:: IT Security Neophyte Investigator's MEMO ::: 2025

2025年10月29日水曜日

29日水曜日、大安

+ RHSA-2025:19107 Important: squid:4 security update

https://access.redhat.com/errata/RHSA-2025:19107

CVE-2025-62168

+ RHSA-2025:19102 Moderate: kernel security update

https://access.redhat.com/errata/RHSA-2025:19102

CVE-2022-50386

CVE-2023-53297

CVE-2023-53386

CVE-2025-39817

CVE-2025-39841

CVE-2025-39849

+ RHSA-2025:19113 Important: libtiff security update

https://access.redhat.com/errata/RHSA-2025:19113

CVE-2025-8176

CVE-2025-9900

+ Google Chrome 142.0.7444.59/60 released

https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_28.html

+ Mozilla Firefox 144.0.2 released

https://www.firefox.com/en-US/firefox/144.0.2/releasenotes/

+ Mozilla Foundation Security Advisory 2025-86 Security Vulnerabilities fixed in Firefox 144.0.2

https://www.mozilla.org/en-US/security/advisories/mfsa2025-86/

CVE-2025-12380

+ Zabbix 7.2.14, 7.0.20 released

https://www.zabbix.com/rn/rn7.2.14

https://www.zabbix.com/rn/rn7.0.20

+ U#517845 Authenticated SMTP users may spoof other identities due to ambiguous “From” header interpretation

https://www.kb.cert.org/vuls/id/517845

JVNVU#90150763 TP-Link製Omadaゲートウェイにおける複数のOSコマンドインジェクションの脆弱性

https://jvn.jp/vu/JVNVU90150763/index.html

JVN#00021602 プラネックス製MZK-DP300Nにおけるハードコードされた認証情報の使用の脆弱性

https://jvn.jp/jp/JVN00021602/index.html

日経NETWORK 特別リポート

「無防備PDF」が標的に

生成AIで高まる改ざんリスク

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/101700096/?ST=nxt_thmit_security

NEWS close-up

生成AI悪用のランサムウエア出現

リアルタイムで攻撃プログラムを生成　「どのセキュリティーソフトも検知できず」

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/101700304/?ST=nxt_thmit_security

いま人気のネットワーク機器2025

第3回

ルーター／UTM部門　ヤマハとフォーティネットが首位固め、活用進む生成AI

https://xtech.nikkei.com/atcl/nxt/column/18/03360/100100003/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

光学式マウス使い会話を盗聴、音声を微小な振動で捉える驚がくの「手口」

https://xtech.nikkei.com/atcl/nxt/column/18/00676/102300208/?ST=nxt_thmit_security

ニュース解説

「北朝鮮IT労働者」が日本でも活動、クラウドソーシングで求職の可能性

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11206/?ST=nxt_thmit_security

2025年10月28日火曜日

28日火曜日、仏滅

+ Postfix stable release 3.10.5 and legacy releases 3.9.6, 3.8.12, 3.7.17

https://www.postfix.org/announcements/postfix-3.10.5.html

+ Apache Tomcatの脆弱性(Important: CVE-2025-55752, Low: CVE-2025-55754, CVE-2025-61795)

https://security.sios.jp/vulnerability/tomcat-security-vulnerability-20251028/

CVE-2025-55752

CVE-2025-55754

CVE-2025-61795

■PowerDNS Recursorの脆弱性情報が公開されました（CVE-2025-59023、CVE-2025-59024）

https://jprs.jp/tech/security/2025-10-27-powerdns-recursor.html

■Unboundの脆弱性情報が公開されました（CVE-2025-11411）

https://jprs.jp/tech/security/2025-10-27-unbound.html

ケーススタディー

Webサイトの証明書購買を自動化　可視化により有効期限の短縮に備え

LINEヤフー

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600004/102200194/?ST=nxt_thmit_security

当事者が語る！トラブルからの脱出

社内システムにつながらない　VPN装置狙うランサム被害に

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800004/101700094/?ST=nxt_thmit_security

いま人気のネットワーク機器2025

第2回

無線LAN部門　シスコシステムズが中規模以上で強さ、Wi-Fi 7は様子見続く

https://xtech.nikkei.com/atcl/nxt/column/18/03360/100100002/?ST=nxt_thmit_security

北郷達郎のテクノロジー温故知新

Nothing Headphone（1）を試して思い出した35年前の名著

https://xtech.nikkei.com/atcl/nxt/column/18/02598/102000026/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

第一フロンティア生命、再委託先が使用するツールから情報流出

https://xtech.nikkei.com/atcl/nxt/column/18/00598/041800338/?ST=nxt_thmit_security

テモナのECシステム、たまごリピートでシステム障害　第三者による不正アクセス

https://xtech.nikkei.com/atcl/nxt/news/24/02906/?ST=nxt_thmit_security

2025年10月27日月曜日

27日月曜日、先負

+ JVNVU#94483818 ISC BINDにおける複数の脆弱性（2025年10月）

https://jvn.jp/vu/JVNVU94483818/index.html

CVE-2025-40778

CVE-2025-40780

CVE-2025-8677

piyokangoの月刊システムトラブル

都の委託事業で不正アクセス　詐欺サイトの指示に従う

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/101700080/?ST=nxt_thmit_security

日経コンピュータ「動かないコンピュータ」

ランサム被害で物流システムが停止　9300超のファイルを盗取と犯行声明

アサヒグループHD

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/102200191/?ST=nxt_thmit_security

いま人気のネットワーク機器2025

第1回

スイッチ部門　アクセススイッチで6年ぶり首位交代、フロアとコアでHPEが存在感

https://xtech.nikkei.com/atcl/nxt/column/18/03360/100100001/?ST=nxt_thmit_security

吉川孝志のマルウエア徹底解剖

第21回

正規の製品や機能を持ち込んで悪用するサイバー攻撃「BYOX」、その脅威と対策を解説

https://xtech.nikkei.com/atcl/nxt/column/18/02805/102000022/?ST=nxt_thmit_security

SSL-VPNは限界か

第2回

フォーティネットSSL-VPNからの移行の選択肢は3つ、接続性やコストに注意

https://xtech.nikkei.com/atcl/nxt/column/18/03373/101600002/?ST=nxt_thmit_security

UPDATE: JVNVU#91918160 複数のSchneider Electric製品における複数の脆弱性

https://jvn.jp/vu/JVNVU91918160/index.html

UPDATE: JVNVU#93504320 Hitachi Energy製RTU500シリーズおよびMACH SCMにおける複数の脆弱性

https://jvn.jp/vu/JVNVU93504320/index.html

UPDATE: JVNVU#91790481 複数のSchneider Electric製品におけるクロスサイトスクリプティングの脆弱性

https://jvn.jp/vu/JVNVU91790481/index.html

JVNVU#90523414 AutomationDirect製Productivity Suiteにおける複数の脆弱性

https://jvn.jp/vu/JVNVU90523414/index.html

JVNVU#98157033 複数のASKI Energy製品における重要な機能に対する認証の欠如の脆弱性

https://jvn.jp/vu/JVNVU98157033/index.html

JVNVU#98818753 Veeder-Root製TLS4B Automatic Tank Gauge Systemにおける複数の脆弱性

https://jvn.jp/vu/JVNVU98818753/index.html

JVNVU#95827408 Delta Electronics製ASDA-Softにおけるスタックベースのバッファオーバーフローの脆弱性

https://jvn.jp/vu/JVNVU95827408/index.html

JVN#20611740 プリザンターにおける複数の格納型クロスサイトスクリプティングの脆弱性

https://jvn.jp/jp/JVN20611740/index.html

JVNVU#96989989 日本光電工業製セントラルモニタ CNS-6201におけるNULLポインタ参照の脆弱性

https://jvn.jp/vu/JVNVU96989989/index.html

2025年10月24日金曜日

24日金曜日、赤口

+ ■（緊急）BIND 9.xの脆弱性（過剰なCPU負荷の誘発）について（CVE-2025-8677）

- バージョンアップを強く推奨 -

https://jprs.jp/tech/security/2025-10-23-bind9-vuln-dnskey.html

+ ■（緊急）BIND 9.xの脆弱性（DNSキャッシュポイズニングの成功確率向上）について

（CVE-2025-40780）

- バージョンアップを強く推奨 -

https://jprs.jp/tech/security/2025-10-23-bind9-vuln-weakprng.html

+ ■（緊急）BIND 9.xの脆弱性（DNSキャッシュポイズニングの危険性）について

（CVE-2025-40778）

- バージョンアップを強く推奨 -

https://jprs.jp/tech/security/2025-10-23-bind9-vuln-cachepoisoning.html

+ RHSA-2025:18815 Moderate: java-1.8.0-openjdk security update

https://access.redhat.com/errata/RHSA-2025:18815

CVE-2025-53057

CVE-2025-53066

+ PHP 8.4.14, 8.3.27 released

https://www.php.net/ChangeLog-8.php#8.4.14

https://www.php.net/ChangeLog-8.php#8.3.27

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

クリック率5割超のメールを生成　AIによるフィッシング攻防最前線

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/102000170/?ST=nxt_thmit_security

被害に遭わないためにはどうする？　ランサムウエア攻撃対策の基本

第3回

パスワードを盗まれても侵入させない、ランサム攻撃対策に不可欠な「多要素認証」

https://xtech.nikkei.com/atcl/nxt/column/18/03376/101600003/?ST=nxt_thmit_security

SSL-VPNは限界か

第1回

フォーティネットがSSL-VPNを2026年5月に廃止、テレワーク環境の見直し急務

https://xtech.nikkei.com/atcl/nxt/column/18/03373/101600001/?ST=nxt_thmit_security

アスクルのランサムウエア感染は物流システムに影響、在庫管理できず

https://xtech.nikkei.com/atcl/nxt/news/24/02900/?ST=nxt_thmit_security

2025年10月23日木曜日

23日木曜日、大安

+ ISC BIND 9.20.15, 9.18.41 released

https://downloads.isc.org/isc/bind9/9.20.15/doc/arm/html/notes.html

https://downloads.isc.org/isc/bind9/9.18.41/doc/arm/html/notes.html

+ FreeBSD-SA-25:09.netinet SO_REUSEPORT_LB breaks connect(2) for UDP sockets

https://www.freebsd.org/security/advisories/FreeBSD-SA-25:09.netinet.asc

CVE-2025-24934

+ BIND 9の脆弱性(High: CVE-2025-8677, CVE-2025-40778, CVE-2025-40780)と新バージョン(9.18.41, 9.20.15, 9.21.14)

https://security.sios.jp/vulnerability/bind-security-vulnerability-20251023/

CVE-2025-8677

CVE-2025-40778

CVE-2025-40780

決算調査で判明、サイバー被害52社のリアル

統一基準がない中でどうすべきか　企業のサイバー被害・損失の公表

［第5回］

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/063000493/102000006/?ST=nxt_thmit_security

ワンタイムパスワードは何がダメ？基本から学ぶ多要素認証

第6回

パスキー導入後に残る3つの隙、なりすまし登録・Cookie窃取・救済手段の悪用

https://xtech.nikkei.com/atcl/nxt/column/18/03364/100300006/?ST=nxt_thmit_security

被害に遭わないためにはどうする？　ランサムウエア攻撃対策の基本

第2回

正規ユーザーになりすますランサム攻撃者、インフォスティーラーとフィッシングに注意

https://xtech.nikkei.com/atcl/nxt/column/18/03376/101600002/?ST=nxt_thmit_security

ニュース解説

イオンペットがEDRを乗り換え、製品の人気よりも重要だった「営業の質」

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11193/?ST=nxt_thmit_security

2025年10月22日水曜日

22日水曜日、仏滅

+ Google Chrome 141.0.7390.122/.123 released

https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_21.html

+ Oracle Critical Patch Update Advisory - October 2025

https://www.oracle.com/security-alerts/cpuoct2025.html

+ Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory ? Oct 2025)

https://security.sios.jp/vulnerability/java-security-vulnerability-20251022/

JVN#86318557 LANSCOPE エンドポイントマネージャーオンプレミス版における通信チャネルの送信元検証不備の脆弱性

https://jvn.jp/jp/JVN86318557/index.html

ワンタイムパスワードは何がダメ？基本から学ぶ多要素認証

第5回

多要素認証の本命「パスキー」、フィッシング耐性を実現する3つの仕組み

https://xtech.nikkei.com/atcl/nxt/column/18/03364/100300005/?ST=nxt_thmit_security

被害に遭わないためにはどうする？　ランサムウエア攻撃対策の基本

第1回

ランサム攻撃は不正侵入から始まる、とにかく「VPN装置」の脆弱性を解消せよ

https://xtech.nikkei.com/atcl/nxt/column/18/03376/101600001/?ST=nxt_thmit_security

ニュース解説

オンラインの本人確認が厳格化、券面撮影など原則廃止へ　iPhoneでの確認は時期尚早

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11188/?ST=nxt_thmit_security

「たのめーる」や「カウネット」にアクセス集中、アスクルのランサム被害の余波か

https://xtech.nikkei.com/atcl/nxt/news/24/02896/?ST=nxt_thmit_security

2025年10月21日火曜日

21日火曜日、先負

ワンタイムパスワードは何がダメ？基本から学ぶ多要素認証

第4回

認証の最新トレンド「フィッシング耐性」、2つの実現方式を易しく図解

https://xtech.nikkei.com/atcl/nxt/column/18/03364/100300004/?ST=nxt_thmit_security

記者の眼

JA・国勢調査・ポケモン、はやりを狙うフィッシング　悪用ブランド数「111」の現実

https://xtech.nikkei.com/atcl/nxt/column/18/00138/102001872/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

不動産会社スペース、個人情報を闇サイトで販売される　パスワードが攻撃者の手に

https://xtech.nikkei.com/atcl/nxt/column/18/00598/041800337/?ST=nxt_thmit_security

無印良品やロフトにも影響、ランサムウエア感染によるアスクルのシステム障害

https://xtech.nikkei.com/atcl/nxt/news/24/02889/?ST=nxt_thmit_security

アスクルがシステム障害で受注・出荷停止、ランサムウエア感染で他社にも影響

https://xtech.nikkei.com/atcl/nxt/news/24/02888/?ST=nxt_thmit_security

JVN#86318557 LANSCOPE エンドポイントマネージャーオンプレミス版における通信チャネルの送信元検証不備の脆弱性

https://jvn.jp/jp/JVN86318557/index.html

JVN#44266462 ETERNUS SF製品における不適切なファイルアクセス権設定の脆弱性

https://jvn.jp/jp/JVN44266462/index.html

2025年10月20日月曜日

20日月曜日、赤口

+ RHSA-2025:18148 Important: .NET 8.0 security update

https://access.redhat.com/errata/RHSA-2025:18148

CVE-2025-55247

CVE-2025-55248

CVE-2025-55315

+ RHSA-2025:18275 Moderate: libssh security update

https://access.redhat.com/errata/RHSA-2025:18275

CVE-2025-5318

+ RHSA-2025:18155 Important: firefox security update

https://access.redhat.com/errata/RHSA-2025:18155

CVE-2025-11708

CVE-2025-11709

CVE-2025-11710

CVE-2025-11711

CVE-2025-11712

CVE-2025-11714

CVE-2025-11715

+ RHSA-2025:18149 Important: .NET 8.0 security update

https://access.redhat.com/errata/RHSA-2025:18149

CVE-2025-55247

CVE-2025-55248

CVE-2025-55315

+ 2025 年 10 月のセキュリティ更新プログラム (月例)

https://www.microsoft.com/en-us/msrc/blog/2025/10/202510-security-update

+ Oracle Critical Patch Update Pre-Release Announcement - October 2025

https://www.oracle.com/security-alerts/cpuoct2025.html

+ Apache PDFBox 3.0.6 released

https://issues.apache.org/jira/secure/ReleaseNote.jspa?projectId=12310760&version=12355901

+ ClamAV 1.5.1 patch version published

https://blog.clamav.net/2025/10/clamav-151-patch-version-published.html

+ Apache Struts 7.1.1 GA

https://struts.apache.org/announce-2025#a20251018

https://cwiki.apache.org/confluence/display/WW/Version+Notes+7.1.1

VU#516608 Multiple Password Managers Vulnerable to Clickjacking Attacks

https://www.kb.cert.org/vuls/id/516608

VU#652514 DNS Rebinding and Manipulating CORS Headers Enables Exfiltration of Information

https://www.kb.cert.org/vuls/id/652514

ワンタイムパスワードは何がダメ？基本から学ぶ多要素認証

第3回

ワンタイムパスワードの2大弱点を詳解、絵文字認証は「入力しにくさ」で対策

https://xtech.nikkei.com/atcl/nxt/column/18/03364/100300003/?ST=nxt_thmit_security

ITが危ない

企業向けクラウドに潜む「隠れAI」、明示なしで学習されるリスク

https://xtech.nikkei.com/atcl/nxt/column/18/00989/101400189/?ST=nxt_thmit_security

ニュース＆リポート

生成AI悪用のランサムウエア出現　リアルタイムで攻撃プログラムを生成

セキュリティーソフトによる検知を回避

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/100601331/?ST=nxt_thmit_security

アサヒGHDがランサム被害で決算発表延期　依然復旧未定で個人情報流出の可能性も

https://xtech.nikkei.com/atcl/nxt/news/24/02879/?ST=nxt_thmit_security

JVNVU#95364505 複数のRockwell Automation製品における複数の脆弱性

https://jvn.jp/vu/JVNVU95364505/index.html

JVNVU#99579798 Hitachi Energy製MACH GWSにおける複数の脆弱性

https://jvn.jp/vu/JVNVU99579798/index.html

JVNVU#90351979 Siemens製品に対するアップデート（2025年10月）

https://jvn.jp/vu/JVNVU90351979/index.html

JVNVU#90148644 複数のSchneider Electric製品における複数の脆弱性

https://jvn.jp/vu/JVNVU90148644/index.html

JVNVU#94409494 Delta Electronics製CNCSoft-G2におけるスタックベースのバッファオーバーフローの脆弱性

https://jvn.jp/vu/JVNVU94409494/index.html

JVN#61182380 AutoDownloaderのインストーラにおけるDLL読み込みに関する脆弱性

https://jvn.jp/jp/JVN61182380/index.html

JVN#13030751 ChatLuckにおける複数の脆弱性

https://jvn.jp/jp/JVN13030751/index.html

JVN#90757550 desknet's NEOにおける複数の脆弱性

https://jvn.jp/jp/JVN90757550/index.html

JVN#72648885 Ruijie Networks製RG-EST300におけるSSH機能が有効になっている問題

https://jvn.jp/jp/JVN72648885/index.html

JVN#42282226 Phoenix Contact CHARX SEC-3xxxにおけるコードインジェクションの脆弱性

https://jvn.jp/jp/JVN42282226/index.html

JVN#22713803 複数のRSUPPORT製品における安全でないDLL読み込みの脆弱性

https://jvn.jp/jp/JVN22713803/index.html

JVNVU#92425880 Rockwell Automation製1715 EtherNet/IP Comms Moduleにおける複数の脆弱性

https://jvn.jp/vu/JVNVU92425880/index.html

JVNVU#96471278 バッファロー製Wi-FiルーターWXR9300BE6Pシリーズにおけるパストラバーサルの脆弱性

https://jvn.jp/vu/JVNVU96471278/index.html

2025年10月15日水曜日

15日水曜日、先勝

+ Google Chrome 141.0.7390.107/.108, 140.0.7339.249 released

https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_14.html

https://chromereleases.googleblog.com/2025/10/extended-stable-updates-for-desktop_14.html

+ Mozilla Firefox 144.0 released

https://www.firefox.com/en-US/firefox/144.0/releasenotes/

+ Mozilla Foundation Security Advisory 2025-81 Security Vulnerabilities fixed in Firefox 144

https://www.mozilla.org/en-US/security/advisories/mfsa2025-81/

CVE-2025-11708

CVE-2025-11709

CVE-2025-11710

CVE-2025-11711

CVE-2025-11716

CVE-2025-11717

CVE-2025-11712

CVE-2025-11718

CVE-2025-11713

CVE-2025-11719

CVE-2025-11720

CVE-2025-11714

CVE-2025-11715

CVE-2025-11721

+ Mozilla Thunderbird 144.0, 140.4 released

https://www.thunderbird.net/en-US/thunderbird/144.0/releasenotes/

https://www.thunderbird.net/en-US/thunderbird/140.4.0esr/releasenotes/

+ Mozilla Foundation Security Advisory 2025-84 Security Vulnerabilities fixed in Thunderbird 144

https://www.mozilla.org/en-US/security/advisories/mfsa2025-84/

CVE-2025-11708

CVE-2025-11709

CVE-2025-11710

CVE-2025-11711

CVE-2025-11716

CVE-2025-11712

CVE-2025-11713

CVE-2025-11719

CVE-2025-11714

CVE-2025-11715

CVE-2025-11721

+ Apache Tomcat 10.1.48 Released

https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.48_(schultz)

ワンタイムパスワードは何がダメ？基本から学ぶ多要素認証

第2回

メールでOTPを送る方式は多要素認証ではない？米国の最新ガイドラインをひもとく

https://xtech.nikkei.com/atcl/nxt/column/18/03364/100300002/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

AIでフィッシングが巧妙化、クリック率5割超のメールを3分で生成　攻防の最前線

https://xtech.nikkei.com/atcl/nxt/column/18/00676/100700207/?ST=nxt_thmit_security

2025年10月14日火曜日

14日火曜日、赤口

+ RHSA-2025:17802 Important: webkit2gtk3 security update

https://access.redhat.com/errata/RHSA-2025:17802

CVE-2025-43272

CVE-2025-43342

CVE-2025-43356

CVE-2025-43368

+ RHSA-2025:17797 Moderate: kernel security update

https://access.redhat.com/errata/RHSA-2025:17797

CVE-2022-50228

CVE-2023-53305

+ RHSA-2025:17760 Moderate: kernel security update

https://access.redhat.com/errata/RHSA-2025:17760

CVE-2023-53373

CVE-2025-38556

CVE-2025-38614

CVE-2025-39757

+ RHSA-2025:17742 Moderate: vim security update

https://access.redhat.com/errata/RHSA-2025:17742

CVE-2025-53905

CVE-2025-53906

+ VMware Workstation 17.6.4 Pro released

https://techdocs.broadcom.com/us/en/vmware-cis/desktop-hypervisors/workstation-pro/17-0/release-notes/vmware-workstation-1764-pro-release-notes.html

+ Apache Tomcat 11.0.13. 9.0.111 released

https://tomcat.apache.org/tomcat-11.0-doc/changelog.html#Tomcat_11.0.13_(mark)

https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.111_(remm)

+ OpenSSH 10.2/10.2p1 released

https://www.openssh.com/releasenotes.html#10.2p1

VU#538470 Clevo UEFI firmware embedded BootGuard keys compromising Clevo's implementation of BootGuard

https://www.kb.cert.org/vuls/id/538470

VU#887923 Kiwire Captive Portal contains 3 web vulnerabilities

https://www.kb.cert.org/vuls/id/887923

JVNVU#95494957 Draytek製Vigorルーターにおける初期化されていないリソース使用の脆弱性

https://jvn.jp/vu/JVNVU95494957/index.html

JVN#69099112 バッファロー製NAS Navigator2における引用符で囲まれていないファイルパスの脆弱性

https://jvn.jp/jp/JVN69099112/index.html

JVNVU#94668663 Hitachi Energy製Asset Suiteにおけるログ出力内容の不適切な無害化の脆弱性

https://jvn.jp/vu/JVNVU94668663/index.html

JVNVU#99068628 複数のRockwell Automation製品におけるスタックベースのバッファオーバーフローの脆弱性

https://jvn.jp/vu/JVNVU99068628/index.html

フォーカス

AI時代の攻防を議論　Black Hat現地報告

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600014/100300213/?ST=nxt_thmit_security

ワンタイムパスワードは何がダメ？基本から学ぶ多要素認証

第1回

ワンタイムパスワード離れが世界で進む、証券口座乗っ取りで多要素認証に脚光

https://xtech.nikkei.com/atcl/nxt/column/18/03364/100300001/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

日本政策金融公庫の応募システムに2つの設定不備、同じ「学校名」だと検索可能に

https://xtech.nikkei.com/atcl/nxt/column/18/00598/041800336/?ST=nxt_thmit_security

2025年10月10日金曜日

10日金曜日、友引

+ RHSA-2025:17715 Moderate: vim security update

https://access.redhat.com/errata/RHSA-2025:17715

CVE-2025-53905

CVE-2025-53906

+ RHSA-2025:17693 Moderate: Satellite 6 Client Bug Fix Update

https://access.redhat.com/errata/RHSA-2025:17693

CVE-2025-10990

+ RHSA-2025:17675 Important: compat-libtiff3 security update

https://access.redhat.com/errata/RHSA-2025:17675

CVE-2025-9900

+ Google Chrome 141.0.7390.76/.77 released

https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_9.html

Wireshark 4.6.0, 4.4.10, 4.2.14 released

https://www.wireshark.org/docs/relnotes/wireshark-4.6.0.html

https://www.wireshark.org/docs/relnotes/wireshark-4.4.10.html

https://www.wireshark.org/docs/relnotes/wireshark-4.2.14.html

+ UPDATE: JVNVU#92928084 複数のHTTP/2サーバー実装におけるストリームリセット処理の不備（CVE-2025-8671）

https://jvn.jp/vu/JVNVU92928084/index.html

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

アダルトサイト閲覧中の姿を盗撮　Webカメラを乗っ取るマルウエア

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/100600169/?ST=nxt_thmit_security

国内でも被害相次ぐ、ランサムウエア攻撃の手口を暴く

第4回

ランサムウエア攻撃者は脅迫状をPCにコピー、「リークサイト」で被害組織を公表

https://xtech.nikkei.com/atcl/nxt/column/18/03365/100600005/?ST=nxt_thmit_security

経産省「GENIAC-PRIZE」、生成AIの安全性確保トライアル審査で8件受賞

https://xtech.nikkei.com/atcl/nxt/news/24/02871/?ST=nxt_thmit_security

アサヒGHDへのランサム攻撃で犯行声明、世界中で被害をもたらす「Qilin」の正体

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11165/?ST=nxt_thmit_security

JVNVU#96620683 三菱電機製FA製品のEthernet機能におけるサービス運用妨害（DoS）の脆弱性

https://jvn.jp/vu/JVNVU96620683/index.html

2025年10月9日木曜日

9日木曜日、先勝

+ RHSA-2025:17614 Important: Satellite 6.15.5.5 Async Update

https://access.redhat.com/errata/RHSA-2025:17614

CVE-2024-49761

CVE-2025-57052

CVE-2025-57833

+ RHSA-2025:17613 Important: Satellite 6.16.5.4 Async Update

https://access.redhat.com/errata/RHSA-2025:17613

CVE-2025-10990

CVE-2025-57052

CVE-2025-57833

+ RHSA-2025:17606 Important: Satellite 6.17.5 Async Update

https://access.redhat.com/errata/RHSA-2025:17606

CVE-2025-10990

CVE-2025-57052

CVE-2025-57833

+ RHSA-2025:17558 Moderate: iputils security update

https://access.redhat.com/errata/RHSA-2025:17558

CVE-2025-48964

+ phpMyAdmin 5.2.3 is released

https://www.phpmyadmin.net/news/2025/10/8/phpmyadmin-523-is-released/

+ Apache Struts 6.8.0 GA released

https://struts.apache.org/announce-2025#a20251016

国内でも被害相次ぐ、ランサムウエア攻撃の手口を暴く

第3回

ランサムウエア攻撃は二重脅迫が常識に、「ノーウエアランサム」も登場

https://xtech.nikkei.com/atcl/nxt/column/18/03365/100600004/?ST=nxt_thmit_security

アサヒGHDのランサム被害で犯行声明か、「Qilin」が個人情報などの窃取を主張

https://xtech.nikkei.com/atcl/nxt/news/24/02870/?ST=nxt_thmit_security

JVNVU#90008453 富士電機製V-SFTにおける複数の脆弱性

https://jvn.jp/vu/JVNVU90008453/index.html

JVNVU#96783966 複数のRockwell Automation製品における複数の脆弱性

https://jvn.jp/vu/JVNVU96783966/index.html

JVNVU#93869669 Delta Electronics製DIAScreenにおける複数の境界外書き込みの脆弱性

https://jvn.jp/vu/JVNVU93869669/index.html

2025年10月8日水曜日

8日水曜日、赤口

+ RHSA-2025:17509 Important: open-vm-tools security update

https://access.redhat.com/errata/RHSA-2025:17509

CVE-2025-41244

+ RHSA-2025:17415 Moderate: gnutls security, bug fix, and enhancement update

https://access.redhat.com/errata/RHSA-2025:17415

CVE-2025-6395

CVE-2025-32988

CVE-2025-32990

+ RHSA-2025:17377 Moderate: kernel security update

https://access.redhat.com/errata/RHSA-2025:17377

CVE-2024-50301

CVE-2025-38351

CVE-2025-39761

+ Google Chrome 141.0.7390.65/.66, 140.0.7339.240 released

https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop.html

https://chromereleases.googleblog.com/2025/10/extended-stable-updates-for-desktop.html

+ ClamAV 1.5.0 released!

https://blog.clamav.net/2025/10/clamav-150-released.html

+ Apache Tomcat 11.0.12, 10.1.47 released

https://tomcat.apache.org/tomcat-11.0-doc/changelog.html#Tomcat_11.0.12_(markt)

https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.47_(schultz)

国内でも被害相次ぐ、ランサムウエア攻撃の手口を暴く

第2回

ランサムウエア攻撃者は「自給自足」で検知回避、Active Directoryサーバーを乗っ取る

https://xtech.nikkei.com/atcl/nxt/column/18/03365/100600003/?ST=nxt_thmit_security

ニュース解説

楽天証券が10月末にパスキー全面導入、SBI証券も追随　フィッシング対策の本命

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11141/?ST=nxt_thmit_security

UPDATE: JVN#23423519 DataSpider ServistaにおけるXML外部実体参照（XXE）に関する脆弱性

https://jvn.jp/jp/JVN23423519/index.html

2025年10月7日火曜日

7日火曜日、大安

+ Mozilla Firefox 143.0.4 released

https://www.firefox.com/en-US/firefox/143.0.4/releasenotes/

+ Apache Tomcat 9.0.110 Released

https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.110_(remm)

+ OpenSSH 10.1/10.1p1 released

https://www.openssh.com/releasenotes.html#10.1p1

国内でも被害相次ぐ、ランサムウエア攻撃の手口を暴く

第1回

ランサムウエア攻撃は不正侵入から始まる、狙われる「VPN装置」の脆弱性

https://xtech.nikkei.com/atcl/nxt/column/18/03365/100600002/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

ひびしんキャピタルのWebサイトが改ざん被害、同居する他社サイトの脆弱性を悪用

https://xtech.nikkei.com/atcl/nxt/column/18/00598/041800335/?ST=nxt_thmit_security

JVN#95806263 複数のデンソーテン製ドライブレコーダビューアのインストーラにおける任意のDLL読み込みの脆弱性

https://jvn.jp/jp/JVN95806263/index.html

2025年10月6日月曜日

6日月曜日、仏滅

VU#294418 Vigor routers running DrayOS are vulnerable to RCE via EasyVPN and LAN web administration interface

https://www.kb.cert.org/vuls/id/294418

JVNVU#95625951 トレンドマイクロ製ウイルスバスター for Macにおける特権昇格の脆弱性

https://jvn.jp/vu/JVNVU95625951/index.html

JVNVU#96989989 日本光電工業製セントラルモニタ CNS-6201におけるNULLポインタ参照の脆弱性

https://jvn.jp/vu/JVNVU96989989/index.html

JVNVU#95948177 Raise3D製Pro2 Seriesにおける代替パスまたは代替チャネルを使用した認証回避の脆弱性

https://jvn.jp/vu/JVNVU95948177/index.html

JVNVU#91087740 Hitachi Energy製MSM Productにおける複数の脆弱性

https://jvn.jp/vu/JVNVU91087740/index.html

ニュース解説

アサヒGHDのランサム被害、商品受注・出荷システム「SPIRIT」など物流全般で停止

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11151/?ST=nxt_thmit_security

ニュース解説

アサヒグループHDも被害か、業務継続を揺るがすランサムウエア攻撃の脅威

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11146/?ST=nxt_thmit_security

2025年10月3日金曜日

3日金曜日、先勝

+ Apache PDFBox 2.0.35 released

https://issues.apache.org/jira/secure/ReleaseNote.jspa?projectId=12310760&version=12355879

JVNVU#97069449 複数のキーエンス製品における複数の脆弱性

https://jvn.jp/vu/JVNVU97069449/index.html

JVNVU#96515249 HEIDENHAIN製TNC 640における安全ではない値を用いたリソースの初期化の脆弱性

https://jvn.jp/vu/JVNVU96515249/index.html

マルウエア徹底解剖

配布形式「MSIX」を悪用する攻撃

［第70回］

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/091600071/?ST=nxt_thmit_security

ニュース解説

アサヒグループHDがサイバー攻撃被害で商品発売を延期、ランサムウエアの可能性

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11137/?ST=nxt_thmit_security

2025年10月2日木曜日

2日木曜日、赤口

+ RHSA-2025:17129 Important: idm:DL1 security update

https://access.redhat.com/errata/RHSA-2025:17129

CVE-2025-7493

+ Zabbix 7.4.3, 7.2.13 released

https://www.zabbix.com/rn/rn7.4.3

https://www.zabbix.com/rn/rn7.2.13

+ OpenSSL 3.6.0 released

https://github.com/openssl/openssl/releases/tag/openssl-3.6.0

+ JVNVU#93161789 OpenSSLにおける複数の脆弱性（OpenSSL Security Advisory [30th September 2025]）

https://jvn.jp/vu/JVNVU93161789/index.html

CVE-2025-9230

CVE-2025-9231

CVE-2025-9232

+ Linux Kernelの脆弱性(CVE-2025-39868～CVE-2025-39928)

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20251002/

CVE-2025-39868

CVE-2025-39869

CVE-2025-39870

CVE-2025-39871

CVE-2025-39872

CVE-2025-39873

CVE-2025-39874

CVE-2025-39875

CVE-2025-39876

CVE-2025-39877

CVE-2025-39878

CVE-2025-39879

CVE-2025-39880

CVE-2025-39881

CVE-2025-39882

CVE-2025-39883

CVE-2025-39884

CVE-2025-39885

CVE-2025-39886

CVE-2025-39887

CVE-2025-39888

CVE-2025-39889

CVE-2025-39890

CVE-2025-39891

CVE-2025-39892

CVE-2025-39893

CVE-2025-39894

CVE-2025-39895

CVE-2025-39896

CVE-2025-39897

CVE-2025-39898

CVE-2025-39899

CVE-2025-39900

CVE-2025-39901

CVE-2025-39902

CVE-2025-39903

CVE-2025-39904

CVE-2025-39905

CVE-2025-39906

CVE-2025-39907

CVE-2025-39908

CVE-2025-39909

CVE-2025-39910

CVE-2025-39911

CVE-2025-39912

CVE-2025-39913

CVE-2025-39914

CVE-2025-39915

CVE-2025-39916

CVE-2025-39917

CVE-2025-39918

CVE-2025-39919

CVE-2025-39920

CVE-2025-39921

CVE-2025-39922

CVE-2025-39923

CVE-2025-39924

CVE-2025-39925

CVE-2025-39926

CVE-2025-39927

CVE-2025-39928

ニュース＆リポート

金融機関253社がサイバー演習　攻撃を受けた際の対応を検証

ランサムウエア攻撃や委託先への攻撃に備える

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/092501321/?ST=nxt_thmit_security

サイバートラスト、AlmaLinux 9の重大な脆弱性に絞ったアップデートパッケージ

https://xtech.nikkei.com/atcl/nxt/news/24/02852/?ST=nxt_thmit_security

JVNVU#96783966 複数のRockwell Automation製品における複数の脆弱性

https://jvn.jp/vu/JVNVU96783966/index.html

JVNVU#92884112 Keysight製Ixia Vision Product Familyにおける複数の脆弱性

https://jvn.jp/vu/JVNVU92884112/index.html

JVNVU#94762821 Megasys Enterprises製Telenium Online Web ApplicationにおけるOSコマンドインジェクションの脆弱性

https://jvn.jp/vu/JVNVU94762821/index.html

JVNVU#90492166 複数のFesto製品における複数の脆弱性

https://jvn.jp/vu/JVNVU90492166/index.html

JVNVU#97720484 OpenPLC_V3における未定義、未指定、または実装定義の動作への依存の脆弱性

https://jvn.jp/vu/JVNVU97720484/index.html

JVNVU#93572165 National Instruments製Circuit Design Suiteにおける複数の脆弱性

https://jvn.jp/vu/JVNVU93572165/index.html

JVNVU#90436578 複数のLG Innotek製ネットワークカメラにおける代替パスまたは代替チャネルを使用した認証回避の脆弱性

https://jvn.jp/vu/JVNVU90436578/index.html

2025年10月1日水曜日

1日水曜日、大安

+ RHSA-2025:16861 Moderate: mysql:8.0 security update

https://access.redhat.com/errata/RHSA-2025:16861

CVE-2025-21574

CVE-2025-21575

CVE-2025-21577

CVE-2025-21579

CVE-2025-21580

CVE-2025-21581

CVE-2025-21584

CVE-2025-21585

CVE-2025-30681

CVE-2025-30682

CVE-2025-30683

CVE-2025-30684

CVE-2025-30685

CVE-2025-30687

CVE-2025-30688

CVE-2025-30689

CVE-2025-30693

CVE-2025-30695

CVE-2025-30696

CVE-2025-30699

CVE-2025-30703

CVE-2025-30704

CVE-2025-30705

CVE-2025-30715

CVE-2025-30721

CVE-2025-30722

CVE-2025-50077

CVE-2025-50078

CVE-2025-50079

CVE-2025-50080

CVE-2025-50081

CVE-2025-50082

CVE-2025-50083

CVE-2025-50084

CVE-2025-50085

CVE-2025-50086

CVE-2025-50087

CVE-2025-50088

CVE-2025-50091

CVE-2025-50092

CVE-2025-50093

CVE-2025-50094

CVE-2025-50096

CVE-2025-50097

CVE-2025-50098

CVE-2025-50099

CVE-2025-50100

CVE-2025-50101

CVE-2025-50102

CVE-2025-50104

CVE-2025-53023

+ RHSA-2025:16880 Moderate: kernel security update

https://access.redhat.com/errata/RHSA-2025:16880

CVE-2025-38472

CVE-2025-38527

CVE-2025-38718

CVE-2025-39682

CVE-2025-39698

+ About the security content of iOS 26.0.1 and iPadOS 26.0.1

https://support.apple.com/en-us/125326

CVE-2025-43400

+ About the security content of iOS 18.7.1 and iPadOS 18.7.1

https://support.apple.com/en-us/125327

CVE-2025-43400

+ About the security content of macOS Tahoe 26.0.1

https://support.apple.com/en-us/125328

CVE-2025-43400

+ About the security content of macOS Sequoia 15.7.1

https://support.apple.com/en-us/125329

CVE-2025-43400

+ About the security content of macOS Sonoma 14.8.1

https://support.apple.com/en-us/125330

CVE-2025-43400

+ About the security content of visionOS 26.0.1

https://support.apple.com/en-us/125338

CVE-2025-43400

+ watchOS 26.0.2 released

https://support.apple.com/en-us/100100

+ tvOS 26.0.1 released

https://support.apple.com/en-us/100100

+ Google Chrome 141.0.7390.54/55, 140.0.7339.230 released

https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_30.html

https://chromereleases.googleblog.com/2025/09/extended-stable-updates-for-desktop.html

+ Mozilla Foundation Security Advisory 2025-80 Security Vulnerabilities fixed in Firefox 143.0.3

https://www.mozilla.org/en-US/security/advisories/mfsa2025-80/

CVE-2025-11152

CVE-2025-11153

+ Zabbix 7.0.19, 6.0.42 released

https://www.zabbix.com/rn/rn7.0.19

https://www.zabbix.com/rn/rn6.0.42

+ FreeBSD-SA-25:08.openssl Multiple vulnerabilities in OpenSSL

https://www.freebsd.org/security/advisories/FreeBSD-SA-25:08.openssl.asc

CVE-2025-9230

CVE-2025-9231

CVE-2025-9232

+ Out-of-bounds read & write in RFC 3211 KEK Unwrap

https://openssl-library.org/news/vulnerabilities/index.html#CVE-2025-9230

CVE-2025-9230

+ Timing side-channel in SM2 algorithm on 64 bit ARM

https://openssl-library.org/news/vulnerabilities/index.html#CVE-2025-9231

CVE-2025-9231

+ Out-of-bounds read in HTTP client no_proxy handling

https://openssl-library.org/news/vulnerabilities/index.html#CVE-2025-9232

CVE-2025-9232

+ OpenSSLの脆弱性(Moderate: CVE-2025-9230, CVE-2025-9231, Low: CVE-2025-9232)と3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18, 1.0.2zm, 1.1.1zdリリース

https://security.sios.jp/vulnerability/openssl-security-vulnearbility-20251001/

CVE-2025-9230

CVE-2025-9231

CVE-2025-9232

+ OpenSSL 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18

https://github.com/openssl/openssl/releases/tag/openssl-3.5.4

https://github.com/openssl/openssl/releases/tag/openssl-3.4.3

https://github.com/openssl/openssl/releases/tag/openssl-3.3.5

https://github.com/openssl/openssl/releases/tag/openssl-3.2.6

https://github.com/openssl/openssl/releases/tag/openssl-3.0.18

基本から点検する多要素認証の仕組み

パスキー導入後も油断は禁物　想定される3つの攻撃手口

Part4 さらなる脅威

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091600228/091600004/?ST=nxt_thmit_security

基本から点検する多要素認証の仕組み

画面ロック解除を応用するパスキー　フィッシングに負けない3つの仕組み

Part3 有力技術

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091600228/091600003/?ST=nxt_thmit_security

基本から点検する多要素認証の仕組み

3つの「異なる要素」で本人確認　OTPは中間者攻撃に弱い

Part2 基本

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091600228/091600002/?ST=nxt_thmit_security

データは語る

営業秘密の情報漏洩調査　漏洩事例を認識した企業は3割超

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600010/092500208/?ST=nxt_thmit_security

基本から点検する多要素認証の仕組み

証券口座乗っ取りで多要素認証に脚光　世界で進む「OTP離れ」

Part1 動向

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091600228/091600001/?ST=nxt_thmit_security

月刊ランサムリポート

被害件数の増加傾向が続く　新たなグループ「D4RK 4RMY」に要注意

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041600214/091600007/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

アダルトサイト閲覧中のユーザーを盗撮、Webカメラを乗っ取るマルウエア出現

https://xtech.nikkei.com/atcl/nxt/column/18/00676/092400206/?ST=nxt_thmit_security

Black Hat USA 2025現地リポ

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091600229/091600001/?ST=nxt_thmit_security

北郷達郎のテクノロジー温故知新

前ほど聞かなくなった「オブジェクト指向」、一体どこに消えたのか

https://xtech.nikkei.com/atcl/nxt/column/18/02598/091700025/?ST=nxt_thmit_security

月刊ランサムリポート

第10回

25年8月のランサム被害を分析、新顔「Sinobi」の被害が急増

https://xtech.nikkei.com/atcl/nxt/column/18/03053/092600010/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

東京外国語大で改ざん被害、オンラインカジノに誘導　コンテンツ管理の脆弱性悪用

https://xtech.nikkei.com/atcl/nxt/column/18/00598/041800334/?ST=nxt_thmit_security

アサヒグループHDがサイバー攻撃被害、国内の受注・出荷など停止　復旧未定

https://xtech.nikkei.com/atcl/nxt/news/24/02844/?ST=nxt_thmit_security

JVNVU#96989989 日本光電工業製セントラルモニタ CNS-6201におけるNULLポインタ参照の脆弱性

https://jvn.jp/vu/JVNVU96989989/index.html

JVNVU#93104961 キヤノン製プロダクション/オフィス/スモールオフィス向け複合機およびレーザービームプリンターの一部のプリンタドライバにおける複数の脆弱性

https://jvn.jp/vu/JVNVU93104961/index.html

JVN#23423519 DataSpider ServistaにおけるXML外部実体参照（XXE）に関する脆弱性

https://jvn.jp/jp/JVN23423519/index.html

JVN#55678602 複数のi-フィルター製品における不適切なファイルアクセス権設定の脆弱性

https://jvn.jp/jp/JVN55678602/index.html

VU#534320 NPM supply chain compromise exposes challenges to securing the ecosystem from credential theft and self-propagation

https://www.kb.cert.org/vuls/id/534320

2025年9月29日月曜日

29日月曜日、先負

JVNVU#91838033 Dingtian製DT-R002における複数の認証情報の不十分な保護の脆弱性

https://jvn.jp/vu/JVNVU91838033/index.html

日経NETWORK 特別リポート

AIエージェント技術「MCP」に脆弱性

外部接続に情報窃取のリスク

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/091600095/?ST=nxt_thmit_security

日経コンピュータ「動かないコンピュータ」

300万人分の個人データが漏洩　個情委の行政指導で数々の不備が露呈

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/092400189/?ST=nxt_thmit_security

吉川孝志のマルウエア徹底解剖

第20回

Windowsアプリの配布形式「MSIX」、その悪用手口を基礎から網羅的に解説する

https://xtech.nikkei.com/atcl/nxt/column/18/02805/091700021/?ST=nxt_thmit_security

26日金曜日、赤口

+ PHP 8.4.13, 8.3.26 released

https://www.php.net/ChangeLog-8.php#8.4.13

https://www.php.net/ChangeLog-8.php#8.3.26

+ PostgreSQL 18 Released!

https://www.postgresql.org/about/news/postgresql-18-released-3142/

UPDATE: JVNVU#97846038 三菱電機製MELSEC-QシリーズCPUユニットにおけるサービス運用妨害（DoS）の脆弱性

https://jvn.jp/vu/JVNVU97846038/index.html

JVNVU#91850850 Hitachi Energy製RTU500シリーズおよびTRMTrackerにおける複数の脆弱性

https://jvn.jp/vu/JVNVU91850850/index.html

JVNVU#92115455 AutomationDirect製CLICK PLUSにおける複数の脆弱性

https://jvn.jp/vu/JVNVU92115455/index.html

JVNVU#91721219 Schneider Electric製SESUにおけるファイルにアクセスする時のリンク解釈が不適切な脆弱性

https://jvn.jp/vu/JVNVU91721219/index.html

JVNVU#92876092 Viessmann製Vitogate 300における複数の脆弱性

https://jvn.jp/vu/JVNVU92876092/index.html

当事者が語る！トラブルからの脱出

特定サイトにだけつながらない　見知らぬ誰かが「ブロック」

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800004/091600093/?ST=nxt_thmit_security

NEWS close-up

「社労夢」運営元に3億円求める訴訟

「クラウドサービスにあるまじき危険な設定」　訴状で痛烈に批判

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/091600300/?ST=nxt_thmit_security

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

AIが10分で攻撃プログラム生成　セキュリティー対策の見直し必須に

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/092400168/?ST=nxt_thmit_security

不快なネット広告を遮断せよ！

第17回

メールの悩みを解決する「Gmail転送」　強力な仕分けとワンクリック配信停止が魅力

https://xtech.nikkei.com/atcl/nxt/column/18/03299/081800017/?ST=nxt_thmit_security

動かないコンピュータ

業務委託のイセトー、300万人分の個人データを漏洩　個情委の行政指導で不備が露呈

https://xtech.nikkei.com/atcl/nxt/column/18/01157/092500143/?ST=nxt_thmit_security

2025年9月25日木曜日

25日木曜日、大安

+ RHSA-2025:16538 Important: kpatch-patch-5_14_0-570_17_1 security update

https://access.redhat.com/errata/RHSA-2025:16538

CVE-2025-37890

CVE-2025-38000

CVE-2025-38001

CVE-2025-38350

CVE-2025-38380

+ RHSA-2025:16589 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2025:16589

CVE-2025-10527

CVE-2025-10528

CVE-2025-10529

CVE-2025-10532

CVE-2025-10533

CVE-2025-10536

CVE-2025-10537

+ RHSA-2025:16582 Important: kpatch-patch-4_18_0-553_16_1, kpatch-patch-4_18_0-553_30_1, kpatch-patch-4_18_0-553_40_1, kpatch-patch-4_18_0-553_53_1, and kpatch-patch-4_18_0-553_72_1 security update

https://access.redhat.com/errata/RHSA-2025:16582

CVE-2025-37890

CVE-2025-38000

CVE-2025-38001

CVE-2025-38350

CVE-2025-38380

+ Google Chrome 141.0.7390.37 released

https://chromereleases.googleblog.com/2025/09/early-stable-update-for-desktop.html

決算調査で判明、サイバー被害52社のリアル

被害の当事者企業が選んだ対策　モノ・仕組み・人をどう変えた

［第4回］

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/063000493/092200004/?ST=nxt_thmit_security

不快なネット広告を遮断せよ！

第16回

画像を使ってメアドの実在を確認する「ビーコン」、新しいOutlookなら相手に伝わらず

https://xtech.nikkei.com/atcl/nxt/column/18/03299/081800016/?ST=nxt_thmit_security

2025年9月24日水曜日

24日水曜日、仏滅

+ RHSA-2025:16260 Important: firefox security update

https://access.redhat.com/errata/RHSA-2025:16260

CVE-2025-10527

CVE-2025-10528

CVE-2025-10529

CVE-2025-10532

CVE-2025-10533

CVE-2025-10536

CVE-2025-10537

+ RHSA-2025:16346 Moderate: command-line-assistant security update

https://access.redhat.com/errata/RHSA-2025:16346

CVE-2025-5962

+ Google Chrome 140.0.7339.207/.208 released

https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_23.html

+ Mozilla Thunderbird 143.0.1 released

https://www.thunderbird.net/en-US/thunderbird/143.0.1/releasenotes/

VU#780141 Cross-site scripting vulnerability in Lectora course navigation

https://www.kb.cert.org/vuls/id/780141

不快なネット広告を遮断せよ！

第15回

接続元IPアドレスを隠蔽する「Tor接続」、玉ねぎのように何重にもデータを暗号化する

https://xtech.nikkei.com/atcl/nxt/column/18/03299/081800015/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

東京湾青海公共ターミナルのシステム障害で「データ紛失」、コンテナ作業に1週間影響

https://xtech.nikkei.com/atcl/nxt/column/18/00598/041800333/?ST=nxt_thmit_security

間接プロンプトインジェクションに気をつけろ

第2回

増え続ける間接プロンプトインジェクションの新手法、画像やソースコードにも注意

https://xtech.nikkei.com/atcl/nxt/column/18/03336/091600002/?ST=nxt_thmit_security

2025年9月22日月曜日

22日月曜日、友引

+ Mozilla Firefox 143.0.1 released

https://www.firefox.com/en-US/firefox/143.0.1/releasenotes/

+ PostgreSQL JDBC Driver 42.7.8 released

https://jdbc.postgresql.org/changelogs/2025-09-18-42/

+ Linux Kernelの脆弱性(CVE-2025-39805～CVE-2025-39866)

CVE-2025-39805

CVE-2025-39806

CVE-2025-39807

CVE-2025-39808

CVE-2025-39809

CVE-2025-39810

CVE-2025-39811

CVE-2025-39812

CVE-2025-39813

CVE-2025-39814

CVE-2025-39815

CVE-2025-39816

CVE-2025-39817

CVE-2025-39818

CVE-2025-39819

CVE-2025-39820

CVE-2025-39821

CVE-2025-39822

CVE-2025-39823

CVE-2025-39824

CVE-2025-39825

CVE-2025-39826

CVE-2025-39827

CVE-2025-39828

CVE-2025-39829

CVE-2025-39830

CVE-2025-39831

CVE-2025-39832

CVE-2025-39833

CVE-2025-39834

CVE-2025-39835

CVE-2025-39836

CVE-2025-39837

CVE-2025-39838

CVE-2025-39839

CVE-2025-39840

CVE-2025-39841

CVE-2025-39842

CVE-2025-39843

CVE-2025-39844

CVE-2025-39845

CVE-2025-39846

CVE-2025-39847

CVE-2025-39848

CVE-2025-39849

CVE-2025-39850

CVE-2025-39851

CVE-2025-39852

CVE-2025-39853

CVE-2025-39854

CVE-2025-39855

CVE-2025-39856

CVE-2025-39857

CVE-2025-39858

CVE-2025-39859

CVE-2025-39860

CVE-2025-39861

CVE-2025-39862

CVE-2025-39863

CVE-2025-39864

CVE-2025-39865

CVE-2025-39866

ニュース解説

生成AI悪用のランサムウエア出現　リアルタイムで攻撃プログラムを生成、検知を回避

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11106/?ST=nxt_thmit_security

SCSKとネットワンの合併は2027年4月へ1年延期、「シナジーは2026年度から発現」

https://xtech.nikkei.com/atcl/nxt/news/24/02827/?ST=nxt_thmit_security

JVNVU#98860513 Westermo製WeOS 5における複数の脆弱性

https://jvn.jp/vu/JVNVU98860513/index.html

JVNVU#96210055 複数のSchneider Electric製品における複数のOSコマンドインジェクションの脆弱性

https://jvn.jp/vu/JVNVU96210055/index.html

JVNVU#98609253 複数のHitachi Energy製品における複数の脆弱性

https://jvn.jp/vu/JVNVU98609253/index.html

JVNVU#98020473 複数のCognex製品における複数の脆弱性

https://jvn.jp/vu/JVNVU98020473/index.html

JVNVU#97829315 Dover Fueling Solutions製ProGauge MagLink LXにおける複数の脆弱性

https://jvn.jp/vu/JVNVU97829315/index.html

2025年9月19日金曜日

19日金曜日、仏滅

+ RHSA-2025:16156 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2025:16156

CVE-2025-10527

CVE-2025-10528

CVE-2025-10529

CVE-2025-10532

CVE-2025-10533

CVE-2025-10536

CVE-2025-10537

+ RHSA-2025:16046 Moderate: mysql:8.4 security update

https://access.redhat.com/errata/RHSA-2025:16046

CVE-2025-21574

CVE-2025-21575

CVE-2025-21577

CVE-2025-21579

CVE-2025-21580

CVE-2025-21581

CVE-2025-21584

CVE-2025-21585

CVE-2025-21588

CVE-2025-30681

CVE-2025-30682

CVE-2025-30683

CVE-2025-30684

CVE-2025-30685

CVE-2025-30687

CVE-2025-30688

CVE-2025-30689

CVE-2025-30693

CVE-2025-30695

CVE-2025-30696

CVE-2025-30699

CVE-2025-30703

CVE-2025-30704

CVE-2025-30705

CVE-2025-30715

CVE-2025-30721

CVE-2025-30722

CVE-2025-50077

CVE-2025-50078

CVE-2025-50079

CVE-2025-50080

CVE-2025-50081

CVE-2025-50082

CVE-2025-50083

CVE-2025-50084

CVE-2025-50085

CVE-2025-50086

CVE-2025-50087

CVE-2025-50088

CVE-2025-50091

CVE-2025-50092

CVE-2025-50093

CVE-2025-50094

CVE-2025-50096

CVE-2025-50097

CVE-2025-50098

CVE-2025-50099

CVE-2025-50100

CVE-2025-50101

CVE-2025-50102

CVE-2025-50104

+ watchOS 26.0.1 released

https://support.apple.com/en-us/100100

不快なネット広告を遮断せよ！

第14回

端末に履歴を残さないブラウザーの「プライベートモード」、共用パソコンで重宝

https://xtech.nikkei.com/atcl/nxt/column/18/03299/081800014/?ST=nxt_thmit_security

JVNVU#96277701 OpenAM（OpenAMコンソーシアム版）にサービス運用妨害（DoS）につながる脆弱性

https://jvn.jp/vu/JVNVU96277701/index.html

JVNVU#93403671 オムロンソーシアルソリューションズ製無停電電源装置（UPS）管理アプリケーションにおけるWindowsサービスの実行ファイルパスが引用符で囲まれていない脆弱性

https://jvn.jp/vu/JVNVU93403671/index.html

JVNVU#97846038 三菱電機製MELSEC-QシリーズCPUユニットにおけるサービス運用妨害（DoS）の脆弱性

https://jvn.jp/vu/JVNVU97846038/index.html

JVNVU#90283680 三菱電機製エコガイドTABにおける複数の脆弱性

https://jvn.jp/vu/JVNVU90283680/index.html

JVNVU#95103362 三菱電機製FAエンジニアリングソフトウェア製品における複数の脆弱性

https://jvn.jp/vu/JVNVU95103362/index.html

JVN#95938761 UNIVERGE IX/IX-R/IX-Vシリーズルータにおけるクロスサイトスクリプティングの脆弱性

https://jvn.jp/jp/JVN95938761/index.html

JVNVU#90043828 複数のブラザー製品における複数の脆弱性

https://jvn.jp/vu/JVNVU90043828/index.html

2025年9月18日木曜日

18日木曜日、先負

+ RHSA-2025:15921 Important: kpatch-patch-4_18_0-553_16_1, kpatch-patch-4_18_0-553_30_1, kpatch-patch-4_18_0-553_40_1, kpatch-patch-4_18_0-553_53_1, and kpatch-patch-4_18_0-553_72_1 security update

https://access.redhat.com/errata/RHSA-2025:15921

CVE-2025-38052

CVE-2025-38352

+ RHSA-2025:15904 Important: container-tools:rhel8 security update

https://access.redhat.com/errata/RHSA-2025:15904

CVE-2025-9566

+ RHSA-2025:16046 Moderate: mysql:8.4 security update

https://access.redhat.com/errata/RHSA-2025:16046

CVE-2024-13176

CVE-2025-5399

CVE-2025-21574

CVE-2025-21575

CVE-2025-21577

CVE-2025-21579

CVE-2025-21580

CVE-2025-21581

CVE-2025-21584

CVE-2025-21585

CVE-2025-21588

CVE-2025-30681

CVE-2025-30682

CVE-2025-30683

CVE-2025-30684

CVE-2025-30685

CVE-2025-30687

CVE-2025-30688

CVE-2025-30689

CVE-2025-30693

CVE-2025-30695

CVE-2025-30696

CVE-2025-30699

CVE-2025-30703

CVE-2025-30704

CVE-2025-30705

CVE-2025-30715

CVE-2025-30721

CVE-2025-30722

CVE-2025-50077

CVE-2025-50078

CVE-2025-50079

CVE-2025-50080

CVE-2025-50081

CVE-2025-50082

CVE-2025-50083

CVE-2025-50084

CVE-2025-50085

CVE-2025-50086

CVE-2025-50087

CVE-2025-50088

CVE-2025-50091

CVE-2025-50092

CVE-2025-50093

CVE-2025-50094

CVE-2025-50096

CVE-2025-50097

CVE-2025-50098

CVE-2025-50099

CVE-2025-50100

CVE-2025-50101

CVE-2025-50102

CVE-2025-50104

+ RHSA-2025:15887 Moderate: opentelemetry-collector security update

https://access.redhat.com/errata/RHSA-2025:15887

CVE-2025-4673

+ RHSA-2025:15874 Moderate: python-cryptography security update

https://access.redhat.com/errata/RHSA-2025:15874

CVE-2023-49083

+ Google Chrome 140.0.7339.185/.186 released

https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_17.html

+ Mozilla Firefox 143.0 released

https://www.firefox.com/en-US/firefox/143.0/releasenotes/

+ Mozilla Foundation Security Advisory 2025-73 Security Vulnerabilities fixed in Firefox 143

https://www.mozilla.org/en-US/security/advisories/mfsa2025-73/

CVE-2025-10527

CVE-2025-10528

CVE-2025-10529

CVE-2025-10530

CVE-2025-10531

CVE-2025-10532

CVE-2025-10533

CVE-2025-10534

CVE-2025-10535

CVE-2025-10536

CVE-2025-10537

+ Mozilla Foundation Security Advisory 2025-77 Security Vulnerabilities fixed in Thunderbird 143

https://www.mozilla.org/en-US/security/advisories/mfsa2025-77/

CVE-2025-10527

CVE-2025-10528

CVE-2025-10529

CVE-2025-10530

CVE-2025-10531

CVE-2025-10532

CVE-2025-10533

CVE-2025-10534

CVE-2025-10536

CVE-2025-10537

+ Mozilla Thunderbird 143.0, 140.3 released

https://www.thunderbird.net/en-US/thunderbird/143.0/releasenotes/

https://www.thunderbird.net/en-US/thunderbird/140.3.0esr/releasenotes/

+ Linux Kernelの脆弱性(CVE-2025-39736～CVE-2025-39804, CVE-2025-40300)

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20250916/

CVE-2025-39736

CVE-2025-39737

CVE-2025-39738

CVE-2025-39739

CVE-2025-39740

CVE-2025-39741

CVE-2025-39742

CVE-2025-39743

CVE-2025-39744

CVE-2025-39745

CVE-2025-39746

CVE-2025-39747

CVE-2025-39748

CVE-2025-39749

CVE-2025-39750

CVE-2025-39751

CVE-2025-39752

CVE-2025-39753

CVE-2025-39754

CVE-2025-39755

CVE-2025-39756

CVE-2025-39757

CVE-2025-39758

CVE-2025-39759

CVE-2025-39760

CVE-2025-39761

CVE-2025-39762

CVE-2025-39763

CVE-2025-39764

CVE-2025-39765

CVE-2025-39766

CVE-2025-39767

CVE-2025-39768

CVE-2025-39769

CVE-2025-39770

CVE-2025-39771

CVE-2025-39772

CVE-2025-39773

CVE-2025-39774

CVE-2025-39775

CVE-2025-39776

CVE-2025-39777

CVE-2025-39778

CVE-2025-39779

CVE-2025-39780

CVE-2025-39781

CVE-2025-39782

CVE-2025-39783

CVE-2025-39784

CVE-2025-39785

CVE-2025-39786

CVE-2025-39787

CVE-2025-39788

CVE-2025-39789

CVE-2025-39790

CVE-2025-39791

CVE-2025-39792

CVE-2025-39793

CVE-2025-39794

CVE-2025-39795

CVE-2025-39796

CVE-2025-39797

CVE-2025-39798

CVE-2025-39799

CVE-2025-39800

CVE-2025-39801

CVE-2025-39802

CVE-2025-39803

CVE-2025-39804

CVE-2025-40300

JVNVU#93294882 ブラザーおよびそのOEMベンダーが提供する複数の製品における管理者パスワードの初期設定について

https://jvn.jp/vu/JVNVU93294882/index.html

JVNVU#93913883 Daikin Europe N.V.製Security Gatewayに脆弱なパスワードリカバリの問題

https://jvn.jp/vu/JVNVU93913883/index.html

JVNVU#91790481 複数のSchneider Electric製品におけるクロスサイトスクリプティングの脆弱性

https://jvn.jp/vu/JVNVU91790481/index.html

JVNVU#93117073 Hitachi Energy製RTU500シリーズにおける複数の脆弱性

https://jvn.jp/vu/JVNVU93117073/index.html

JVNVU#98116919 Delta Electronics製DIALinkにおけるパストラバーサルの脆弱性

https://jvn.jp/vu/JVNVU98116919/index.html

JVNVU#96277701 OpenAM（OpenAMコンソーシアム版）にサービス運用妨害（DoS）につながる脆弱性

https://jvn.jp/vu/JVNVU96277701/index.html

JVN#84697061 Century HW RAID Managerにおける引用符で囲まれていないファイルパスの脆弱性

https://jvn.jp/jp/JVN84697061/index.html

JVNVU#97490987 アイ・オー・データ製無線LANルーターにおける複数の脆弱性

https://jvn.jp/vu/JVNVU97490987/index.html

UPDATE: JVNVU#96418823 複数のSchneider Electric製品における複数の脆弱性

https://jvn.jp/vu/JVNVU96418823/index.html

UPDATE: JVNVU#99030761 Siemens製品に対するアップデート（2022年6月）

https://jvn.jp/vu/JVNVU99030761/index.html

UPDATE: JVNVU#98748974 Siemens製品に対するアップデート（2022年2月）

https://jvn.jp/vu/JVNVU98748974/index.html

JVNVU#90253343 Xerox FreeFlow Coreにおける複数の脆弱性

https://jvn.jp/vu/JVNVU90253343/index.html

ニュース＆リポート

社労夢ユーザー90人が集団訴訟　エムケイシステムに3億円超請求

訴状で「クラウドサービスにあるまじき危険な設定」と指摘

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/090501314/?ST=nxt_thmit_security

ニュース＆リポート

指静脈認証でチェックインが可能に　日立のサービスを東武系ホテルが導入

事前登録必須などの課題も

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/090801320/?ST=nxt_thmit_security

不快なネット広告を遮断せよ！

第13回

Braveブラウザーの広告遮断機能をすり抜ける広告、設定変更で対処する

https://xtech.nikkei.com/atcl/nxt/column/18/03299/081800013/?ST=nxt_thmit_security

不快なネット広告を遮断せよ！

第12回

広告を遮断する「Brave」ブラウザーのインストール＆運用マニュアル、独自AIも便利

https://xtech.nikkei.com/atcl/nxt/column/18/03299/081800012/?ST=nxt_thmit_security

間接プロンプトインジェクションに気をつけろ

第1回

LLMのガードレールは万能か、「論文PDF内の秘密プロンプト」で検証

https://xtech.nikkei.com/atcl/nxt/column/18/03336/091600001/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

AIが10分で脆弱性突くプログラムを生成、セキュリティー対策の見直し不可避に

https://xtech.nikkei.com/atcl/nxt/column/18/00676/090800205/?ST=nxt_thmit_security

NTTドコモ、iPhoneのマイナンバーカードを用いて本人確認　dアカウントやd払いで

https://xtech.nikkei.com/atcl/nxt/news/24/02820/?ST=nxt_thmit_security

2025年9月16日火曜日

16日火曜日、先勝

+ RHSA-2025:15798 Important: kpatch-patch-5_14_0-570_17_1 and kpatch-patch-5_14_0-570_39_1 security update

https://access.redhat.com/errata/RHSA-2025:15798

CVE-2025-38052

CVE-2025-38352

+ About the security content of iOS 26 and iPadOS 26

https://support.apple.com/en-us/125108

CVE-2025-43344

CVE-2025-43317

CVE-2025-43346

CVE-2025-43354

CVE-2025-43303

CVE-2025-43357

CVE-2025-43349

CVE-2025-43372

CVE-2025-43302

CVE-2025-31255

CVE-2025-43359

CVE-2025-43362

CVE-2025-43355

CVE-2025-43203

CVE-2025-31254

CVE-2025-43329

CVE-2025-43358

CVE-2025-30468

CVE-2025-43190

CVE-2025-6965

CVE-2025-43347

CVE-2025-24133

CVE-2025-43356

CVE-2025-43272

CVE-2025-43343

CVE-2025-43342

+ About the security content of iOS 18.7 and iPadOS 18.7

https://support.apple.com/en-us/125109

+ About the security content of iOS 16.7.12 and iPadOS 16.7.12

https://support.apple.com/en-us/125141

+ About the security content of iOS 15.8.5 and iPadOS 15.8.5

https://support.apple.com/en-us/125142

+ About the security content of macOS Tahoe 26

https://support.apple.com/en-us/125110

+ About the security content of macOS Sequoia 15.7

https://support.apple.com/en-us/125111

+ About the security content of macOS Sonoma 14.8

https://support.apple.com/en-us/125112

+ About the security content of tvOS 26

https://support.apple.com/en-us/125114

+ About the security content of watchOS 26

https://support.apple.com/en-us/125116

+ About the security content of visionOS 26

https://support.apple.com/en-us/125115

+ About the security content of Safari 26

https://support.apple.com/en-us/125113

+ About the security content of Xcode 26

https://support.apple.com/en-us/125117

+ Apache Tomcat 10.1.46 Released

https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.46_(schultz)

Current:VU#949137 Langchaingo supports jinja2 and gonja for syntax parsing, allowing for arbitrary file read

https://www.kb.cert.org/vuls/id/949137

不快なネット広告を遮断せよ！

第11回

広告を遮断する最強ブラウザー「Brave」、ダウンロードサイトの偽ボタンも消える

https://xtech.nikkei.com/atcl/nxt/column/18/03299/081800011/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

primeNumber出稿の広告のリンク先が個人情報入りのフォルダー、最大3人がアクセス

https://xtech.nikkei.com/atcl/nxt/column/18/00598/041800332/?ST=nxt_thmit_security

JVN#89109713 スマートフォンアプリ「WTW-EAGLE」におけるサーバ証明書の検証不備の脆弱性

https://jvn.jp/jp/JVN89109713/index.html

JVNVU#90637001 複数のSchneider Electric製品における複数の脆弱性

https://jvn.jp/vu/JVNVU90637001/index.html

JVNVU#95775509 Siemens製品に対するアップデート（2025年9月）

https://jvn.jp/vu/JVNVU95775509/index.html

JVNVU#99451862 複数のSchneider Electric製品における複数の脆弱性

https://jvn.jp/vu/JVNVU99451862/index.html

2025年9月12日金曜日

12日金曜日、先負

+ RHSA-2025:15661 Important: kernel security update

https://access.redhat.com/errata/RHSA-2025:15661

CVE-2025-22097

CVE-2025-38332

CVE-2025-38352

CVE-2025-38449

ハック、パンプ・アンド・ダンプ（Hack, Pump And Dump）

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600009/090800203/?ST=nxt_thmit_security

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

PCとスマホでフィッシングの実験　被害に遭いやすいのはどちらか

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/090500167/?ST=nxt_thmit_security

5日間で丸分かり、OSPFとBGPの基礎

第5回

実は2種類あるBGP、「eBGP」と「iBGP」を使い分ける理由を学ぶ

https://xtech.nikkei.com/atcl/nxt/column/18/03319/090200005/?ST=nxt_thmit_security

不快なネット広告を遮断せよ！

第10回

DNSを活用した広告ブロッカー　設定はIPアドレスの登録のみ、スマホも使える

https://xtech.nikkei.com/atcl/nxt/column/18/03299/081800010/?ST=nxt_thmit_security

2025年9月11日木曜日

11日木曜日、友引

+ predictable WebSocket mask

https://curl.se/docs/CVE-2025-10148.html

CVE-2025-10148

+ Out of bounds read for cookie path

https://curl.se/docs/CVE-2025-9086.html

CVE-2025-9086

+ RHSA-2025:15643 Important: Satellite 6.15.5.4 Async Update

https://access.redhat.com/errata/RHSA-2025:15643

CVE-2024-13009

+ RHSA-2025:15608 Important: python3.12-cryptography security update

https://access.redhat.com/errata/RHSA-2025:15608

CVE-2024-26130

+ ISC BIND 9.20.13 released

https://downloads.isc.org/isc/bind9/9.20.13/doc/arm/html/notes.html

+ 2025 年 9 月のセキュリティ更新プログラム (月例)

https://msrc.microsoft.com/blog/2025/09/202509-security-update/

+ Linux Kernelの脆弱性(CVE-2025-38731～CVE-2025-39735)

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20250911/

CVE-2025-38731

CVE-2025-38732

CVE-2025-38733

CVE-2025-38734

CVE-2025-38735

CVE-2025-38736

CVE-2025-38737

CVE-2025-39673

CVE-2025-39674

CVE-2025-39675

CVE-2025-39676

CVE-2025-39677

CVE-2025-39678

CVE-2025-39679

CVE-2025-39680

CVE-2025-39681

CVE-2025-39682

CVE-2025-39683

CVE-2025-39684

CVE-2025-39685

CVE-2025-39686

CVE-2025-39687

CVE-2025-39688

CVE-2025-39689

CVE-2025-39690

CVE-2025-39691

CVE-2025-39692

CVE-2025-39693

CVE-2025-39694

CVE-2025-39695

CVE-2025-39696

CVE-2025-39697

CVE-2025-39698

CVE-2025-39699

CVE-2025-39700

CVE-2025-39701

CVE-2025-39702

CVE-2025-39703

CVE-2025-39704

CVE-2025-39705

CVE-2025-39706

CVE-2025-39707

CVE-2025-39708

CVE-2025-39709

CVE-2025-39710

CVE-2025-39711

CVE-2025-39712

CVE-2025-39713

CVE-2025-39714

CVE-2025-39715

CVE-2025-39716

CVE-2025-39717

CVE-2025-39718

CVE-2025-39719

CVE-2025-39720

CVE-2025-39721

CVE-2025-39722

CVE-2025-39723

CVE-2025-39724

CVE-2025-39725

CVE-2025-39726

CVE-2025-39727

CVE-2025-39728

CVE-2025-39729

CVE-2025-39730

CVE-2025-39731

CVE-2025-39732

CVE-2025-39733

CVE-2025-39734

CVE-2025-39735

VU#974249 Elevated Privileges and Arbitrary Code Execution issues in Sunshine for Windows v2025.122.141614

https://www.kb.cert.org/vuls/id/974249

VU#763183 Amp'ed RF BT-AP 111 Bluetooth access point lacks an authentication mechanism

https://www.kb.cert.org/vuls/id/763183

VU#461364 Hiawatha open-source web server has multiple vulnerabilities

https://www.kb.cert.org/vuls/id/461364

UPDATE: JVNVU#92973034 複数のSchneider Electric製品における境界外書き込みの脆弱性

https://jvn.jp/vu/JVNVU92973034/index.html

UPDATE: JVNVU#98646422 EG4 Electronics製EG4インバーターにおける複数の脆弱性

https://jvn.jp/vu/JVNVU98646422/index.html

UPDATE: JVNVU#96783966 複数のRockwell Automation製品における複数の脆弱性

https://jvn.jp/vu/JVNVU96783966/index.html

JVNVU#95775509 Siemens製品に対するアップデート（2025年9月）

https://jvn.jp/vu/JVNVU95775509/index.html

JVNVU#91167869 複数のRockwell Automation製品における複数の脆弱性

https://jvn.jp/vu/JVNVU91167869/index.html

JVNVU#96617894 複数のABB製品における複数の脆弱性

https://jvn.jp/vu/JVNVU96617894/index.html

5日間で丸分かり、OSPFとBGPの基礎

第4回

クラウドでよく使うBGPの基礎を解説、経路の選び方はOSPFよりも少し複雑

https://xtech.nikkei.com/atcl/nxt/column/18/03319/090200004/?ST=nxt_thmit_security

不快なネット広告を遮断せよ！

第9回

Windowsが表示する「おすすめ」は広告、邪魔なら非表示にしよう

https://xtech.nikkei.com/atcl/nxt/column/18/03299/081800009/?ST=nxt_thmit_security

三菱電機がセキュリティー対策の米ノゾミを買収、工場向けデータ事業を強化へ

https://xtech.nikkei.com/atcl/nxt/news/24/02814/?ST=nxt_thmit_security

証券口座乗っ取り、8月の不正アクセス件数は4カ月ぶりに増加

https://xtech.nikkei.com/atcl/nxt/news/24/02812/?ST=nxt_thmit_security

5日間で丸分かり、OSPFとBGPの基礎

第3回

OSPFルーターが増えると経路計算が大変、解決する妙技「エリア分割」を知る

https://xtech.nikkei.com/atcl/nxt/column/18/03319/090200003/?ST=nxt_thmit_security

不快なネット広告を遮断せよ！

第8回

ブラウザーの標準機能で悪質な広告を除去、「トラッカー」もブロックできる

https://xtech.nikkei.com/atcl/nxt/column/18/03299/081800008/?ST=nxt_thmit_security

ニュース解説

委託先がサイバー攻撃被害、金融ISACの攻撃演習シナリオで対処方法を検証

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11066/?ST=nxt_thmit_security

2025年9月9日火曜日

9日火曜日、赤口

+ Apache Tomcat 10.1.45 released

https://tomcat.apache.org/tomcat-10.1-doc/changelog.html#Tomcat_10.1.45_(schultz)

+ FreeBSD-SA-25:07.libarchive Integer overflow in libarchive leading to double free

https://www.freebsd.org/security/advisories/FreeBSD-SA-25:07.libarchive.asc

CVE-2025-5914

5日間で丸分かり、OSPFとBGPの基礎

第2回

OSPFが「最短経路」をどう導くのかをマスター、経由地の数よりも帯域が重要に

https://xtech.nikkei.com/atcl/nxt/column/18/03319/090200002/?ST=nxt_thmit_security

不快なネット広告を遮断せよ！

第7回

法規制はなくてもネット収益を揺るがす広告ブロッカー、広告を残すしくみも用意

https://xtech.nikkei.com/atcl/nxt/column/18/03299/081800007/?ST=nxt_thmit_security

記者の眼

「誰が」に着目の米国コネクテッドカー規制、半導体や工作機械の貿易に見た共通点

https://xtech.nikkei.com/atcl/nxt/column/18/00138/090201842/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

保険見直し本舗がランサムウエア被害の原因公表、再発防止に24時間の監視体制を構築

https://xtech.nikkei.com/atcl/nxt/column/18/00598/041800331/?ST=nxt_thmit_security

JVN#75307484 RICOH Streamline NXにおける操作履歴の改ざんにつながる脆弱性

https://jvn.jp/jp/JVN75307484/index.html

JVN#47404248 スマートフォンアプリ「グノシー」における送信データへの機微な情報の挿入の脆弱性

https://jvn.jp/jp/JVN47404248/index.html

2025年9月8日月曜日

8日月曜日、大安

+ Apache Tomcat 11.0.11, 9.0.109 released

https://tomcat.apache.org/tomcat-11.0-doc/changelog.html#Tomcat_11.0.11_(markt)

https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.109_(remm)

5日間で丸分かり、OSPFとBGPの基礎

第1回

まずは「ルーティング」の基本から、ルーターが経路を選ぶ仕組みをゼロから解説

https://xtech.nikkei.com/atcl/nxt/column/18/03319/090200001/?ST=nxt_thmit_security

不快なネット広告を遮断せよ！

第6回

ネット広告を止めるブロッカー、サーバーのリストを開発者やボランティアが日々更新

https://xtech.nikkei.com/atcl/nxt/column/18/03299/081800006/?ST=nxt_thmit_security

JVN#98737186 RATOC RAID監視マネージャー（Windows用）における引用符で囲まれていないファイルパスの脆弱性

https://jvn.jp/jp/JVN98737186/index.html

JVN#41633999 Obsidian GitHub Copilot Pluginにおける重要情報の平文保存の脆弱性

https://jvn.jp/jp/JVN41633999/index.html

JVN#35290164 Androidアプリ「Yahoo!ショッピング」におけるアクセス制限不備の脆弱性

https://jvn.jp/jp/JVN35290164/index.html

JVN#48739895 Pythonライブラリ「TkEasyGUI」における複数の脆弱性

https://jvn.jp/jp/JVN48739895/index.html

JVNVU#90284485 Honeywell製OneWireless WDMにおける複数の脆弱性

https://jvn.jp/vu/JVNVU90284485/index.html

JVNVU#92236694 Delta Electronics製COMMGRにおける暗号論的強度が不十分なPRNGの使用の脆弱性

https://jvn.jp/vu/JVNVU92236694/index.html

2025年9月5日金曜日

5日金曜日、友引

+ RHSA-2025:15371 Moderate: Satellite 6 Client Bug Fix Update

https://access.redhat.com/errata/RHSA-2025:15371

CVE-2024-49761

UPDATE: JVNVU#95548104 三菱電機製GENESIS64およびMC Works64におけるインストール時の不適切なファイルアクセス権設定の脆弱性

https://jvn.jp/vu/JVNVU95548104/index.html

日経 xTECH SPECIAL

【PR】生成AIやクラウドでリスク急増…STOP内部不正

解説「AI時代のログ管理」の勘所

https://xtech.nikkei.com/atcl/nxt/special/18/00001/082000075/?ST=nxt_thmit_security

不快なネット広告を遮断せよ！

第5回

「プラットフォーム」で変わったネット広告、配信の仕組みをおさらい

https://xtech.nikkei.com/atcl/nxt/column/18/03299/081800005/?ST=nxt_thmit_security

2025年9月4日木曜日

4日木曜日、先勝

+ RHSA-2025:15124 Moderate: Satellite 6.16.5.3 Async Update

https://access.redhat.com/errata/RHSA-2025:15124

CVE-2024-49761

+ RHSA-2025:15123 Moderate: httpd:2.4 security update

https://access.redhat.com/errata/RHSA-2025:15123

VE-2024-47252

CVE-2025-23048

CVE-2025-49630

CVE-2025-49812

+ RHSA-2025:15115 Important: postgresql:12 security update

https://access.redhat.com/errata/RHSA-2025:15115

CVE-2025-8714

CVE-2025-8715

+ RHSA-2025:15124 Moderate: Satellite 6.16.5.3 Async Update

https://access.redhat.com/errata/RHSA-2025:15124

CVE-2024-49761

+ RHSA-2025:15099 Important: pam security update

https://access.redhat.com/errata/RHSA-2025:15099

CVE-2025-6020

CVE-2025-8941

+ Mozilla Thunderbird 140.2.1 released

https://www.thunderbird.net/en-US/thunderbird/140.2.1esr/releasenotes/

+ UPDATE: JVNVU#92928084 複数のHTTP/2サーバー実装におけるストリームリセット処理の不備（CVE-2025-8671）

https://jvn.jp/vu/JVNVU92928084/index.html

不快なネット広告を遮断せよ！

第4回

うっとうしいネット広告、「不快さ」を取り締まる法律はあるのか

https://xtech.nikkei.com/atcl/nxt/column/18/03299/081800004/?ST=nxt_thmit_security

JVNVU#92183348 Delta Electronics製EIP BuilderにおけるXML外部エンティティ参照（XXE）の不適切な制限の脆弱性

https://jvn.jp/vu/JVNVU92183348/index.html

JVNVU#91978467 富士電機製FRENIC-Loader 4における信頼できないデータのデシリアライゼーションの脆弱性

https://jvn.jp/vu/JVNVU91978467/index.html

JVN#65839588 Web Caster V130におけるクロスサイトリクエストフォージェリの脆弱性

https://jvn.jp/jp/JVN65839588/index.html

2025年9月3日水曜日

3日水曜日、赤口

+ RHSA-2025:14983 Moderate: mod_http2 security update

https://access.redhat.com/errata/RHSA-2025:14983

CVE-2025-49630

+ Google Chrome 140.0.7339.80/81 released

https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop.html

+ UPDATE: JVNVU#92928084 複数のHTTP/2サーバー実装におけるストリームリセット処理の不備（CVE-2025-8671）

https://jvn.jp/vu/JVNVU92928084/index.html

JVN#47404248 スマートフォンアプリ「グノシー」における送信データへの機微な情報の挿入の脆弱性

https://jvn.jp/jp/JVN47404248/index.html

実験を通じて理解する、HTTP/3の真実

第3回

HTTP/3の性能を実地で検証、驚くべき結果がそこに

https://xtech.nikkei.com/atcl/nxt/column/18/03312/082600003/?ST=nxt_thmit_security

勝村幸博の「今日も誰かが狙われる」

フィッシング被害に遭いやすいのはパソコンかスマホか、250人超を対象に実験

https://xtech.nikkei.com/atcl/nxt/column/18/00676/082800204/?ST=nxt_thmit_security

不快なネット広告を遮断せよ！

第3回

偽広告のクリック先で待ち受ける「わな」　サポート詐欺にマルウエア、架空投資話

https://xtech.nikkei.com/atcl/nxt/column/18/03299/081800003/?ST=nxt_thmit_security

2025年9月2日火曜日

2日火曜日、大安

+ Wireshark 4.4.9, 4.2.13 released

https://www.wireshark.org/docs/relnotes/wireshark-4.4.9.html

https://www.wireshark.org/docs/relnotes/wireshark-4.2.13.html

マルウエア徹底解剖

インフォスティーラーの手口を理解する

［第69回］

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/081800070/?ST=nxt_thmit_security

実験を通じて理解する、HTTP/3の真実

第2回

HTTPはいかに進化してきたか、仕様の変遷を技術面から解説

https://xtech.nikkei.com/atcl/nxt/column/18/03312/082600002/?ST=nxt_thmit_security

不快なネット広告を遮断せよ！

第2回

ネットの行動を追跡する「トラッキング」、支えるサードパーティCookieは制限対象に

https://xtech.nikkei.com/atcl/nxt/column/18/03299/081800002/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

国交省の港湾物流システム「CONPAS」から偽のメール送信か、受信者に送金求める

https://xtech.nikkei.com/atcl/nxt/column/18/00598/041800330/?ST=nxt_thmit_security

絵で見て分かるネットワーク必修キーワード

多要素認証

性格が異なる複数の要素を使った認証方式

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/091900172/081800024/?ST=nxt_thmit_security

フォーカス

不正売買5700億円　口座乗っ取り対策の実態

ネット証券15社を緊急調査

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600014/082700210/?ST=nxt_thmit_security

実験を通じて理解する、HTTP/3の真実

第1回

HTTP/3の普及率は3割で頭打ち、実は主要ソフトが非対応

https://xtech.nikkei.com/atcl/nxt/column/18/03312/082600001/?ST=nxt_thmit_security

不快なネット広告を遮断せよ！

第1回

Webもメールも埋め尽くすネット広告、正規サイトでも「本物」が分かりにくい

https://xtech.nikkei.com/atcl/nxt/column/18/03299/081800001/?ST=nxt_thmit_security

JVN#22016482 セイコーソリューションズ製SkyBridge BASIC MB-A130におけるOSコマンドインジェクションの脆弱性

https://jvn.jp/jp/JVN22016482/index.html

udisksの脆弱性(High: CVE-2025-8067)

https://security.sios.jp/vulnerability/udisks-security-vulnerability-20250829/

2025年8月29日金曜日

29日金曜日、先勝

+ RHSA-2025:14900 Moderate: python39:3.9 security update

https://access.redhat.com/errata/RHSA-2025:14900

CVE-2025-8194

CVE-2025-47273

+ RHSA-2025:14899 Important: postgresql:16 security update

https://access.redhat.com/errata/RHSA-2025:14899

CVE-2025-8714

CVE-2025-8715

+ RHSA-2025:14841 Moderate: python3.11 security update

https://access.redhat.com/errata/RHSA-2025:14841

CVE-2025-8194

+ RHSA-2025:14878 Important: postgresql security update

https://access.redhat.com/errata/RHSA-2025:14878

CVE-2025-8714

CVE-2025-8715

+ RHSA-2025:14862 Important: postgresql:15 security update

https://access.redhat.com/errata/RHSA-2025:14862

CVE-2025-8714

CVE-2025-8715

+ RHSA-2025:14827 Important: postgresql:16 security update

https://access.redhat.com/errata/RHSA-2025:14827

CVE-2025-8714

CVE-2025-8715

+ PHP 8.4.12, 8.3.25 released

https://www.php.net/ChangeLog-8.php#8.4.12

https://www.php.net/ChangeLog-8.php#8.3.25

JVNVU#90041458 三菱電機製MELSEC iQ-F CPUユニットにおける複数の脆弱性

https://jvn.jp/vu/JVNVU90041458/index.html

月刊ランサムリポート

被害件数の減少傾向は2カ月で打ち止め　医療サービスを重点的に狙う「Qilin」の攻撃が増加

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041600214/081800006/?ST=nxt_thmit_security

日経コンピュータ勝村幸博の「今日も誰かが狙われる」

スマホアプリの画面を「透明」に　危険な操作に誘導する新手口

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/052100113/082700166/?ST=nxt_thmit_security

月刊ランサムリポート

第9回

25年7月のランサム被害を分析、新たなグループ「D4RK 4RMY」に要注意

https://xtech.nikkei.com/atcl/nxt/column/18/03053/082200009/?ST=nxt_thmit_security

2025年8月28日木曜日

28日木曜日、赤口

+ RHSA-2025:14750 Moderate: fence-agents security update

https://access.redhat.com/errata/RHSA-2025:14750

CVE-2024-47081

+ RHSA-2025:14743 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2025:14743

CVE-2025-9179

CVE-2025-9180

CVE-2025-9181

CVE-2025-9182

CVE-2025-9185

+ RHSA-2025:14573 Important: aide security update

https://access.redhat.com/errata/RHSA-2025:14573

CVE-2025-54389

+ RHSA-2025:14553 Moderate: python-cryptography security update

https://access.redhat.com/errata/RHSA-2025:14553

CVE-2023-49083

+ RHSA-2025:14640 Important: thunderbird security update

https://access.redhat.com/errata/RHSA-2025:14640

CVE-2025-9179

CVE-2025-9180

CVE-2025-9181

CVE-2025-9182

CVE-2025-9185

+ Mozilla Firefox 142.0.1 released

https://www.firefox.com/en-US/firefox/142.0.1/releasenotes/

+ Linux Kernelの脆弱性(CVE-2025-38616?CVE-2025-38675)

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20250826/

CVE-2025-38616

CVE-2025-38617

CVE-2025-38618

CVE-2025-38619

CVE-2025-38620

CVE-2025-38621

CVE-2025-38622

CVE-2025-38623

CVE-2025-38624

CVE-2025-38625

CVE-2025-38626

CVE-2025-38627

CVE-2025-38628

CVE-2025-38629

CVE-2025-38630

CVE-2025-38631

CVE-2025-38632

CVE-2025-38633

CVE-2025-38634

CVE-2025-38635

CVE-2025-38636

CVE-2025-38637

CVE-2025-38638

CVE-2025-38639

CVE-2025-38640

CVE-2025-38641

CVE-2025-38642

CVE-2025-38643

CVE-2025-38644

CVE-2025-38645

CVE-2025-38646

CVE-2025-38647

CVE-2025-38648

CVE-2025-38649

CVE-2025-38650

CVE-2025-38651

CVE-2025-38652

CVE-2025-38653

CVE-2025-38654

CVE-2025-38655

CVE-2025-38656

CVE-2025-38657

CVE-2025-38658

CVE-2025-38659

CVE-2025-38660

CVE-2025-38661

CVE-2025-38662

CVE-2025-38663

CVE-2025-38664

CVE-2025-38665

CVE-2025-38666

CVE-2025-38667

CVE-2025-38668

CVE-2025-38669

CVE-2025-38670

CVE-2025-38671

CVE-2025-38672

CVE-2025-38673

CVE-2025-38674

CVE-2025-38675

決算調査で判明、サイバー被害52社のリアル

10社がサイバー保険で損失軽減　保険金が億円単位のケースも

［第3回］

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/063000493/082500003/?ST=nxt_thmit_security

NEWS close-up

フィッシングメール訓練は効果があるか

米国で2万人対象の大規模調査　失敗率や学習効果に驚きの結果

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/081800298/?ST=nxt_thmit_security

日経NETWORK 特別リポート

ネット証券口座乗っ取り対策の実態調査

不正売買6200億円

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/081800094/?ST=nxt_thmit_security

NEWS close-up

狙われる地銀の法人ネット口座

不正送金の被害額は120倍に　主犯はボイスフィッシング

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/081800297/?ST=nxt_thmit_security

JVN#55678602 複数のi-フィルター製品における不適切なファイルアクセス権設定の脆弱性

https://jvn.jp/jp/JVN55678602/index.html

JVN#99577552 SS1における複数の脆弱性

https://jvn.jp/jp/JVN99577552/index.html

JVNVU#94006179 複数のSchneider Electric製品における不適切な入力検証の脆弱性

https://jvn.jp/vu/JVNVU94006179/index.html

JVN#69684540 ScanSnap Managerのインストーラにおける権限昇格につながる脆弱性

https://jvn.jp/jp/JVN69684540/index.html

JVNVU#96395440 Danfoss製AK-SM 8xxAシリーズにおける複数の脆弱性

https://jvn.jp/vu/JVNVU96395440/index.html

JVNVU#92928084 複数のHTTP/2サーバー実装におけるストリームリセット処理の不備（CVE-2025-8671）

https://jvn.jp/vu/JVNVU92928084/index.html

2025年8月26日火曜日

26日火曜日、仏滅

+ Zabbix 7.4.2, 7.0.18 released

https://www.zabbix.com/rn/rn7.4.2

https://www.zabbix.com/rn/rn7.0.18

NEWS close-up

証券口座乗っ取り対策に新指針

ワンタイムパスワードは原則禁止へ　送信ドメイン認証の導入も求める

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800012/081800296/?ST=nxt_thmit_security

北郷達郎のテクノロジー温故知新

いい意味で変化がないCLIプログラミング、刻々と変わるGUIプログラミング

https://xtech.nikkei.com/atcl/nxt/column/18/02598/081900024/?ST=nxt_thmit_security

piyokangoの週刊システムトラブル

バレーボールリーグの共用システム、開始1カ月で15件の不具合　検証不足が根本原因

https://xtech.nikkei.com/atcl/nxt/column/18/00598/041800329/?ST=nxt_thmit_security

2025年8月25日月曜日

25日月曜日、先負

吉川孝志のマルウエア徹底解剖

第19回

存在感高まる「インフォスティーラー」、はびこる背景から関連技術まで徹底解説

https://xtech.nikkei.com/atcl/nxt/column/18/02805/081900020/?ST=nxt_thmit_security

ニュース解説

社労夢の3億円訴訟、訴状で指摘する「クラウドサービスにあるまじき危険な設定」

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11029/?ST=nxt_thmit_security

社労夢ユーザー90人がエムケイシステムに集団訴訟　3億円超請求、ランサム被害で

https://xtech.nikkei.com/atcl/nxt/news/24/02770/?ST=nxt_thmit_security

JVNVU#90316328 三菱電機製MELSEC iQ-F CPUユニットのWebサーバ機能におけるレングスパラメーターの不適切な処理

https://jvn.jp/vu/JVNVU90316328/index.html

JVN#75211379 Western Digital Kitfoxにおける引用符で囲まれていないファイルパスの脆弱性

https://jvn.jp/jp/JVN75211379/index.html

JVNVU#94286093 富士フイルムヘルスケアアメリカ製Synapse MobilityにおけるWebパラメタの外部制御による権限昇格の脆弱性

https://jvn.jp/vu/JVNVU94286093/index.html

2025年8月22日金曜日

22日金曜日、仏滅

+ Linux Kernelの脆弱性（CVE-2025-38498?CVE-2025-38615）

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20250820/

CVE-2025-38498

CVE-2025-38499

CVE-2025-38500

CVE-2025-38501

CVE-2025-38502

CVE-2025-38503

CVE-2025-38504

CVE-2025-38505

CVE-2025-38506

CVE-2025-38507

CVE-2025-38508

CVE-2025-38509

CVE-2025-38510

CVE-2025-38511

CVE-2025-38512

CVE-2025-38513

CVE-2025-38514

CVE-2025-38515

CVE-2025-38516

CVE-2025-38517

CVE-2025-38518

CVE-2025-38519

CVE-2025-38520

CVE-2025-38521

CVE-2025-38522

CVE-2025-38523

CVE-2025-38524

CVE-2025-38525

CVE-2025-38526

CVE-2025-38527

CVE-2025-38528

CVE-2025-38529

CVE-2025-38530

CVE-2025-38531

CVE-2025-38532

CVE-2025-38533

CVE-2025-38534

CVE-2025-38535

CVE-2025-38536

CVE-2025-38537

CVE-2025-38538

CVE-2025-38539

CVE-2025-38540

CVE-2025-38541

CVE-2025-38542

CVE-2025-38543

CVE-2025-38544

CVE-2025-38545

CVE-2025-38546

CVE-2025-38547

CVE-2025-38548

CVE-2025-38549

CVE-2025-38550

CVE-2025-38551

CVE-2025-38552

CVE-2025-38553

CVE-2025-38554

CVE-2025-38555

CVE-2025-38556

CVE-2025-38557

CVE-2025-38558

CVE-2025-38559

CVE-2025-38560

CVE-2025-38561

CVE-2025-38562

CVE-2025-38563

CVE-2025-38564

CVE-2025-38565

CVE-2025-38566

CVE-2025-38567

CVE-2025-38568

CVE-2025-38569

CVE-2025-38570

CVE-2025-38571

CVE-2025-38572

CVE-2025-38573

CVE-2025-38574

CVE-2025-38575

CVE-2025-38576

CVE-2025-38577

CVE-2025-38578

CVE-2025-38579

CVE-2025-38580

CVE-2025-38581

CVE-2025-38582

CVE-2025-38583

CVE-2025-38584

CVE-2025-38585

CVE-2025-38586

CVE-2025-38587

CVE-2025-38588

CVE-2025-38589

CVE-2025-38590

CVE-2025-38591

CVE-2025-38592

CVE-2025-38593

CVE-2025-38594

CVE-2025-38595

CVE-2025-38596

CVE-2025-38597

CVE-2025-38598

CVE-2025-38599

CVE-2025-38600

CVE-2025-38601

CVE-2025-38602

CVE-2025-38603

CVE-2025-38604

CVE-2025-38605

CVE-2025-38606

CVE-2025-38607

CVE-2025-38608

CVE-2025-38609

CVE-2025-38610

CVE-2025-38611

CVE-2025-38612

CVE-2025-38613

CVE-2025-38614

CVE-2025-38615

基礎から分かるローカルブレークアウト

第3回

ローカルブレークアウトは3ステップで導入しよう、セキュリティー対策も忘れずに

https://xtech.nikkei.com/atcl/nxt/column/18/03293/080800003/?ST=nxt_thmit_security

Black Hat USA 2025現地リポート

第4回

セキュリティー研究の大御所がBlack Hatの基調講演、「転機は2003年」と30年を総括

https://xtech.nikkei.com/atcl/nxt/column/18/03295/081800005/?ST=nxt_thmit_security

ニュース解説

東武と日立、指静脈認証でホテルチェックイン＆決済　省人化・高精度の一方で課題も

https://xtech.nikkei.com/atcl/nxt/column/18/00001/11010/?ST=nxt_thmit_security

UPDATE: JVNVU#98989635 Delta Electronics製DIAViewにおける‘.../...//‘に関するパストラバーサルの脆弱性

https://jvn.jp/vu/JVNVU98989635/index.html

JVNVU#90316328 三菱電機製MELSEC iQ-F CPUユニットのWebサーバ機能におけるレングスパラメーターの不適切な処理

https://jvn.jp/vu/JVNVU90316328/index.html

JVNVU#96471539 三菱電機製空調管理システムにおける認証回避の脆弱性

https://jvn.jp/vu/JVNVU96471539/index.html

JVN#72111431 Group-Officeにおける複数の脆弱性

https://jvn.jp/jp/JVN72111431/index.html

2025年8月21日木曜日

21日木曜日、先負

+ RHSA-2025:14177 Important: tomcat security update

https://access.redhat.com/errata/RHSA-2025:14177

CVE-2025-48976

CVE-2025-48988

CVE-2025-48989

CVE-2025-49125

CVE-2025-52434

CVE-2025-52520

CVE-2025-53506

+ RHSA-2025:14135 Important: libarchive security update

https://access.redhat.com/errata/RHSA-2025:14135

CVE-2025-5914

+ RHSA-2025:14126 Important: pki-deps:10.6 security update

https://access.redhat.com/errata/RHSA-2025:14126

CVE-2025-52999

+ RHSA-2025:14181 Important: tomcat security update

https://access.redhat.com/errata/RHSA-2025:14181

CVE-2025-48976

CVE-2025-48988

CVE-2025-48989

CVE-2025-49125

CVE-2025-52434

CVE-2025-52520

CVE-2025-53506

+ RHSA-2025:14130 Important: libarchive security update

https://access.redhat.com/errata/RHSA-2025:14130

CVE-2025-5914

+ About the security content of iOS 18.6.2 and iPadOS 18.6.2

https://support.apple.com/en-us/124925

CVE-2025-43300

+ About the security content of iPadOS 17.7.10

https://support.apple.com/en-us/124926

CVE-2025-43300

+ About the security content of macOS Sequoia 15.6.1

https://support.apple.com/en-us/124927

CVE-2025-43300

+ About the security content of macOS Sonoma 14.7.8

https://support.apple.com/en-us/124928

CVE-2025-43300

+ About the security content of macOS Ventura 13.7.8

https://support.apple.com/en-us/124929

CVE-2025-43300

+ ISC BIND 9.20.12, 9.18.39 released

https://downloads.isc.org/isc/bind9/9.20.12/doc/arm/html/notes.html

https://downloads.isc.org/isc/bind9/9.18.39/doc/arm/html/notes.html

+ MSSQL Database Privilege Elevation From ALTER ANY LOGIN To SYSADMIN

https://cxsecurity.com/issue/WLB-2025080019

JVNVU#94286093 富士フイルムヘルスケアアメリカ製Synapse MobilityにおけるWebパラメタの外部制御による権限昇格の脆弱性

https://jvn.jp/vu/JVNVU94286093/index.html

JVN#76729865 Movable Typeにおける複数の脆弱性

https://jvn.jp/jp/JVN76729865/index.html

JVNVU#96783966 複数のRockwell Automation製品における複数の脆弱性

https://jvn.jp/vu/JVNVU96783966/index.html

JVNVU#98646422 EG4 Electronics製EG4インバーターにおける複数の脆弱性

https://jvn.jp/vu/JVNVU98646422/index.html

JVNVU#92169998 Siemens製品に対するアップデート（2025年8月）

https://jvn.jp/vu/JVNVU92169998/index.html

ニュース＆リポート

地銀法人口座からの不正送金が急増　手口はボイスフィッシング

25年1～3月の被害は16億円、前年同期の120倍に

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020800017/080801301/?ST=nxt_thmit_security

基礎から分かるローカルブレークアウト

第2回

ローカルブレークアウトの仕組みを解説、「直接通信」を仕分ける3つのやり方

https://xtech.nikkei.com/atcl/nxt/column/18/03293/080800002/?ST=nxt_thmit_security

Black Hat USA 2025現地リポート

第3回

LLMでマルウエアの「追跡」、バイナリー解析も　Black Hat注目の4講演

https://xtech.nikkei.com/atcl/nxt/column/18/03295/081800004/?ST=nxt_thmit_security

2025年8月20日水曜日

20日水曜日、友引

+ RHSA-2025:14075 Moderate: xterm security update

https://access.redhat.com/errata/RHSA-2025:14075

CVE-2022-24130

+ Google Chrome 139.0.7258.138/.139, 138.0.7204.243 released

https://chromereleases.googleblog.com/2025/08/stable-channel-update-for-desktop_19.html

https://chromereleases.googleblog.com/2025/08/extended-stable-updates-for-desktop_19.html

+ Mozilla Firefox 142.0 released

https://www.firefox.com/en-US/firefox/142.0/releasenotes/

+ Mozilla Foundation Security Advisory 2025-64 Security Vulnerabilities fixed in Firefox 142

https://www.mozilla.org/en-US/security/advisories/mfsa2025-64/

CVE-2025-9179

CVE-2025-9180

CVE-2025-9181

CVE-2025-9186

CVE-2025-9182

CVE-2025-9183

CVE-2025-9187

CVE-2025-9184

CVE-2025-9185

+ Zabbix 7.2.12, 6.0.41 released

https://www.zabbix.com/rn/rn7.2.12

https://www.zabbix.com/rn/rn6.0.41

+ watchOS 11.6.1 released

https://support.apple.com/ja-jp/100100

+ Mozilla Foundation Security Advisory 2025-70 Security Vulnerabilities fixed in Thunderbird 142

https://www.mozilla.org/en-US/security/advisories/mfsa2025-70/

CVE-2025-9179

CVE-2025-9180

CVE-2025-9181

CVE-2025-9182

CVE-2025-9187

CVE-2025-9184

CVE-2025-9185

+ Mozilla Thunderbird 142.0 released

https://www.thunderbird.net/en-US/thunderbird/142.0/releasenotes/

+ Postfix stable release 3.10.4 and legacy releases 3.9.5, 3.8.11, 3.7.16

https://www.postfix.org/announcements/postfix-3.10.4.html

+ JVNVU#95006047 Apache TomcatのRewrite Valve機能におけるセッション固定の脆弱性（CVE-2025-55668）

https://jvn.jp/vu/JVNVU95006047/index.html

CVE-2025-55668

+ Linux Kernelの脆弱性（CVE-2025-38948?CVE-2025-38615）

https://security.sios.jp/vulnerability/kernel-security-vulnerability-20250820/

CVE-2025-38498

CVE-2025-38499

CVE-2025-38500

CVE-2025-38501

CVE-2025-38502

CVE-2025-38503

CVE-2025-38504

CVE-2025-38505

CVE-2025-38506

CVE-2025-38507

CVE-2025-38508

CVE-2025-38509

CVE-2025-38510

CVE-2025-38511

CVE-2025-38512

CVE-2025-38513

CVE-2025-38514

CVE-2025-38515

CVE-2025-38516

CVE-2025-38517

CVE-2025-38518

CVE-2025-38519

CVE-2025-38520

CVE-2025-38521

CVE-2025-38522

CVE-2025-38523

CVE-2025-38524

CVE-2025-38525

CVE-2025-38526

CVE-2025-38527

CVE-2025-38528

CVE-2025-38529

CVE-2025-38530

CVE-2025-38531

CVE-2025-38532

CVE-2025-38533

CVE-2025-38534

CVE-2025-38535

CVE-2025-38536

CVE-2025-38537

CVE-2025-38538

CVE-2025-38539

CVE-2025-38540

CVE-2025-38541

CVE-2025-38542

CVE-2025-38543

CVE-2025-38544

CVE-2025-38545

CVE-2025-38546

CVE-2025-38547

CVE-2025-38548

CVE-2025-38549

CVE-2025-38550

CVE-2025-38551

CVE-2025-38552

CVE-2025-38553

CVE-2025-38554

CVE-2025-38555

CVE-2025-38556

CVE-2025-38557

CVE-2025-38558

CVE-2025-38559

CVE-2025-38560

CVE-2025-38561

CVE-2025-38562

CVE-2025-38563

CVE-2025-38564

CVE-2025-38565

CVE-2025-38566

CVE-2025-38567

CVE-2025-38568

CVE-2025-38569

CVE-2025-38570

CVE-2025-38571

CVE-2025-38572

CVE-2025-38573

CVE-2025-38574

CVE-2025-38575

CVE-2025-38576

CVE-2025-38577

CVE-2025-38578

CVE-2025-38579

CVE-2025-38580

CVE-2025-38581

CVE-2025-38582

CVE-2025-38583

CVE-2025-38584

CVE-2025-38585

CVE-2025-38586

CVE-2025-38587

CVE-2025-38588

CVE-2025-38589

CVE-2025-38590

CVE-2025-38591

CVE-2025-38592

CVE-2025-38593

CVE-2025-38594

CVE-2025-38595

CVE-2025-38596

CVE-2025-38597

CVE-2025-38598

CVE-2025-38599

CVE-2025-38600

CVE-2025-38601

CVE-2025-38602

CVE-2025-38603

CVE-2025-38604

CVE-2025-38605

CVE-2025-38606

CVE-2025-38607

CVE-2025-38608

CVE-2025-38609

CVE-2025-38610

CVE-2025-38611

CVE-2025-38612

CVE-2025-38613

CVE-2025-38614

CVE-2025-38615

VU#706118 Workhorse Software Services, Inc. software prior to version 1.9.4.48019, default deployment is vulnerable to multiple issues.

https://www.kb.cert.org/vuls/id/706118

勝村幸博の「今日も誰かが狙われる」

スマホアプリの画面表示を「透明」に偽装、ユーザーを危険な操作に誘導する新手口

https://xtech.nikkei.com/atcl/nxt/column/18/00676/080400203/?ST=nxt_thmit_security

ニュース解説

AIコード生成の幻覚は「エージェント型」で減少、トレンドマイクロが調査

https://xtech.nikkei.com/atcl/nxt/column/18/00001/10987/?ST=nxt_thmit_security

Black Hat USA 2025現地リポート

第2回

AIエージェント神話にセキュリティー専門家が反論、Black HatのAI特化イベントで

https://xtech.nikkei.com/atcl/nxt/column/18/03295/081500003/?ST=nxt_thmit_security

基礎から分かるローカルブレークアウト

第1回

じわり広がる「ローカルブレークアウト」とは何なのか、誰がいつ導入すべきか

https://xtech.nikkei.com/atcl/nxt/column/18/03293/080800001/?ST=nxt_thmit_security

JVN#89385114 Seagate Toolkitにおける引用符で囲まれていないファイルパスの脆弱性

https://jvn.jp/jp/JVN89385114/index.html