 9.18.43 released

https://downloads.isc.org/isc/bind9/9.20.17/RELEASE-NOTES-bind-9.20.17.html

https://downloads.isc.org/isc/bind9/9.18.43/RELEASE-NOTES-bind-9.18.43.html

+ FreeBSD-SA-25:12.rtsold Remote code execution via ND6 Router Advertisements

https://www.freebsd.org/security/advisories/FreeBSD-SA-25:12.rtsold.asc

CVE-2025-14558

+ FreeBSD-SA-25:11.ipfw ipfw denial of service

https://www.freebsd.org/security/advisories/FreeBSD-SA-25:11.ipfw.asc

CVE-2025-14769

VU#382314 Vulnerability in UEFI firmware modules prevents IOMMU initialization on some UEFI-based motherboards

https://www.kb.cert.org/vuls/id/382314

ネットワークコマンドの基本に立ち返る第1回

ネットワークコマンドは怖くない、味方に付けて活用しよう

https://xtech.nikkei.com/atcl/nxt/column/18/03441/121500001/?ST=nxt_thmit_security

ニュース解説

アスクルがシステムによる出荷再開　WMSを再構築、倉庫の自動化設備も公開

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11360/?ST=nxt_thmit_security

ニュース解説

「AIもできるセキュリティー人材」が世界で不足、日本はAIツール導入遅れ

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11356/?ST=nxt_thmit_security

キヤノンMJとサイバートラスト、電子取引管理でeシールの自動付与機能を提供

https://xtech.nikkei.com/atcl/nxt/news/24/03029/?ST=nxt_thmit_security

UPDATE: JVNVU#99514792 Siemens製品に対するアップデート（2025年12月）

https://jvn.jp/vu/JVNVU99514792/index.html

UPDATE: JVNVU#93984110 富士電機製V-SFT-6における複数の脆弱性

https://jvn.jp/vu/JVNVU93984110/index.html

UPDATE: JVNVU#99021467 複数のJohnson Controls製品における複数の脆弱性

https://jvn.jp/vu/JVNVU99021467/index.html

JVNVU#92974910 複数のGuralp Systems製品における制限または調整なしのリソースの割り当ての脆弱性

https://jvn.jp/vu/JVNVU92974910/index.html

JVNVU#94105329 複数のJohnson Controls製品における複数の脆弱性

https://jvn.jp/vu/JVNVU94105329/index.html

JVNVU#96826848 複数のHitachi Energy製品における通信チャネルで送受信するメッセージに対する完全性の検証不備の脆弱性

https://jvn.jp/vu/JVNVU96826848/index.html

JVNVU#99629801 三菱電機製GT Designer3におけるユーザー認証のための認証情報が平文で保存されている脆弱性

https://jvn.jp/vu/JVNVU99629801/index.html

JVN#55745775 GROWIにおけるクロスサイトリクエストフォージェリの脆弱性

https://jvn.jp/jp/JVN55745775/index.html

2025年12月17日水曜日

17日水曜日、先勝

+ Google Chrome 143.0.7499.146/.147, 142.0.7499.243 released

https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop_16.html

https://chromereleases.googleblog.com/2025/12/extended-stable-updates-for-desktop_16.html

+ UPDATE: JVNVU#97286548 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート（2025年12月）

https://jvn.jp/vu/JVNVU97286548/index.html

VU#651499 Siemens Gridscale X Prepay username enumeration and account lock bypass vulnerability

https://www.kb.cert.org/vuls/id/651499

JVN#51846148 複数のセイコーエプソン製プリンターのWeb Configにおけるスタックベースのバッファオーバーフローの脆弱性

https://jvn.jp/jp/JVN51846148/index.html

JVNVU#92827367 チョコ停ウォッチャーminiにおける複数の脆弱性

https://jvn.jp/vu/JVNVU92827367/index.html

2025年12月16日火曜日

16日火曜日、赤口

piyokangoの週刊システムトラブル

個人間取引支援のジモティー、開発環境に不正アクセス　個人情報漏洩を確認

https://xtech.nikkei.com/atcl/nxt/column/18/00598/041800345/?ST=nxt_thmit_security

ニュース解説

アスクルへのランサム攻撃、報告書が明らかにした3つのポイント

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11350/?ST=nxt_thmit_security

UPDATE: JVNVU#99514792 Siemens製品に対するアップデート（2025年12月）

https://jvn.jp/vu/JVNVU99514792/index.html

JVNVU#99527709 複数のJohnson Controls製品における複数の脆弱性

https://jvn.jp/vu/JVNVU99527709/index.html

2025年12月15日月曜日

15日月曜日、大安

+ About the security content of iOS 26.2 and iPadOS 26.2

https://support.apple.com/en-us/125884

CVE-2025-46288

CVE-2025-43539

CVE-2025-46287

CVE-2024-7264

CVE-2025-9086

CVE-2025-43542

CVE-2025-43518

CVE-2025-43532

CVE-2025-46279

CVE-2025-46285

CVE-2025-5918

CVE-2025-43475

CVE-2025-46276

CVE-2025-43533

CVE-2025-43428

CVE-2025-46277

CVE-2025-43538

CVE-2025-46292

CVE-2025-43541

CVE-2025-43536

CVE-2025-43535

CVE-2025-43501

CVE-2025-43531

CVE-2025-43529

CVE-2025-14174

CVE-2025-43511

+ About the security content of iOS 18.7.3 and iPadOS 18.7.3

https://support.apple.com/en-us/125885

+ About the security content of macOS Tahoe 26.2

https://support.apple.com/en-us/125886

+ About the security content of macOS Sequoia 15.7.3

https://support.apple.com/en-us/125887

+ About the security content of macOS Sonoma 14.8.3

https://support.apple.com/en-us/125888

+ About the security content of tvOS 26.2

https://support.apple.com/en-us/125889

+ About the security content of watchOS 26.2

https://support.apple.com/en-us/125890

+ About the security content of visionOS 26.2

https://support.apple.com/en-us/125891

+ About the security content of Safari 26.2

https://support.apple.com/en-us/125892

JVNVU#91654258 AzeoTech製DAQFactoryにおける複数の脆弱性

https://jvn.jp/vu/JVNVU91654258/index.html

JVNVU#91387382 OpenPLC_V3におけるクロスサイトリクエストフォージェリの脆弱性

https://jvn.jp/vu/JVNVU91387382/index.html

JVNVU#96960925 複数のGrassroots製品における境界外書き込みの脆弱性

https://jvn.jp/vu/JVNVU96960925/index.html

JVNVU#99514792 Siemens製品に対するアップデート（2025年12月）

https://jvn.jp/vu/JVNVU99514792/index.html

ニュース解説

アスクルのサイバー攻撃詳細　委託先アカウントで侵入、クラウドも被害

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11348/?ST=nxt_thmit_security

2025年12月12日金曜日

12日金曜日、友引

+ ■PowerDNS Recursorの脆弱性情報が公開されました（CVE-2025-59029、CVE-2025-59030）

https://jprs.jp/tech/security/2025-12-11-powerdns-recursor.html

CVE-2025-59029

CVE-2025-59030

+ RHSA-2025:23137 Moderate: mysql:8.4 security update

https://access.redhat.com/errata/RHSA-2025:23137

CVE-2025-53040

CVE-2025-53042

CVE-2025-53044

CVE-2025-53045

CVE-2025-53053

CVE-2025-53054

CVE-2025-53062

CVE-2025-53069

+ RHSA-2025:23134 Moderate: mysql:8.0 security update

https://access.redhat.com/errata/RHSA-2025:23134

CVE-2025-53040

CVE-2025-53042

CVE-2025-53044

CVE-2025-53045

CVE-2025-53053

CVE-2025-53054

CVE-2025-53062

CVE-2025-53069

+ RHSA-2025:23128 Important: firefox security update

https://access.redhat.com/errata/RHSA-2025:23128

CVE-2025-14321

CVE-2025-14322

CVE-2025-14323

CVE-2025-14324

CVE-2025-14325

CVE-2025-14328

CVE-2025-14329

CVE-2025-14330

CVE-2025-14331

CVE-2025-14333

+ RHSA-2025:23086 Moderate: luksmeta security update

https://access.redhat.com/errata/RHSA-2025:23086

CVE-2025-11568

+ RHSA-2025:23142 Important: wireshark security update

https://access.redhat.com/errata/RHSA-2025:23142

CVE-2025-13499

+ RHSA-2025:23109 Moderate: mysql security update

https://access.redhat.com/errata/RHSA-2025:23109

CVE-2025-53040

CVE-2025-53042

CVE-2025-53044

CVE-2025-53045

CVE-2025-53053

CVE-2025-53054

CVE-2025-53062

CVE-2025-53069

+ RHSA-2025:23087 Moderate: grafana security update

https://access.redhat.com/errata/RHSA-2025:23087

CVE-2025-58183

ニュース解説

パナオート、SDVのセキュリティー対策で工数6割減　統合ECUに対応

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11333/?ST=nxt_thmit_security

JVN#40102375 QNDにおける権限昇格の脆弱性

https://jvn.jp/jp/JVN40102375/index.html

JVNVU#99295063 ブラザー製iPrint＆Scanにバンドルされている.NET 8.0に複数の脆弱性

https://jvn.jp/vu/JVNVU99295063/index.html

2025年12月11日木曜日

11日木曜日、先勝

+ RHSA-2025:23048 Important: tomcat security update

https://access.redhat.com/errata/RHSA-2025:23048

CVE-2025-31651

CVE-2025-55752

+ RHSA-2025:23063 Moderate: ruby:3.3 security update

https://access.redhat.com/errata/RHSA-2025:23063

CVE-2025-24294

CVE-2025-58767

CVE-2025-61594

+ RHSA-2025:23034 Important: firefox security update

https://access.redhat.com/errata/RHSA-2025:23034

CVE-2025-14321

CVE-2025-14322

CVE-2025-14323

CVE-2025-14324

CVE-2025-14325

CVE-2025-14328

CVE-2025-14329

CVE-2025-14330

CVE-2025-14331

CVE-2025-14333

+ Google Chrome 143.0.7499.109/.110, 142.0.7499.235 released

https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop_10.html

https://chromereleases.googleblog.com/2025/12/extended-stable-updates-for-desktop_10.html

+ Mozilla Foundation Security Advisory 2025-95 Security Vulnerabilities fixed in Thunderbird 146

https://www.mozilla.org/en-US/security/advisories/mfsa2025-95/

CVE-2025-14321

CVE-2025-14322

CVE-2025-14323

CVE-2025-14324

CVE-2025-14325

CVE-2025-14326

CVE-2025-14327

CVE-2025-14328

CVE-2025-14329

CVE-2025-14330

CVE-2025-14331

CVE-2025-14332

CVE-2025-14333

+ Mozilla Foundation Security Advisory 2025-96 Security Vulnerabilities fixed in Thunderbird 140.6

https://www.mozilla.org/en-US/security/advisories/mfsa2025-96/

+ Mozilla Thunderbird 146.0, 140.6.0 released

https://www.thunderbird.net/en-US/thunderbird/146.0/releasenotes/

https://www.thunderbird.net/en-US/thunderbird/140.6.0esr/releasenotes/

+ JVNVU#95258252 Apache Struts 2におけるサービス運用妨害（DoS）の脆弱性（S2-068）

https://jvn.jp/vu/JVNVU95258252/index.html

CVE-2025-64775

+ Linux Kernelの脆弱性(CVE-2025-40209～CVE-2025-40344)

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20251211/

CVE-2025-40209

CVE-2025-40210

CVE-2025-40211

CVE-2025-40212

CVE-2025-40213

CVE-2025-40214

CVE-2025-40215

CVE-2025-40216

CVE-2025-40217

CVE-2025-40218

CVE-2025-40219

CVE-2025-40220

CVE-2025-40221

CVE-2025-40222

CVE-2025-40223

CVE-2025-40224

CVE-2025-40225

CVE-2025-40226

CVE-2025-40227

CVE-2025-40228

CVE-2025-40229

CVE-2025-40230

CVE-2025-40231

CVE-2025-40232

CVE-2025-40233

CVE-2025-40234

CVE-2025-40235

CVE-2025-40236

CVE-2025-40237

CVE-2025-40238

CVE-2025-40239

CVE-2025-40240

CVE-2025-40241

CVE-2025-40242

CVE-2025-40243

CVE-2025-40244

CVE-2025-40245

CVE-2025-40246

CVE-2025-40247

CVE-2025-40248

CVE-2025-40249

CVE-2025-40250

CVE-2025-40251

CVE-2025-40252

CVE-2025-40253

CVE-2025-40254

CVE-2025-40255

CVE-2025-40256

CVE-2025-40257

CVE-2025-40258

CVE-2025-40259

CVE-2025-40260

CVE-2025-40261

CVE-2025-40262

CVE-2025-40263

CVE-2025-40264

CVE-2025-40265

CVE-2025-40266

CVE-2025-40267

CVE-2025-40268

CVE-2025-40269

CVE-2025-40270

CVE-2025-40271

CVE-2025-40272

CVE-2025-40273

CVE-2025-40274

CVE-2025-40275

CVE-2025-40276

CVE-2025-40277

CVE-2025-40278

CVE-2025-40279

CVE-2025-40280

CVE-2025-40281

CVE-2025-40282

CVE-2025-40283

CVE-2025-40284

CVE-2025-40285

CVE-2025-40286

CVE-2025-40287

CVE-2025-40288

CVE-2025-40289

CVE-2025-40290

CVE-2025-40291

CVE-2025-40292

CVE-2025-40293

CVE-2025-40294

CVE-2025-40295

CVE-2025-40296

CVE-2025-40297

CVE-2025-40298

CVE-2025-40299

CVE-2025-40300

CVE-2025-40301

CVE-2025-40302

CVE-2025-40303

CVE-2025-40304

CVE-2025-40305

CVE-2025-40306

CVE-2025-40307

CVE-2025-40308

CVE-2025-40309

CVE-2025-40310

CVE-2025-40311

CVE-2025-40312

CVE-2025-40313

CVE-2025-40314

CVE-2025-40315

CVE-2025-40316

CVE-2025-40317

CVE-2025-40318

CVE-2025-40319

CVE-2025-40320

CVE-2025-40321

CVE-2025-40322

CVE-2025-40323

CVE-2025-40324

CVE-2025-40325

CVE-2025-40326

CVE-2025-40327

CVE-2025-40328

CVE-2025-40329

CVE-2025-40330

CVE-2025-40331

CVE-2025-40332

CVE-2025-40333

CVE-2025-40334

CVE-2025-40335

CVE-2025-40336

CVE-2025-40337

CVE-2025-40338

CVE-2025-40339

CVE-2025-40340

CVE-2025-40341

CVE-2025-40342

CVE-2025-40343

CVE-2025-40344

+ Apache Strutsの脆弱性(Important: CVE-2025-64775 (採番し直し：CVE-2025-66675が最新))

https://security.sios.jp/vulnerability/struts-security-vulnerability-20251202/

CVE-2025-66675

+ Apache Struts 2の脆弱性(Important: CVE-2025-66675 (Old: CVE-2025-64775))

https://security.sios.jp/vulnerability/struts-security-vulnerability-20251210/

CVE-2025-66675

JVN#19940619 GroupSessionにおける複数の脆弱性

https://jvn.jp/jp/JVN19940619/index.html

JVN#03295012 複数のアイ・オー・データ製NAS管理アプリケーションにおける引用符で囲まれていないファイルパスの脆弱性

https://jvn.jp/jp/JVN03295012/index.html

JVNVU#99514792 Siemens製品に対するアップデート（2025年12月）

https://jvn.jp/vu/JVNVU99514792/index.html

JVNVU#95829976 Universal Boot Loader（U-Boot）におけるブートコードがコピーされる揮発性メモリに対するアクセス制御が不適切な脆弱性

https://jvn.jp/vu/JVNVU95829976/index.html

JVNVU#99751719 Festo製LX Applianceにおけるクロスサイトスクリプティングの脆弱性

https://jvn.jp/vu/JVNVU99751719/index.html

ニュース＆リポート

アサヒ、ランサム被害で初会見　大規模被害招いた3つの盲点

EDRで検知できず、バックアップ無事も復旧まで長期化

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/120201355/?ST=nxt_thmit_security

2025年12月10日水曜日

10日水曜日、赤口

+ RHSA-2025:22801 Moderate: kernel security update

https://access.redhat.com/errata/RHSA-2025:22801

CVE-2022-50543

CVE-2023-53401

CVE-2023-53539

+ RHSA-2025:22789 Important: webkit2gtk3 security update

https://access.redhat.com/errata/RHSA-2025:22789

CVE-2023-43000

CVE-2025-13502

CVE-2025-13947

CVE-2025-43392

CVE-2025-43419

CVE-2025-43421

CVE-2025-43425

CVE-2025-43427

CVE-2025-43429

CVE-2025-43430

CVE-2025-43431

CVE-2025-43432

CVE-2025-43434

CVE-2025-43440

CVE-2025-43443

CVE-2025-43458

CVE-2025-43480

CVE-2025-66287

+ RHSA-2025:22790 Important: webkit2gtk3 security update

https://access.redhat.com/errata/RHSA-2025:22790

CVE-2023-43000

CVE-2025-13502

CVE-2025-13947

CVE-2025-43392

CVE-2025-43419

CVE-2025-43421

CVE-2025-43425

CVE-2025-43427

CVE-2025-43429

CVE-2025-43430

CVE-2025-43431

CVE-2025-43432

CVE-2025-43434

CVE-2025-43440

CVE-2025-43443

CVE-2025-43458

CVE-2025-43480

CVE-2025-66287

+ Mozilla Firefox 146.0 released

https://www.firefox.com/en-US/firefox/146.0/releasenotes/

+ Mozilla Foundation Security Advisory 2025-92 Security Vulnerabilities fixed in Firefox 146

https://www.mozilla.org/en-US/security/advisories/mfsa2025-92/

CVE-2025-14321

CVE-2025-14322

CVE-2025-14323

CVE-2025-14324

CVE-2025-14325

CVE-2025-14326

CVE-2025-14327

CVE-2025-14328

CVE-2025-14329

CVE-2025-14330

CVE-2025-14331

CVE-2025-14332

CVE-2025-14333

+ Mozilla Foundation Security Advisory 2025-94 Security Vulnerabilities fixed in Firefox ESR 140.6

https://www.mozilla.org/en-US/security/advisories/mfsa2025-94/

+ Mozilla Foundation Security Advisory 2025-93 Security Vulnerabilities fixed in Firefox ESR 115.31

https://www.mozilla.org/en-US/security/advisories/mfsa2025-93/

VU#821724 TOTOLINK's X5000R's (AX1800 router) lacks authentication for telnet

https://www.kb.cert.org/vuls/id/821724

VU#404544 Vulnerabilities identified in PCIe Integrity and Data Encryption (IDE) protocol specification

https://www.kb.cert.org/vuls/id/404544

JVN#33172708 エレコム製クローン for Windowsにおける引用符で囲まれていないファイルパスの脆弱性

https://jvn.jp/jp/JVN33172708/index.html

JVNVU#99073323 MAXHUB製Pivotにおける脆弱なパスワードリカバリの脆弱性

https://jvn.jp/vu/JVNVU99073323/index.html

データは語る

SaaS事業者のランサムウエア対策　BCP策定未実施の企業が6割超

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600010/120200213/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

アサヒのランサム記者会見に多くの学び、攻撃は「高度かつ巧妙」だったのか

https://xtech.nikkei.com/atcl/nxt/column/18/00676/120300212/?ST=nxt_thmit_security

2025年12月9日火曜日

9日火曜日、大安

+ Apache Tomcat 11.0.15, 10.1.50 Released

https://tomcat.apache.org/tomcat-11.0-doc/changelog.html#Tomcat_11.0.15_(markt)

https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.50_(schultz)

JVNVU#91640936 React Server Componentsにおける信頼できないデータのデシリアライゼーションの脆弱性

https://jvn.jp/vu/JVNVU91640936/index.html

JVNVU#99973778 Androidアプリ「Brother iPrint&Scan」における外部キャッシュディレクトリの不適切な使用

https://jvn.jp/vu/JVNVU99973778/index.html

JVN#19940619 GroupSessionにおける複数の脆弱性

https://jvn.jp/jp/JVN19940619/index.html

JVN#59242986 ＧＳユアサ製FULLBACK Manager Proにおける引用符で囲まれていないファイルパスの脆弱性

https://jvn.jp/jp/JVN59242986/index.html

JVNVU#98826583 Fluent Bitにおける複数の脆弱性

https://jvn.jp/vu/JVNVU98826583/index.html

ニュース解説

「伴走型」セキュリティーサービス続々、顧問を求める経営者のニーズ受け

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11324/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

地下タンクのタマダHDGが不正アクセス被害、ゲートウエイに総当たり攻撃

https://xtech.nikkei.com/atcl/nxt/column/18/00598/041800344/?ST=nxt_thmit_security

10万件以上の個人情報が漏洩、審調社がランサム被害の調査結果を公表

https://xtech.nikkei.com/atcl/nxt/news/24/03016/?ST=nxt_thmit_security

2025年12月8日月曜日

8日月曜日、仏滅

+ Apache Tomcat 9.0.113 Released

https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.113_(remm)

+ libpng 1.6.53 released

https://www.libpng.org/pub/png/src/libpng-1.6.53-README.txt

+ Postfix stable release 3.10.7 and legacy releases 3.9.8, 3.8.14, 3.7.19

https://www.postfix.org/announcements/postfix-3.10.7.html

+ JVNVU#97286548 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート（2025年12月）

https://jvn.jp/vu/JVNVU97286548/index.html

CVE-2025-55753

CVE-2025-58098

CVE-2025-59775

CVE-2025-65082

CVE-2025-66200

VU#441887 Duc contains a stack buffer overflow vulnerability in the buffer_get function, allowing for out-of-bounds memory read

https://www.kb.cert.org/vuls/id/441887

マイナンバーカード保有枚数が1億枚突破、保有率は80.3％に

https://xtech.nikkei.com/atcl/nxt/news/24/03013/?ST=nxt_thmit_security

JVNVU#98826583 Fluent Bitにおける複数の脆弱性

https://jvn.jp/vu/JVNVU98826583/index.html

JVNVU#99073323 MAXHUB製Pivotにおける脆弱なパスワードリカバリの脆弱性

https://jvn.jp/vu/JVNVU99073323/index.html

JVNVU#91904913 複数のJohnson Controls製品における複数の脆弱性

https://jvn.jp/vu/JVNVU91904913/index.html

JVNVU#90026877 複数のSunbird製品における複数の脆弱性

https://jvn.jp/vu/JVNVU90026877/index.html

JVNVU#95127786 SolisCloud製Monitoring Platformにおけるユーザ識別情報操作による権限チェック回避の脆弱性

https://jvn.jp/vu/JVNVU95127786/index.html

JVNVU#96043168 Advantech製iViewにおけるSQLインジェクションの脆弱性

https://jvn.jp/vu/JVNVU96043168/index.html

JVNVU#97933962 複数のJohnson Controls製品における脆弱なサードパーティコンポーネントへの依存の脆弱性

https://jvn.jp/vu/JVNVU97933962/index.html

JVNVU#92585729 Consilium Safety製CS5000 Fire Panelにおける複数の脆弱性

https://jvn.jp/vu/JVNVU92585729/index.html

JVN#84024274 ABB製Terra AC wallboxにおける複数の脆弱性

https://jvn.jp/jp/JVN84024274/index.html

2025年12月5日金曜日

5日金曜日、先勝

+ RHSA-2025:22760 Important: abrt security update

https://access.redhat.com/errata/RHSA-2025:22760

CVE-2025-12744

+ Apache HTTP Server 2.4.66 released

https://downloads.apache.org/httpd/Announcement2.4.html

https://downloads.apache.org/httpd/CHANGES_2.4.66

+ Apache HTTP Serverの脆弱性(Moderate: CVE-2025-59775, CVE-2025-66200, Low: CVE-2025-55753, CVE-2025-58098,CVE-2025-65082)と新バージョン(Apache HTTP Server 2.4.66)

https://security.sios.jp/vulnerability/apache-security-vulnerability-20251205/

CVE-2025-59775

CVE-2025-66200

CVE-2025-55753

CVE-2025-58098

CVE-2025-65082

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

生成AIとの「秘密の会話」が漏洩　暗号化通信でも話題を特定可能

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/120200174/?ST=nxt_thmit_security

駿河屋.JP、カード情報3万431件漏洩の恐れ　8月公表の不正アクセス

https://xtech.nikkei.com/atcl/nxt/news/24/03012/?ST=nxt_thmit_security

2025年12月4日木曜日

4日木曜日、赤口

+ RHSA-2025:22668 Moderate: go-toolset:rhel8 security update

https://access.redhat.com/errata/RHSA-2025:22668

CVE-2025-47906

CVE-2025-58183

+ RHSA-2025:22660 Moderate: systemd security update

https://access.redhat.com/errata/RHSA-2025:22660

CVE-2025-4598

+ Wireshark 4.6.2 Released

https://www.wireshark.org/docs/relnotes/wireshark-4.6.2.html

+ libpng 1.6.52 released

https://www.libpng.org/pub/png/src/libpng-1.6.52-README.txt

+ OpenVPNの脆弱性(Critical: CVE-2025-12106, Medium: CVE-2025-13086, Low: CVE-2025-13751)

https://security.sios.jp/vulnerability/openvpn-security-vulnerability-20251204/

CVE-2025-12106

CVE-2025-13086

CVE-2025-13751

JVNVU#94566402 Industrial Video & Control製Longwatchにおけるコードインジェクションの脆弱性

https://jvn.jp/vu/JVNVU94566402/index.html

JVNVU#93931600 Mirion Medical製EC2 Software NMIS BioDoseにおける複数の脆弱性

https://jvn.jp/vu/JVNVU93931600/index.html

JVNVU#99686415 nopCommerceにセッションCookieが無効化されない脆弱性

https://jvn.jp/vu/JVNVU99686415/index.html

記者の眼

アサヒ、アスクルのランサムウエア被害の教訓　やられる前提の設計急げ

https://xtech.nikkei.com/atcl/nxt/column/18/00138/120201904/?ST=nxt_thmit_security

アスクルが「ASKUL」Web受注再開、倉庫管理システム再稼働は12月中旬以降

https://xtech.nikkei.com/atcl/nxt/news/24/03009/?ST=nxt_thmit_security

2025年12月3日水曜日

3日水曜日、大安

+ RHSA-2025:22417 Important: gimp:2.8 security update

https://access.redhat.com/errata/RHSA-2025:22417

CVE-2025-10920

CVE-2025-10921

CVE-2025-10922

CVE-2025-10923

CVE-2025-10924

CVE-2025-10925

CVE-2025-10934

+ RHSA-2025:22388 Moderate: kernel security update

https://access.redhat.com/errata/RHSA-2025:22388

CVE-2023-53513

CVE-2025-38724

CVE-2025-39825

CVE-2025-39883

CVE-2025-39898

CVE-2025-39955

+ RHSA-2025:22363 Important: firefox security update

https://access.redhat.com/errata/RHSA-2025:22363

CVE-2025-13012

CVE-2025-13013

CVE-2025-13014

CVE-2025-13015

CVE-2025-13016

CVE-2025-13017

CVE-2025-13018

CVE-2025-13019

CVE-2025-13020

+ RHSA-2025:22405 Moderate: kernel security update

https://access.redhat.com/errata/RHSA-2025:22405

CVE-2025-38724

CVE-2025-39864

CVE-2025-39898

CVE-2025-39918

CVE-2025-39955

CVE-2025-39981

CVE-2025-40058

CVE-2025-40185

+ RHSA-2025:22376 Moderate: libxml2 security update

https://access.redhat.com/errata/RHSA-2025:22376

CVE-2025-9714

+ Rocky Linux 9.7 Available Now

https://rockylinux.org/ja-JP/news/rocky-linux-9-7-ga-release

+ Rocky Linux 10.1 Available Now

https://rockylinux.org/ja-JP/news/rocky-linux-10-1-ga-release

+ Google Chrome 143.0.7499.40/41, 142.0.7499.226 released

https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop.html

https://chromereleases.googleblog.com/2025/12/extended-stable-updates-for-desktop.html

+ FreeBSD 15.0-RELEASE Release

https://www.freebsd.org/releases/15.0R/relnotes/

マルウエア徹底解剖

LockBitからの流出データに学ぶ

［第72回］

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/111800073/?ST=nxt_thmit_security

ニュース解説

アスクルが決算発表を延期、ランサム被害の集計に時間を要する

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11307/?ST=nxt_thmit_security

2025年12月2日火曜日

2日火曜日、仏滅

+ ■Unboundの脆弱性情報が公開されました（CVE-2025-11411）

https://jprs.jp/tech/security/2025-12-01-unbound.html

CVE-2025-11411

+ S2-068 File leak in multipart request processing causes disk exhaustion (DoS)

https://cwiki.apache.org/confluence/display/WW/S2-068

CVE-2025-64775

+ Apache Strutsの脆弱性(Important: CVE-2025-64775)

https://security.sios.jp/vulnerability/struts-security-vulnerability-20251202/

CVE-2025-64775

Current:VU#633103 Insufficient Session Cookie Invalidation in nopCommerce ASP.NET Core eCommerce Platform

https://www.kb.cert.org/vuls/id/633103

絵で見て分かるネットワーク必修キーワード

TLS

インターネットでやり取りするデータを暗号化

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091900172/111700027/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

クラウド事業者に不正アクセス、悪用されたリモートアクセスの設定ファイル

https://xtech.nikkei.com/atcl/nxt/column/18/00598/041800343/?ST=nxt_thmit_security

ニュース解説

アサヒへのランサム攻撃は「典型的な手口」、EDRの回避も常とう手段

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11304/?ST=nxt_thmit_security

2025年12月1日月曜日

1日月曜日、先負

+ Apache POI 5.5.1 available

https://www.apache.org/dyn/closer.lua/poi/release/RELEASE-NOTES.txt

https://poi.apache.org/changes.html#5.5.1

JVNVU#95288056 三菱電機製GX Works 2におけるプロジェクトファイル保護のための認証情報が平文で保存される脆弱性

https://jvn.jp/vu/JVNVU95288056/index.html

JVN#28247549 INZONE HubのインストーラにおけるDLL読み込みに関する脆弱性

https://jvn.jp/jp/JVN28247549/index.html

月刊ランサムリポート

2025年9月のランサム被害は100件増加　アサヒGHD狙った「Qilin」が猛威振るう

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041600214/111800009/?ST=nxt_thmit_security

吉川孝志のマルウエア徹底解剖

第22回

侵入経路の傾向や身代金交渉の実態が明らかに、LockBit流出データを分析

https://xtech.nikkei.com/atcl/nxt/column/18/02805/111800023/?ST=nxt_thmit_security

ニュース解説

アサヒGHD会見の一問一答、システムの完全破壊は「疎結合」により回避

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11303/?ST=nxt_thmit_security

2025年11月28日金曜日

28日金曜日、赤口

NEWS close-up

生成AIでフィッシングが巧妙化

クリック率5割超のメールを3分で生成　攻撃側AIの「くせ」を防御側AIが見破るケースも

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/111800308/?ST=nxt_thmit_security

ランサムウエア攻撃の手口を暴く

国内でも被害相次ぐ

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111800234/111800001/?ST=nxt_thmit_security

月刊ランサムリポート

第12回

25年10月のランサム被害は今年最多、新顔の犯罪集団「SLSH」に注意

https://xtech.nikkei.com/atcl/nxt/column/18/03053/112500013/?ST=nxt_thmit_security

ニュース解説

アサヒがランサム被害でVPN廃止、大規模被害招いた3つの技術的盲点

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11296/?ST=nxt_thmit_security

アサヒがランサムウエア被害について説明、個人情報漏洩は191万件以上か

https://xtech.nikkei.com/atcl/nxt/news/24/02998/?ST=nxt_thmit_security

JVNVU#90064104 JavaScriptライブラリ「Forge」における署名検証不備の脆弱性

https://jvn.jp/vu/JVNVU90064104/index.html

2025年11月27日木曜日

27日木曜日、大安

+ RHSA-2025:22175 Important: expat security update

https://access.redhat.com/errata/RHSA-2025:22175

CVE-2025-59375

+ Rocky Linux 10.1 Available Now

https://rockylinux.org/ja-JP/news/rocky-linux-10-1-ga-release

+ FreeBSD-SA-25:10.unbound Cache poison in local-unbound service

https://www.freebsd.org/security/advisories/FreeBSD-SA-25:10.unbound.asc

CVE-2025-11411

JVNVU#96321661 複数のAshlar-Vellum製品における複数の脆弱性

https://jvn.jp/vu/JVNVU96321661/index.html

JVNVU#95744894 Rockwell Automation製Arena Simulationにおけるスタックベースのバッファオーバーフローの脆弱性

https://jvn.jp/vu/JVNVU95744894/index.html

JVNVU#95856197 Zenitel製TCIV-3+における複数の脆弱性

https://jvn.jp/vu/JVNVU95856197/index.html

JVNVU#95903281 Opto 22製groov Viewにおけるメタデータによる機微な情報の漏えいの脆弱性

https://jvn.jp/vu/JVNVU95903281/index.html

JVNVU#93009947 複数のFesto製品における複数の脆弱性

https://jvn.jp/vu/JVNVU93009947/index.html

JVNVU#96456143 SiRcom製SMART Alert (SiSA)における重要な機能に対する認証の欠如の脆弱性

https://jvn.jp/vu/JVNVU96456143/index.html

JVN#67185535 SwitchBot製スマートテレビドアホンに利用可能なデバッグ機能が存在している脆弱性

https://jvn.jp/jp/JVN67185535/index.html

JVNVU#98826583 Fluent Bitにおける複数の脆弱性

https://jvn.jp/vu/JVNVU98826583/index.html

ニュース＆リポート

「北朝鮮IT労働者」が日本でも活動　クラウドソーシングで求職の可能性

世界では年間最大8億ドルの外貨獲得か

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/111401349/?ST=nxt_thmit_security

日経NETWORK 特別リポート

米Fortinetが2026年5月に技術サポート終了

SSL-VPNは限界か

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/111800097/?ST=nxt_thmit_security

北郷達郎のテクノロジー温故知新

便利だけどちょっと危ない、「AIによる要約」とどう向き合うか

https://xtech.nikkei.com/atcl/nxt/column/18/02598/111800027/?ST=nxt_thmit_security

記者の眼

多要素認証だけでは不十分、「多経路認証」が必要だ

https://xtech.nikkei.com/atcl/nxt/column/18/00138/111701893/?ST=nxt_thmit_security

2025年11月26日水曜日

26日水曜日、仏滅

+ RHSA-2025:22063 Moderate: cups security update

https://access.redhat.com/errata/RHSA-2025:22063

CVE-2025-58364

+ RHSA-2025:22011 Important: buildah security update

https://access.redhat.com/errata/RHSA-2025:22011

CVE-2025-52881

CVE-2025-58183

+ RHSA-2025:22005 Moderate: go-rpm-macros security update

https://access.redhat.com/errata/RHSA-2025:22005

CVE-2025-47906

+ Postfix stable release 3.10.6 and legacy releases 3.9.7, 3.8.13, 3.7.18

https://www.postfix.org/announcements/postfix-3.10.6.html

VU#521113 Forge JavaScript library impacted by a vulnerability in signature verification.

https://www.kb.cert.org/vuls/id/521113

JVN#76298784 MaLionの端末エージェント（Windows）における複数の脆弱性

https://jvn.jp/jp/JVN76298784/index.html

JVN#75140384 SNC-CX600Wにおける複数の脆弱性

https://jvn.jp/jp/JVN75140384/index.html

JVN#63368617 スマートフォンアプリ「FOD」におけるハードコードされた暗号鍵使用の脆弱性

https://jvn.jp/jp/JVN63368617/index.html

NEWS close-up

アサヒグループHDがランサムウエア被害

物流システムの停止で受注・出荷業務が滞る　9300超のファイルを盗取と犯行声明

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/111800306/?ST=nxt_thmit_security

日経コンピュータ「ITが危ない」

AIボットが招くWebサイト危機　アクセスがDDoS状態に

流入減やブランド毀損、指標の信頼性低下も

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/092400133/111700182/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

生成AIとの「秘密の会話」が漏洩、暗号化通信でも話題を特定できる新攻撃

https://xtech.nikkei.com/atcl/nxt/column/18/00676/112000211/?ST=nxt_thmit_security

2025年11月25日火曜日

25日火曜日、先負

+ General Availability of AlmaLinux OS 10.1 Stable!

https://almalinux.org/blog/2025-11-24-almalinux_101_release/

+ RHSA-2025:21977 Moderate: libssh security update

https://access.redhat.com/errata/RHSA-2025:21977

CVE-2025-5372

+ RHSA-2025:21917 Moderate: kernel security update

https://access.redhat.com/errata/RHSA-2025:21917

CVE-2025-39697

CVE-2025-39971

+ RHSA-2025:21968 Important: gimp security update

https://access.redhat.com/errata/RHSA-2025:21968

CVE-2025-10920

CVE-2025-10921

CVE-2025-10922

CVE-2025-10923

CVE-2025-10924

CVE-2025-10925

CVE-2025-10934

+ RHSA-2025:21926 Moderate: kernel security update

https://access.redhat.com/errata/RHSA-2025:21926

CVE-2025-39843

+ RHSA-2025:21916 Important: valkey security update

https://access.redhat.com/errata/RHSA-2025:21916

CVE-2025-46817

CVE-2025-46818

CVE-2025-46819

CVE-2025-49844

VU#761751 fluentbit contains stack buffer overflow, authentication bypass, and path traversal flaws

https://www.kb.cert.org/vuls/id/761751

VU#649739 Lack of Sufficient Guardrails Lead to Excessive Agency (LLM08) in Some LLM Applications

https://www.kb.cert.org/vuls/id/649739

JVNVU#98839043 複数のAutomated Logic製品における複数の脆弱性

https://jvn.jp/vu/JVNVU98839043/index.html

JVNVU#96948074 iCam365製CCTVカメラにおける複数の脆弱性

https://jvn.jp/vu/JVNVU96948074/index.html

JVNVU#91937636 複数のOpto 22製品における複数の脆弱性

https://jvn.jp/vu/JVNVU91937636/index.html

JVNVU#96081903 複数のFesto製品における複数の脆弱性

https://jvn.jp/vu/JVNVU96081903/index.html

JVNVU#92671761 Emerson製Appleton UPSMON-PROにおけるスタックベースのバッファオーバーフローの脆弱性

https://jvn.jp/vu/JVNVU92671761/index.html

JVN#77560819 LogStare Collectorにおける複数の脆弱性

https://jvn.jp/jp/JVN77560819/index.html

ケーススタディー

パスキーを約3カ月で導入　2カ月で全顧客の3分の1が利用

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600004/111700196/?ST=nxt_thmit_security

日経コンピュータ「動かないコンピュータ」

ランサム攻撃で出荷業務が停止　復旧に向けシステムを再構築

アスクル

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/111700194/?ST=nxt_thmit_security

piyokangoの月刊システムトラブル

日本政策金融公庫で設定不備　高校生ビジコンの受付サイトで

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/111800081/?ST=nxt_thmit_security

記者の眼

明日は我が身のランサムウエア被害、平時にこそ備えを

https://xtech.nikkei.com/atcl/nxt/column/18/00138/112001898/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

続く医療機関向けサービスのトラブル、EMシステムの電子カルテ使用できず

https://xtech.nikkei.com/atcl/nxt/column/18/00598/041800342/?ST=nxt_thmit_security

2025年11月21日金曜日

21日金曜日、大安

+ RHSA-2025:21897 Moderate: Satellite 6.15.5.7 Async Update

https://access.redhat.com/errata/RHSA-2025:21897

CVE-2025-9572

+ RHSA-2025:21894 Moderate: Satellite 6.16.5.6 Async Update

https://access.redhat.com/errata/RHSA-2025:21894

CVE-2025-9572

+ RHSA-2025:21881 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2025:21881

CVE-2025-13012

CVE-2025-13013

CVE-2025-13014

CVE-2025-13015

CVE-2025-13016

CVE-2025-13017

CVE-2025-13018

CVE-2025-13019

CVE-2025-13020

+ RHSA-2025:21893 Moderate: Satellite 6.17.6.1 Async Update

https://access.redhat.com/errata/RHSA-2025:21893

CVE-2025-9572

+ RHSA-2025:21886 Moderate: Satellite 6.18.1 Async Update

https://access.redhat.com/errata/RHSA-2025:21886

CVE-2025-9572

+ RHSA-2025:21815 Moderate: delve and golang security update

https://access.redhat.com/errata/RHSA-2025:21815

CVE-2025-58183

+ Google Chrome 143.0.7499.40/.41 released

https://chromereleases.googleblog.com/2025/11/early-stable-update-for-desktop.html

+ セキュリティ更新プログラムリリーススケジュール (2026 年)

https://www.microsoft.com/en-us/msrc/blog/2025/11/securityupdatereleaseschedule2026

+ PHP 8.5.0, 8.4.15, 8.3.28 released

https://www.php.net/ChangeLog-8.php#8.5.0

https://www.php.net/ChangeLog-8.php#8.4.15

https://www.php.net/ChangeLog-8.php#8.3.28

VU#268029 Tenda N300 Wi-Fi 4G LTE Router 4G03 Pro impacted by vulnerabilities

https://www.kb.cert.org/vuls/id/268029

極言正論

「CIOはなぜ説明しない」との声　ランサム攻撃で状況は変わるか

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600007/111200204/?ST=nxt_thmit_security

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

アサヒを襲ったランサムグループ　事例から手口の詳細が明らかに

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/111400173/?ST=nxt_thmit_security

ニュース解説

CICの信用情報ネット開示、再開から1カ月　マイナカードで本人確認を強化

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11266/?ST=nxt_thmit_security

日本インタラクティブ広告協会、事業者向け「データ取扱基本原則」を公表

https://xtech.nikkei.com/atcl/nxt/news/24/02989/?ST=nxt_thmit_security

JVNVU#95021911 セイコーエプソン製プロジェクターのEPSON WebConfig / Epson Web Controlにおける過度な認証試行を制限する機能の欠如

https://jvn.jp/vu/JVNVU95021911/index.html

2025年11月20日木曜日

20日木曜日、仏滅

+ RHSA-2025:21776 Important: expat security update

https://access.redhat.com/errata/RHSA-2025:21776

CVE-2025-59375

+ Wireshark 4.6.1, 4.4.11 released

https://www.wireshark.org/docs/relnotes/wireshark-4.6.1.html

https://www.wireshark.org/docs/relnotes/wireshark-4.4.11.html

+ ISC BIND 9.20.16, 9.18.42 released

https://downloads.isc.org/isc/bind9/9.20.16/doc/arm/html/notes.html

https://downloads.isc.org/isc/bind9/9.18.42/doc/arm/html/notes.html

日本通信とペーパーロジックが提携、認定証明書で当事者型電子契約サービス

https://xtech.nikkei.com/atcl/nxt/news/24/02985/?ST=nxt_thmit_security

JVNVU#98171499 複数のSchneider Electric製品における複数の脆弱性

https://jvn.jp/vu/JVNVU98171499/index.html

JVNVU#94917669 複数のShelly製品における複数の脆弱性

https://jvn.jp/vu/JVNVU94917669/index.html

JVNVU#96415307 METZ CONNECT製EWIO2シリーズにおける複数の脆弱性

https://jvn.jp/vu/JVNVU96415307/index.html

JVN#50288352 らくらく無線スタートEX for WindowsのインストーラにおけるDLL読み込みに関する脆弱性

https://jvn.jp/jp/JVN50288352/index.html

JVNVU#90148644 複数のSchneider Electric製品における複数の脆弱性

https://jvn.jp/vu/JVNVU90148644/index.html

JVNVU#92758463 Wolfram Cloudに一時ディレクトリの競合状態に起因する権限昇格につながる脆弱性

https://jvn.jp/vu/JVNVU92758463/index.html

2025年11月19日水曜日

19日水曜日、友引

+ RHSA-2025:21628 Critical: lasso security update

https://access.redhat.com/errata/RHSA-2025:21628

CVE-2025-47151

+ RHSA-2025:21702 Important: podman security update

https://access.redhat.com/errata/RHSA-2025:21702

CVE-2025-52881

+ RHSA-2025:21693 Important: haproxy security update

https://access.redhat.com/errata/RHSA-2025:21693

CVE-2025-11230

+ RHSA-2025:21469 Moderate: kernel security update

https://access.redhat.com/errata/RHSA-2025:21469

CVE-2025-38351

CVE-2025-38498

CVE-2025-39697

CVE-2025-39881

CVE-2025-39971

CVE-2025-39982

CVE-2025-39983

CVE-2025-40047

+ RHSA-2025:21462 Critical: lasso security update

https://access.redhat.com/errata/RHSA-2025:21462

CVE-2025-47151

+ Mozilla Firefox 145.0.1 released

https://www.firefox.com/en-US/firefox/145.0.1/releasenotes/

ClamAV Signature Retirement Announcement

https://blog.clamav.net/2025/11/clamav-signature-retirement-announcement.html

JVNVU#97181602 三菱電機製照明自動調光システムMILCO.S設定・操作アプリケーションにおけるファイル検索パスの制御不備の脆弱性

https://jvn.jp/vu/JVNVU97181602/index.html

JVNVU#97698216 Siemens製品に対するアップデート（2025年11月）

https://jvn.jp/vu/JVNVU97698216/index.html

2025年11月18日火曜日

18日火曜日、先勝

+ General Availability of AlmaLinux OS 9.7 Stable!

https://almalinux.org/blog/2025-11-17-almalinux_97_release/

+ Google Chrome 142.0.7444.175/.176 released

https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop_17.html

+ runcの脆弱性(Important: CVE-2025-31133, CVE-2025-52565, CVE-2025-52881)

https://security.sios.jp/vulnerability/runc-security-vulnerability-20251117/

CVE-2025-31133

CVE-2025-52565

CVE-2025-52881

piyokangoの週刊システムトラブル

バンダイの動画配信サービスで意図せず退会、不正アクセスか

https://xtech.nikkei.com/atcl/nxt/column/18/00598/041800341/?ST=nxt_thmit_security

NECがセキュリティーサービスの新ブランド「CyIOC」、攻撃早期検知

https://xtech.nikkei.com/atcl/nxt/news/24/02978/?ST=nxt_thmit_security

JVNVU#91137355 TCG TPM2.0のリファレンス実装に境界外読み込みの脆弱性

https://jvn.jp/vu/JVNVU91137355/index.html

JVN#54005037 iOSアプリ「デジラアプリ」におけるサーバ証明書の検証不備の脆弱性

https://jvn.jp/jp/JVN54005037/index.html

2025年11月17日月曜日

17日月曜日、赤口

+ Mozilla Foundation Security Advisory 2025-90 Security Vulnerabilities fixed in Thunderbird 145

https://www.mozilla.org/en-US/security/advisories/mfsa2025-90/

CVE-2025-13022

CVE-2025-13012

CVE-2025-13023

CVE-2025-13016

CVE-2025-13024

CVE-2025-13025

CVE-2025-13026

CVE-2025-13017

CVE-2025-13018

CVE-2025-13019

CVE-2025-13013

CVE-2025-13020

CVE-2025-13014

CVE-2025-13015

CVE-2025-13027

+ Apache POI 5.5.0 available

https://www.apache.org/dyn/closer.lua/poi/release/RELEASE-NOTES.txt

https://poi.apache.org/changes.html#5.5.0

JVN#49899607 NCP-HG100におけるOSコマンドインジェクションの脆弱性

https://jvn.jp/jp/JVN49899607/index.html

JVNVU#95624366 複数のAVEVA製品における複数の脆弱性

https://jvn.jp/vu/JVNVU95624366/index.html

JVNVU#94152889 Brightpick製Mission ControlおよびInternal Logic Controlにおける複数の脆弱性

https://jvn.jp/vu/JVNVU94152889/index.html

JVNVU#95731755 複数のRockwell Automation製品における複数の脆弱性

https://jvn.jp/vu/JVNVU95731755/index.html

JVNVU#97698216 Siemens製品に対するアップデート（2025年11月）

https://jvn.jp/vu/JVNVU97698216/index.html

JVNVU#95007707 JavaScriptライブラリexpr-evalおよびexpr-eval-forkに任意のコード実行につながる脆弱性

https://jvn.jp/vu/JVNVU95007707/index.html

アスクルがサイバー攻撃で物流受託先の顧客情報を漏洩、良品計画が被害公表

https://xtech.nikkei.com/atcl/nxt/news/24/02975/?ST=nxt_thmit_security

2025年11月14日金曜日

14日金曜日、先負

+ RHSA-2025:21232 Important: container-tools:rhel8 security update

https://access.redhat.com/errata/RHSA-2025:21232

CVE-2025-31133

CVE-2025-52565

CVE-2025-52881

+ RHSA-2025:21255 Moderate: openssl security update

https://access.redhat.com/errata/RHSA-2025:21255

CVE-2025-9230

+ About the security content of Compressor 4.11.1

https://support.apple.com/en-us/125693

CVE-2025-43515

+ Mozilla Thunderbird 145.0 released

https://www.thunderbird.net/en-US/thunderbird/145.0/releasenotes/

+ PostgreSQL 18.1, 17.7, 16.11, 15.15, 14.20, and 13.23 Released!

https://www.postgresql.org/about/news/postgresql-181-177-1611-1515-1420-and-1323-released-3171/

https://www.postgresql.org/docs/18/release-18-1.html

https://www.postgresql.org/docs/17/release-17-7.html

https://www.postgresql.org/docs/16/release-16-11.html

https://www.postgresql.org/docs/15/release-15-15.html

https://www.postgresql.org/docs/14/release-14-20.html

+ PostgreSQL libpq undersizes allocations, via integer wraparound

https://www.postgresql.org/support/security/CVE-2025-12818/

CVE-2025-12818

+ PostgreSQL CREATE STATISTICS does not check for schema CREATE privilege

https://www.postgresql.org/support/security/CVE-2025-12817/

CVE-2025-12817

2025年11月13日木曜日

13日木曜日、友引

+ Release Notes for Red Hat Enterprise Linux 10.1 released

https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/10/html/10.1_release_notes/index

+ Release Notes for Red Hat Enterprise Linux 9.7 released

https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/9/html/9.7_release_notes/index

+ RHSA-2025:21111 Important: bind9.18 security update

https://access.redhat.com/errata/RHSA-2025:21111

CVE-2025-8677

CVE-2025-40778

CVE-2025-40780

JVNVU#90530817 Intel製品に複数の脆弱性（2025年11月）

https://jvn.jp/vu/JVNVU90530817/index.html

JVNVU#97698216 Siemens製品に対するアップデート（2025年11月）

https://jvn.jp/vu/JVNVU97698216/index.html

ニュース＆リポート

オンラインの本人確認が厳格化　券面撮影や写し送付など原則廃止へ

「iPhoneのマイナンバーカード」での確認は時期尚早か

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/110601343/?ST=nxt_thmit_security

2025年11月12日水曜日

12日水曜日、先勝

+ RHSA-2025:20034 Important: libtiff security update

https://access.redhat.com/errata/RHSA-2025:20034

CVE-2025-8176

+ RHSA-2025:20909 Important: podman security update

https://access.redhat.com/errata/RHSA-2025:20909

CVE-2025-9566

CVE-2025-47907

+ RHSA-2025:20838 Moderate: zziplib security update

https://access.redhat.com/errata/RHSA-2025:20838

CVE-2018-17828

+ RHSA-2025:19930 Moderate: kernel security update

https://access.redhat.com/errata/RHSA-2025:19930

CVE-2024-36350

CVE-2024-36357

CVE-2025-40300

+ Google Chrome 142.0.7444.162/.163 released

https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop_11.html

+ Mozilla Firefox 145.0 released

https://www.firefox.com/en-US/firefox/145.0/releasenotes/

+ Mozilla Foundation Security Advisory 2025-87 Security Vulnerabilities fixed in Firefox 145

https://www.mozilla.org/en-US/security/advisories/mfsa2025-87/

CVE-2025-13021

CVE-2025-13022

CVE-2025-13012

CVE-2025-13023

CVE-2025-13016

CVE-2025-13024

CVE-2025-13025

CVE-2025-13026

CVE-2025-13017

CVE-2025-13018

CVE-2025-13019

CVE-2025-13013

CVE-2025-13020

CVE-2025-13014

CVE-2025-13015

CVE-2025-13027

+ 2025 年 11 月のセキュリティ更新プログラム (月例)

https://www.microsoft.com/en-us/msrc/blog/2025/11/202511-security-update

VU#553375 Unprotected temporary directories in Wolfram Cloud version 14.2 may result in privilege escalation

https://www.kb.cert.org/vuls/id/553375

VU#579478 Lite XL Arbitrary Code Execution via Project Module and Legacy system.exec Function

https://www.kb.cert.org/vuls/id/579478

イノベーションウオッチ

人型ロボが攻撃の踏み台に？

9月の注目論文ランキング

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/040900481/110600015/?ST=nxt_thmit_security

日経コンピュータ「ITが危ない」

大手がSSL-VPNを廃止へ　脆弱性が放置される恐れ

VPN装置で、テレワーク環境の見直しが急務

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/092400133/110600180/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

アサヒを襲ったランサムグループ「Qilin」、事例から手口の詳細が明らかに

https://xtech.nikkei.com/atcl/nxt/column/18/00676/110600210/?ST=nxt_thmit_security

2025年11月11日火曜日

11日火曜日、赤口

+ Apache OpenOffice 4.1.16 released

https://cwiki.apache.org/confluence/display/OOOUSERS/AOO+4.1.16+Release+Notes

+ missing SFTP host verification with wolfSSH

https://curl.se/docs/CVE-2025-10966.html

CVE-2025-10966

+ Apache Tomcat 11.0.14, 10.1.49, 9.0.112 released

https://tomcat.apache.org/tomcat-11.0-doc/changelog.html#Tomcat_11.0.14_(markt)

https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.49_(schultz)

https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.112_(remm)

JVN#76719218 GNU Libmicrohttpd における複数の脆弱性

https://jvn.jp/jp/JVN76719218/index.html

piyokangoの週刊システムトラブル

続く外部サービスからの従業員個人情報の漏洩、西友やアルビオンも

https://xtech.nikkei.com/atcl/nxt/column/18/00598/041800340/?ST=nxt_thmit_security

2025年11月10日月曜日

10日月曜日、大安

+ RHSA-2025:19927 Important: runc security update

https://access.redhat.com/errata/RHSA-2025:19927

CVE-2025-31133

CVE-2025-52565

CVE-2025-52881

VU#263614 Vulnerability in expr-eval JavaScript library can lead to remote code execution.

https://www.kb.cert.org/vuls/id/263614

JVN#13754005 バッファロー製Wi-Fiルーター「WSR-1800AX4シリーズ」における強度が不十分なパスワードハッシュの使用の脆弱性

https://jvn.jp/jp/JVN13754005/index.html

JVN#59387134 CLUSTERPRO XおよびEXPRESSCLUSTER XにおけるOSコマンドインジェクションの脆弱性

https://jvn.jp/jp/JVN59387134/index.html

JVNVU#90469384 Advantech製DeviceOn/iEdgeにおける複数の脆弱性

https://jvn.jp/vu/JVNVU90469384/index.html

JVNVU#91447205 Ubia製Uboxにおける認証情報の不十分な保護の脆弱性

https://jvn.jp/vu/JVNVU91447205/index.html

JVNVU#91601747 複数のABB製品における複数の脆弱性

https://jvn.jp/vu/JVNVU91601747/index.html

JVNVU#94668663 Hitachi Energy製Asset Suiteにおけるログ出力内容の不適切な無害化の脆弱性

https://jvn.jp/vu/JVNVU94668663/index.html

日経コンピュータ「動かないコンピュータ」

「NHK ONE」初日に利用登録不具合　認証コードメールが届かず

日本放送協会（NHK）

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/110600193/?ST=nxt_thmit_security

アスクルが復旧計画を発表、12月上旬以降の通常出荷再開を目指す

https://xtech.nikkei.com/atcl/nxt/news/24/02951/?ST=nxt_thmit_security

2025年11月7日金曜日

7日金曜日、友引

+ RHSA-2025:19909 Important: tigervnc security update

https://access.redhat.com/errata/RHSA-2025:19909

CVE-2025-62229

CVE-2025-62230

CVE-2025-62231

+ RHSA-2025:19856 Important: Satellite 6.15.5.6 Async Update

https://access.redhat.com/errata/RHSA-2025:19856

CVE-2025-10622

CVE-2025-59830

CVE-2025-61919

+ RHSA-2025:19855 Important: Satellite 6.16.5.5 Async Update

https://access.redhat.com/errata/RHSA-2025:19855

CVE-2025-10622

CVE-2025-59830

CVE-2025-61919

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

光学式マウスを使って会話を盗聴　音声による微小な振動を捉える

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/110400171/?ST=nxt_thmit_security

JVNVU#92088475 三菱電機製MELSEC iQ-F CPUユニットのTCP通信におけるサービス運用妨害（DoS）の脆弱性

https://jvn.jp/vu/JVNVU92088475/index.html

JVNVU#97244961 三菱電機製FAエンジニアリングソフトウェア製品における複数の脆弱性

https://jvn.jp/vu/JVNVU97244961/index.html

JVN#95942191 GROWIにおける格納型クロスサイトスクリプティングの脆弱性

https://jvn.jp/jp/JVN95942191/index.html

2025年11月6日木曜日

6日木曜日、先勝

+ RHSA-2025:19793 Important: bind9.16 security update

https://access.redhat.com/errata/RHSA-2025:19793

CVE-2025-40778

CVE-2025-40780

+ About the security content of iOS 18.7.2 and iPadOS 18.7.2

https://support.apple.com/en-us/125633

+ Google Chrome 142.0.7444.134/.135 released

https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop.html

+ UPDATE: JVNVU#92928084 複数のHTTP/2サーバー実装におけるストリームリセット処理の不備（CVE-2025-8671）

https://jvn.jp/vu/JVNVU92928084/index.html

JVNVU#93984110 富士電機製V-SFT-6における複数の脆弱性

https://jvn.jp/vu/JVNVU93984110/index.html

JVNVU#91871055 Delta Electronics製CNCSoft-G2における複数のスタックベースのバッファオーバーフローの脆弱性

https://jvn.jp/vu/JVNVU91871055/index.html

JVNVU#97803034 IDIS製ICM Viewerにおける引数インジェクションの脆弱性

https://jvn.jp/vu/JVNVU97803034/index.html

TenableのCEOが来日、「侵害を受ける手前の対策が必要」

https://xtech.nikkei.com/atcl/nxt/news/24/02940/?ST=nxt_thmit_security

2025年11月5日水曜日

5日水曜日、赤口

+ RHSA-2025:19714 Important: libsoup security update

https://access.redhat.com/errata/RHSA-2025:19714

CVE-2025-4945

CVE-2025-11021

+ RHSA-2025:19572 Moderate: mariadb:10.5 security update

https://access.redhat.com/errata/RHSA-2025:19572

CVE-2023-52969

CVE-2023-52970

CVE-2025-21490

CVE-2025-30693

CVE-2025-30722

+ RHSA-2025:19721 Important: Satellite 6.18.0 new version release

https://access.redhat.com/errata/RHSA-2025:19721

CVE-2025-10622

+ RHSA-2025:19584 Moderate: galera and mariadb security update

https://access.redhat.com/errata/RHSA-2025:19584

CVE-2023-52969

CVE-2023-52970

CVE-2025-21490

CVE-2025-30693

CVE-2025-30722

マルウエア徹底解剖

正規機能の隙を突く「BYOX」

［第71回］

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/101700072/?ST=nxt_thmit_security

ニュース解説

アスクルへのランサムウエア攻撃で犯行声明、「RansomHouse」グループの正体

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11224/?ST=nxt_thmit_security

JVN#92563420 複数のRoboticsware製品における引用符で囲まれていないファイルパスの脆弱性

https://jvn.jp/jp/JVN92563420/index.html

JVN#81917433 Optical Disc Archive Software (Windows版)における引用符で囲まれていないファイルパスの脆弱性

https://jvn.jp/jp/JVN81917433/index.html

JVN#11276793 Progress Flowmonにおける認証後に実行されるOSコマンドインジェクションの脆弱性

https://jvn.jp/jp/JVN11276793/index.html

2025年11月4日火曜日

4日火曜日、大安

+ MantisBT 2.27.3 Released

https://mantisbt.org/blog/archives/mantisbt/799

+ RHSA-2025:19447 Moderate: kernel security update

https://access.redhat.com/errata/RHSA-2025:19447

CVE-2023-53226

CVE-2023-53257

CVE-2025-39864

+ RHSA-2025:19432 Moderate: xorg-x11-server-Xwayland security update

https://access.redhat.com/errata/RHSA-2025:19432

CVE-2025-62229

CVE-2025-62230

CVE-2025-62231

+ RHSA-2025:19489 Important: tigervnc security update

https://access.redhat.com/errata/RHSA-2025:19489

CVE-2025-62229

CVE-2025-62230

CVE-2025-62231

+ RHSA-2025:19409 Moderate: kernel security update

https://access.redhat.com/errata/RHSA-2025:19409

CVE-2022-50367

CVE-2023-53494

CVE-2025-39702

+ About the security content of iOS 26.1 and iPadOS 26.1

https://support.apple.com/en-us/125632

CVE-2025-43442

CVE-2025-43455

CVE-2025-43447

CVE-2025-43462

CVE-2025-43449

CVE-2025-43379

CVE-2025-43407

CVE-2025-43423

CVE-2025-43450

CVE-2025-43448

CVE-2025-43426

CVE-2025-43350

CVE-2025-43436

CVE-2025-43445

CVE-2025-43498

CVE-2025-43507

CVE-2025-43444

CVE-2025-43398

CVE-2025-43413

CVE-2025-43496

CVE-2025-43294

CVE-2025-43386

CVE-2025-43385

CVE-2025-43384

CVE-2025-43383

CVE-2025-43424

CVE-2025-43389

CVE-2025-43439

CVE-2025-43391

CVE-2025-43493

CVE-2025-43503

CVE-2025-43502

CVE-2025-43500

CVE-2025-43454

CVE-2025-43460

CVE-2025-43422

CVE-2025-43452

CVE-2025-43480

CVE-2025-43458

CVE-2025-43430

CVE-2025-43427

CVE-2025-43443

CVE-2025-43441

CVE-2025-43435

CVE-2025-43425

CVE-2025-43440

CVE-2025-43438

CVE-2025-43457

CVE-2025-43434

CVE-2025-43495

CVE-2025-43433

CVE-2025-43431

CVE-2025-43432

CVE-2025-43429

CVE-2025-43421

CVE-2025-43392

+ About the security content of macOS Tahoe 26.1

https://support.apple.com/en-us/125634

+ About the security content of macOS Sequoia 15.7.2

https://support.apple.com/en-us/125635

+ About the security content of macOS Sonoma 14.8.2

https://support.apple.com/en-us/125636

+ About the security content of tvOS 26.1

https://support.apple.com/en-us/125637

+ About the security content of watchOS 26.1

https://support.apple.com/en-us/125639

+ About the security content of visionOS 26.1

https://support.apple.com/en-us/125638

JVNVU#92857077 Edgecross基本ソフトウェアWindows版における複数の脆弱性

https://jvn.jp/vu/JVNVU92857077/index.html

JVNVU#98954443 Edgecross 基本ソフトウェア Windows版における複数の脆弱性

https://jvn.jp/vu/JVNVU98954443/index.html

JVNVU#96890975 Edgecross 基本ソフトウェア Windows版における複数の脆弱性

https://jvn.jp/vu/JVNVU96890975/index.html

JVNVU#98191201 センチュリー・システムズ製FutureNet MAおよびIP-Kシリーズにおける複数の脆弱性

https://jvn.jp/vu/JVNVU98191201/index.html

JVNVU#94719458 Hitachi Energy製TropOS 4th Genにおける複数の脆弱性

https://jvn.jp/vu/JVNVU94719458/index.html

絵で見て分かるネットワーク必修キーワード

ファイアウオール

不審な通信を遮断するセキュリティー機器

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091900172/101700026/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

美濃工業、ランサム被害を時系列で公開　VPN侵入し2日後に権限昇格

https://xtech.nikkei.com/atcl/nxt/column/18/00598/041800339/?ST=nxt_thmit_security

アスクルが個人情報の流出を確認、ハッカー集団は犯行声明を公開

https://xtech.nikkei.com/atcl/nxt/news/24/02927/?ST=nxt_thmit_security

Anthropicが東京オフィス開設、AIの性能・リスク評価でAISIと覚書

https://xtech.nikkei.com/atcl/nxt/news/24/02929/?ST=nxt_thmit_security

2025年10月31日金曜日

31日金曜日、先勝

+ RHSA-2025:19345 Important: redis:7 security update

https://access.redhat.com/errata/RHSA-2025:19345

CVE-2025-46817

CVE-2025-46818

CVE-2025-46819

CVE-2025-49844

+ Squidの脆弱性(Critical: CVE-2025-62168)

https://security.sios.jp/vulnerability/squid-security-vulnerability-20251031/

CVE-2025-62168

月刊ランサムリポート

世界のランサム被害は3カ月連続で500件超　新顔「Sinobi」の被害が急増

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041600214/101700008/?ST=nxt_thmit_security

月刊ランサムリポート

第11回

韓国金融機関への「Qilin」の攻撃が激化、25年9月のランサム被害を分析

https://xtech.nikkei.com/atcl/nxt/column/18/03053/102800011/?ST=nxt_thmit_security

2025年10月30日木曜日

30日木曜日、赤口

+ RHSA-2025:19276 Important: libtiff security update

https://access.redhat.com/errata/RHSA-2025:19276

CVE-2025-9900

+ RHSA-2025:19238 Important: redis:6 security update

https://access.redhat.com/errata/RHSA-2025:19238

CVE-2025-46817

CVE-2025-46818

CVE-2025-46819

CVE-2025-49844

+ RHSA-2025:19237 Important: redis security update

https://access.redhat.com/errata/RHSA-2025:19237

CVE-2025-46817

CVE-2025-46818

CVE-2025-46819

CVE-2025-49844

+ Zabbix 7.4.4 released

https://www.zabbix.com/rn/rn7.4.4

+ JVNVU#95235705 Apache Tomcatにおける複数の脆弱性（CVE-2025-55752、CVE-2025-55754、CVE-2025-61795）

https://jvn.jp/vu/JVNVU95235705/index.html

CVE-2025-55752

CVE-2025-55754

CVE-2025-61795

+ Apache Tomcatの脆弱性(Important: CVE-2025-55752, Low: CVE-2025-55754, CVE-2025-61795)

https://security.sios.jp/vulnerability/tomcat-security-vulnerability-20251028/

CVE-2025-55752

CVE-2025-55754

CVE-2025-61795

ニュース＆リポート

アスクル、ランサム被害で出荷停止　無印良品やロフトのECサイトにも影響

感染被害のサプライチェーンへの波及、課題浮き彫りに

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/102301338/?ST=nxt_thmit_security

違いが分かる重要セキュリティー用語

定番から最新まで、何個知ってる？

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/101700231/101700001/?ST=nxt_thmit_security

アスクルが一部商品を試験的に出荷、障害中のシステム使わずファクスで受注

https://xtech.nikkei.com/atcl/nxt/news/24/02917/?ST=nxt_thmit_security

JVN#23394606 WTW EAGLE（Windows版）のインストーラにおけるDLL読み込みに関する脆弱性

https://jvn.jp/jp/JVN23394606/index.html

JVNVU#99142046 複数のSchneider Electric製品における制限または調整なしのリソースの割り当ての脆弱性

https://jvn.jp/vu/JVNVU99142046/index.html

JVNVU#98158975 Vertikal Systems製Hospital Manager Backend Servicesにおける複数の脆弱性

https://jvn.jp/vu/JVNVU98158975/index.html

JVNVU#94868903 Schneider Electric製Modiconにおける不適切な入力確認の脆弱性

https://jvn.jp/vu/JVNVU94868903/index.html

2025年10月29日水曜日

29日水曜日、大安

+ RHSA-2025:19107 Important: squid:4 security update

https://access.redhat.com/errata/RHSA-2025:19107

CVE-2025-62168

+ RHSA-2025:19102 Moderate: kernel security update

https://access.redhat.com/errata/RHSA-2025:19102

CVE-2022-50386

CVE-2023-53297

CVE-2023-53386

CVE-2025-39817

CVE-2025-39841

CVE-2025-39849

+ RHSA-2025:19113 Important: libtiff security update

https://access.redhat.com/errata/RHSA-2025:19113

CVE-2025-8176

CVE-2025-9900

+ Google Chrome 142.0.7444.59/60 released

https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_28.html

+ Mozilla Firefox 144.0.2 released

https://www.firefox.com/en-US/firefox/144.0.2/releasenotes/

+ Mozilla Foundation Security Advisory 2025-86 Security Vulnerabilities fixed in Firefox 144.0.2

https://www.mozilla.org/en-US/security/advisories/mfsa2025-86/

CVE-2025-12380

+ Zabbix 7.2.14, 7.0.20 released

https://www.zabbix.com/rn/rn7.2.14

https://www.zabbix.com/rn/rn7.0.20

+ U#517845 Authenticated SMTP users may spoof other identities due to ambiguous “From” header interpretation

https://www.kb.cert.org/vuls/id/517845

JVNVU#90150763 TP-Link製Omadaゲートウェイにおける複数のOSコマンドインジェクションの脆弱性

https://jvn.jp/vu/JVNVU90150763/index.html

JVN#00021602 プラネックス製MZK-DP300Nにおけるハードコードされた認証情報の使用の脆弱性

https://jvn.jp/jp/JVN00021602/index.html

日経NETWORK 特別リポート

「無防備PDF」が標的に

生成AIで高まる改ざんリスク

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/101700096/?ST=nxt_thmit_security

NEWS close-up

生成AI悪用のランサムウエア出現

リアルタイムで攻撃プログラムを生成　「どのセキュリティーソフトも検知できず」

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/101700304/?ST=nxt_thmit_security

いま人気のネットワーク機器2025

第3回

ルーター／UTM部門　ヤマハとフォーティネットが首位固め、活用進む生成AI

https://xtech.nikkei.com/atcl/nxt/column/18/03360/100100003/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

光学式マウス使い会話を盗聴、音声を微小な振動で捉える驚がくの「手口」

https://xtech.nikkei.com/atcl/nxt/column/18/00676/102300208/?ST=nxt_thmit_security

ニュース解説

「北朝鮮IT労働者」が日本でも活動、クラウドソーシングで求職の可能性

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11206/?ST=nxt_thmit_security

2025年10月28日火曜日

28日火曜日、仏滅

+ Postfix stable release 3.10.5 and legacy releases 3.9.6, 3.8.12, 3.7.17

https://www.postfix.org/announcements/postfix-3.10.5.html

+ Apache Tomcatの脆弱性(Important: CVE-2025-55752, Low: CVE-2025-55754, CVE-2025-61795)

https://security.sios.jp/vulnerability/tomcat-security-vulnerability-20251028/

CVE-2025-55752

CVE-2025-55754

CVE-2025-61795

■PowerDNS Recursorの脆弱性情報が公開されました（CVE-2025-59023、CVE-2025-59024）

https://jprs.jp/tech/security/2025-10-27-powerdns-recursor.html

■Unboundの脆弱性情報が公開されました（CVE-2025-11411）

https://jprs.jp/tech/security/2025-10-27-unbound.html

ケーススタディー

Webサイトの証明書購買を自動化　可視化により有効期限の短縮に備え

LINEヤフー

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600004/102200194/?ST=nxt_thmit_security

当事者が語る！トラブルからの脱出

社内システムにつながらない　VPN装置狙うランサム被害に

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800004/101700094/?ST=nxt_thmit_security

いま人気のネットワーク機器2025

第2回

無線LAN部門　シスコシステムズが中規模以上で強さ、Wi-Fi 7は様子見続く

https://xtech.nikkei.com/atcl/nxt/column/18/03360/100100002/?ST=nxt_thmit_security

北郷達郎のテクノロジー温故知新

Nothing Headphone（1）を試して思い出した35年前の名著

https://xtech.nikkei.com/atcl/nxt/column/18/02598/102000026/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

第一フロンティア生命、再委託先が使用するツールから情報流出

https://xtech.nikkei.com/atcl/nxt/column/18/00598/041800338/?ST=nxt_thmit_security

テモナのECシステム、たまごリピートでシステム障害　第三者による不正アクセス

https://xtech.nikkei.com/atcl/nxt/news/24/02906/?ST=nxt_thmit_security

2025年10月27日月曜日

27日月曜日、先負

+ JVNVU#94483818 ISC BINDにおける複数の脆弱性（2025年10月）

https://jvn.jp/vu/JVNVU94483818/index.html

CVE-2025-40778

CVE-2025-40780

CVE-2025-8677

piyokangoの月刊システムトラブル

都の委託事業で不正アクセス　詐欺サイトの指示に従う

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/101700080/?ST=nxt_thmit_security

日経コンピュータ「動かないコンピュータ」

ランサム被害で物流システムが停止　9300超のファイルを盗取と犯行声明

アサヒグループHD

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/102200191/?ST=nxt_thmit_security

いま人気のネットワーク機器2025

第1回

スイッチ部門　アクセススイッチで6年ぶり首位交代、フロアとコアでHPEが存在感

https://xtech.nikkei.com/atcl/nxt/column/18/03360/100100001/?ST=nxt_thmit_security

吉川孝志のマルウエア徹底解剖

第21回

正規の製品や機能を持ち込んで悪用するサイバー攻撃「BYOX」、その脅威と対策を解説

https://xtech.nikkei.com/atcl/nxt/column/18/02805/102000022/?ST=nxt_thmit_security

SSL-VPNは限界か

第2回

フォーティネットSSL-VPNからの移行の選択肢は3つ、接続性やコストに注意

https://xtech.nikkei.com/atcl/nxt/column/18/03373/101600002/?ST=nxt_thmit_security

UPDATE: JVNVU#91918160 複数のSchneider Electric製品における複数の脆弱性

https://jvn.jp/vu/JVNVU91918160/index.html

UPDATE: JVNVU#93504320 Hitachi Energy製RTU500シリーズおよびMACH SCMにおける複数の脆弱性

https://jvn.jp/vu/JVNVU93504320/index.html

UPDATE: JVNVU#91790481 複数のSchneider Electric製品におけるクロスサイトスクリプティングの脆弱性

https://jvn.jp/vu/JVNVU91790481/index.html

JVNVU#90523414 AutomationDirect製Productivity Suiteにおける複数の脆弱性

https://jvn.jp/vu/JVNVU90523414/index.html

JVNVU#98157033 複数のASKI Energy製品における重要な機能に対する認証の欠如の脆弱性

https://jvn.jp/vu/JVNVU98157033/index.html

JVNVU#98818753 Veeder-Root製TLS4B Automatic Tank Gauge Systemにおける複数の脆弱性

https://jvn.jp/vu/JVNVU98818753/index.html

JVNVU#95827408 Delta Electronics製ASDA-Softにおけるスタックベースのバッファオーバーフローの脆弱性

https://jvn.jp/vu/JVNVU95827408/index.html

JVN#20611740 プリザンターにおける複数の格納型クロスサイトスクリプティングの脆弱性

https://jvn.jp/jp/JVN20611740/index.html

JVNVU#96989989 日本光電工業製セントラルモニタ CNS-6201におけるNULLポインタ参照の脆弱性

https://jvn.jp/vu/JVNVU96989989/index.html

2025年10月24日金曜日

24日金曜日、赤口

+ ■（緊急）BIND 9.xの脆弱性（過剰なCPU負荷の誘発）について（CVE-2025-8677）

- バージョンアップを強く推奨 -

https://jprs.jp/tech/security/2025-10-23-bind9-vuln-dnskey.html

+ ■（緊急）BIND 9.xの脆弱性（DNSキャッシュポイズニングの成功確率向上）について

（CVE-2025-40780）

- バージョンアップを強く推奨 -

https://jprs.jp/tech/security/2025-10-23-bind9-vuln-weakprng.html

+ ■（緊急）BIND 9.xの脆弱性（DNSキャッシュポイズニングの危険性）について

（CVE-2025-40778）

- バージョンアップを強く推奨 -

https://jprs.jp/tech/security/2025-10-23-bind9-vuln-cachepoisoning.html

+ RHSA-2025:18815 Moderate: java-1.8.0-openjdk security update

https://access.redhat.com/errata/RHSA-2025:18815

CVE-2025-53057

CVE-2025-53066

+ PHP 8.4.14, 8.3.27 released

https://www.php.net/ChangeLog-8.php#8.4.14

https://www.php.net/ChangeLog-8.php#8.3.27

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

クリック率5割超のメールを生成　AIによるフィッシング攻防最前線

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/102000170/?ST=nxt_thmit_security

被害に遭わないためにはどうする？　ランサムウエア攻撃対策の基本

第3回

パスワードを盗まれても侵入させない、ランサム攻撃対策に不可欠な「多要素認証」

https://xtech.nikkei.com/atcl/nxt/column/18/03376/101600003/?ST=nxt_thmit_security

SSL-VPNは限界か

第1回

フォーティネットがSSL-VPNを2026年5月に廃止、テレワーク環境の見直し急務

https://xtech.nikkei.com/atcl/nxt/column/18/03373/101600001/?ST=nxt_thmit_security

アスクルのランサムウエア感染は物流システムに影響、在庫管理できず

https://xtech.nikkei.com/atcl/nxt/news/24/02900/?ST=nxt_thmit_security

2025年10月23日木曜日

23日木曜日、大安

+ ISC BIND 9.20.15, 9.18.41 released

https://downloads.isc.org/isc/bind9/9.20.15/doc/arm/html/notes.html

https://downloads.isc.org/isc/bind9/9.18.41/doc/arm/html/notes.html

+ FreeBSD-SA-25:09.netinet SO_REUSEPORT_LB breaks connect(2) for UDP sockets

https://www.freebsd.org/security/advisories/FreeBSD-SA-25:09.netinet.asc

CVE-2025-24934

+ BIND 9の脆弱性(High: CVE-2025-8677, CVE-2025-40778, CVE-2025-40780)と新バージョン(9.18.41, 9.20.15, 9.21.14)

https://security.sios.jp/vulnerability/bind-security-vulnerability-20251023/

CVE-2025-8677

CVE-2025-40778

CVE-2025-40780

決算調査で判明、サイバー被害52社のリアル

統一基準がない中でどうすべきか　企業のサイバー被害・損失の公表

［第5回］

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/063000493/102000006/?ST=nxt_thmit_security

ワンタイムパスワードは何がダメ？基本から学ぶ多要素認証

第6回

パスキー導入後に残る3つの隙、なりすまし登録・Cookie窃取・救済手段の悪用

https://xtech.nikkei.com/atcl/nxt/column/18/03364/100300006/?ST=nxt_thmit_security

被害に遭わないためにはどうする？　ランサムウエア攻撃対策の基本

第2回

正規ユーザーになりすますランサム攻撃者、インフォスティーラーとフィッシングに注意

https://xtech.nikkei.com/atcl/nxt/column/18/03376/101600002/?ST=nxt_thmit_security

ニュース解説

イオンペットがEDRを乗り換え、製品の人気よりも重要だった「営業の質」

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11193/?ST=nxt_thmit_security

2025年10月22日水曜日

22日水曜日、仏滅

+ Google Chrome 141.0.7390.122/.123 released

https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_21.html

+ Oracle Critical Patch Update Advisory - October 2025

https://www.oracle.com/security-alerts/cpuoct2025.html

+ Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory ? Oct 2025)

https://security.sios.jp/vulnerability/java-security-vulnerability-20251022/

JVN#86318557 LANSCOPE エンドポイントマネージャーオンプレミス版における通信チャネルの送信元検証不備の脆弱性

https://jvn.jp/jp/JVN86318557/index.html

ワンタイムパスワードは何がダメ？基本から学ぶ多要素認証

第5回

多要素認証の本命「パスキー」、フィッシング耐性を実現する3つの仕組み

https://xtech.nikkei.com/atcl/nxt/column/18/03364/100300005/?ST=nxt_thmit_security

被害に遭わないためにはどうする？　ランサムウエア攻撃対策の基本

第1回

ランサム攻撃は不正侵入から始まる、とにかく「VPN装置」の脆弱性を解消せよ

https://xtech.nikkei.com/atcl/nxt/column/18/03376/101600001/?ST=nxt_thmit_security

ニュース解説

オンラインの本人確認が厳格化、券面撮影など原則廃止へ　iPhoneでの確認は時期尚早

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11188/?ST=nxt_thmit_security

「たのめーる」や「カウネット」にアクセス集中、アスクルのランサム被害の余波か

https://xtech.nikkei.com/atcl/nxt/news/24/02896/?ST=nxt_thmit_security

2025年10月21日火曜日

21日火曜日、先負

ワンタイムパスワードは何がダメ？基本から学ぶ多要素認証

第4回

認証の最新トレンド「フィッシング耐性」、2つの実現方式を易しく図解

https://xtech.nikkei.com/atcl/nxt/column/18/03364/100300004/?ST=nxt_thmit_security

記者の眼

JA・国勢調査・ポケモン、はやりを狙うフィッシング　悪用ブランド数「111」の現実

https://xtech.nikkei.com/atcl/nxt/column/18/00138/102001872/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

不動産会社スペース、個人情報を闇サイトで販売される　パスワードが攻撃者の手に

https://xtech.nikkei.com/atcl/nxt/column/18/00598/041800337/?ST=nxt_thmit_security

無印良品やロフトにも影響、ランサムウエア感染によるアスクルのシステム障害

https://xtech.nikkei.com/atcl/nxt/news/24/02889/?ST=nxt_thmit_security

アスクルがシステム障害で受注・出荷停止、ランサムウエア感染で他社にも影響

https://xtech.nikkei.com/atcl/nxt/news/24/02888/?ST=nxt_thmit_security

JVN#86318557 LANSCOPE エンドポイントマネージャーオンプレミス版における通信チャネルの送信元検証不備の脆弱性

https://jvn.jp/jp/JVN86318557/index.html

JVN#44266462 ETERNUS SF製品における不適切なファイルアクセス権設定の脆弱性

https://jvn.jp/jp/JVN44266462/index.html

2025年10月20日月曜日

20日月曜日、赤口

+ RHSA-2025:18148 Important: .NET 8.0 security update

https://access.redhat.com/errata/RHSA-2025:18148

CVE-2025-55247

CVE-2025-55248

CVE-2025-55315

+ RHSA-2025:18275 Moderate: libssh security update

https://access.redhat.com/errata/RHSA-2025:18275

CVE-2025-5318

+ RHSA-2025:18155 Important: firefox security update

https://access.redhat.com/errata/RHSA-2025:18155

CVE-2025-11708

CVE-2025-11709

CVE-2025-11710

CVE-2025-11711

CVE-2025-11712

CVE-2025-11714

CVE-2025-11715

+ RHSA-2025:18149 Important: .NET 8.0 security update

https://access.redhat.com/errata/RHSA-2025:18149

CVE-2025-55247

CVE-2025-55248

CVE-2025-55315

+ 2025 年 10 月のセキュリティ更新プログラム (月例)

https://www.microsoft.com/en-us/msrc/blog/2025/10/202510-security-update

+ Oracle Critical Patch Update Pre-Release Announcement - October 2025

https://www.oracle.com/security-alerts/cpuoct2025.html

+ Apache PDFBox 3.0.6 released

https://issues.apache.org/jira/secure/ReleaseNote.jspa?projectId=12310760&version=12355901

+ ClamAV 1.5.1 patch version published

https://blog.clamav.net/2025/10/clamav-151-patch-version-published.html

+ Apache Struts 7.1.1 GA

https://struts.apache.org/announce-2025#a20251018

https://cwiki.apache.org/confluence/display/WW/Version+Notes+7.1.1

VU#516608 Multiple Password Managers Vulnerable to Clickjacking Attacks

https://www.kb.cert.org/vuls/id/516608

VU#652514 DNS Rebinding and Manipulating CORS Headers Enables Exfiltration of Information

https://www.kb.cert.org/vuls/id/652514

ワンタイムパスワードは何がダメ？基本から学ぶ多要素認証

第3回

ワンタイムパスワードの2大弱点を詳解、絵文字認証は「入力しにくさ」で対策

https://xtech.nikkei.com/atcl/nxt/column/18/03364/100300003/?ST=nxt_thmit_security

ITが危ない

企業向けクラウドに潜む「隠れAI」、明示なしで学習されるリスク

https://xtech.nikkei.com/atcl/nxt/column/18/00989/101400189/?ST=nxt_thmit_security

ニュース＆リポート

生成AI悪用のランサムウエア出現　リアルタイムで攻撃プログラムを生成

セキュリティーソフトによる検知を回避

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/100601331/?ST=nxt_thmit_security

アサヒGHDがランサム被害で決算発表延期　依然復旧未定で個人情報流出の可能性も

https://xtech.nikkei.com/atcl/nxt/news/24/02879/?ST=nxt_thmit_security

JVNVU#95364505 複数のRockwell Automation製品における複数の脆弱性

https://jvn.jp/vu/JVNVU95364505/index.html

JVNVU#99579798 Hitachi Energy製MACH GWSにおける複数の脆弱性

https://jvn.jp/vu/JVNVU99579798/index.html

JVNVU#90351979 Siemens製品に対するアップデート（2025年10月）

https://jvn.jp/vu/JVNVU90351979/index.html

JVNVU#90148644 複数のSchneider Electric製品における複数の脆弱性

https://jvn.jp/vu/JVNVU90148644/index.html

JVNVU#94409494 Delta Electronics製CNCSoft-G2におけるスタックベースのバッファオーバーフローの脆弱性

https://jvn.jp/vu/JVNVU94409494/index.html

JVN#61182380 AutoDownloaderのインストーラにおけるDLL読み込みに関する脆弱性

https://jvn.jp/jp/JVN61182380/index.html

JVN#13030751 ChatLuckにおける複数の脆弱性

https://jvn.jp/jp/JVN13030751/index.html

JVN#90757550 desknet's NEOにおける複数の脆弱性

https://jvn.jp/jp/JVN90757550/index.html

JVN#72648885 Ruijie Networks製RG-EST300におけるSSH機能が有効になっている問題

https://jvn.jp/jp/JVN72648885/index.html

JVN#42282226 Phoenix Contact CHARX SEC-3xxxにおけるコードインジェクションの脆弱性

https://jvn.jp/jp/JVN42282226/index.html

JVN#22713803 複数のRSUPPORT製品における安全でないDLL読み込みの脆弱性

https://jvn.jp/jp/JVN22713803/index.html

JVNVU#92425880 Rockwell Automation製1715 EtherNet/IP Comms Moduleにおける複数の脆弱性

https://jvn.jp/vu/JVNVU92425880/index.html

JVNVU#96471278 バッファロー製Wi-FiルーターWXR9300BE6Pシリーズにおけるパストラバーサルの脆弱性

https://jvn.jp/vu/JVNVU96471278/index.html

2025年10月15日水曜日

15日水曜日、先勝

+ Google Chrome 141.0.7390.107/.108, 140.0.7339.249 released

https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_14.html

https://chromereleases.googleblog.com/2025/10/extended-stable-updates-for-desktop_14.html

+ Mozilla Firefox 144.0 released

https://www.firefox.com/en-US/firefox/144.0/releasenotes/

+ Mozilla Foundation Security Advisory 2025-81 Security Vulnerabilities fixed in Firefox 144

https://www.mozilla.org/en-US/security/advisories/mfsa2025-81/

CVE-2025-11708

CVE-2025-11709

CVE-2025-11710

CVE-2025-11711

CVE-2025-11716

CVE-2025-11717

CVE-2025-11712

CVE-2025-11718

CVE-2025-11713

CVE-2025-11719

CVE-2025-11720

CVE-2025-11714

CVE-2025-11715

CVE-2025-11721

+ Mozilla Thunderbird 144.0, 140.4 released

https://www.thunderbird.net/en-US/thunderbird/144.0/releasenotes/

https://www.thunderbird.net/en-US/thunderbird/140.4.0esr/releasenotes/

+ Mozilla Foundation Security Advisory 2025-84 Security Vulnerabilities fixed in Thunderbird 144

https://www.mozilla.org/en-US/security/advisories/mfsa2025-84/

CVE-2025-11708

CVE-2025-11709

CVE-2025-11710

CVE-2025-11711

CVE-2025-11716

CVE-2025-11712

CVE-2025-11713

CVE-2025-11719

CVE-2025-11714

CVE-2025-11715

CVE-2025-11721

+ Apache Tomcat 10.1.48 Released

https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.48_(schultz)

ワンタイムパスワードは何がダメ？基本から学ぶ多要素認証

第2回

メールでOTPを送る方式は多要素認証ではない？米国の最新ガイドラインをひもとく

https://xtech.nikkei.com/atcl/nxt/column/18/03364/100300002/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

AIでフィッシングが巧妙化、クリック率5割超のメールを3分で生成　攻防の最前線

https://xtech.nikkei.com/atcl/nxt/column/18/00676/100700207/?ST=nxt_thmit_security

2025年10月14日火曜日

14日火曜日、赤口

+ RHSA-2025:17802 Important: webkit2gtk3 security update

https://access.redhat.com/errata/RHSA-2025:17802

CVE-2025-43272

CVE-2025-43342

CVE-2025-43356

CVE-2025-43368

+ RHSA-2025:17797 Moderate: kernel security update

https://access.redhat.com/errata/RHSA-2025:17797

CVE-2022-50228

CVE-2023-53305

+ RHSA-2025:17760 Moderate: kernel security update

https://access.redhat.com/errata/RHSA-2025:17760

CVE-2023-53373

CVE-2025-38556

CVE-2025-38614

CVE-2025-39757

+ RHSA-2025:17742 Moderate: vim security update

https://access.redhat.com/errata/RHSA-2025:17742

CVE-2025-53905

CVE-2025-53906

+ VMware Workstation 17.6.4 Pro released

https://techdocs.broadcom.com/us/en/vmware-cis/desktop-hypervisors/workstation-pro/17-0/release-notes/vmware-workstation-1764-pro-release-notes.html

+ Apache Tomcat 11.0.13. 9.0.111 released

https://tomcat.apache.org/tomcat-11.0-doc/changelog.html#Tomcat_11.0.13_(mark)

https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.111_(remm)

+ OpenSSH 10.2/10.2p1 released

https://www.openssh.com/releasenotes.html#10.2p1

VU#538470 Clevo UEFI firmware embedded BootGuard keys compromising Clevo's implementation of BootGuard

https://www.kb.cert.org/vuls/id/538470

VU#887923 Kiwire Captive Portal contains 3 web vulnerabilities

https://www.kb.cert.org/vuls/id/887923

JVNVU#95494957 Draytek製Vigorルーターにおける初期化されていないリソース使用の脆弱性

https://jvn.jp/vu/JVNVU95494957/index.html

JVN#69099112 バッファロー製NAS Navigator2における引用符で囲まれていないファイルパスの脆弱性

https://jvn.jp/jp/JVN69099112/index.html

JVNVU#94668663 Hitachi Energy製Asset Suiteにおけるログ出力内容の不適切な無害化の脆弱性

https://jvn.jp/vu/JVNVU94668663/index.html

JVNVU#99068628 複数のRockwell Automation製品におけるスタックベースのバッファオーバーフローの脆弱性

https://jvn.jp/vu/JVNVU99068628/index.html

フォーカス

AI時代の攻防を議論　Black Hat現地報告

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600014/100300213/?ST=nxt_thmit_security

ワンタイムパスワードは何がダメ？基本から学ぶ多要素認証

第1回

ワンタイムパスワード離れが世界で進む、証券口座乗っ取りで多要素認証に脚光

https://xtech.nikkei.com/atcl/nxt/column/18/03364/100300001/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

日本政策金融公庫の応募システムに2つの設定不備、同じ「学校名」だと検索可能に

https://xtech.nikkei.com/atcl/nxt/column/18/00598/041800336/?ST=nxt_thmit_security