センチュリー・システムズ製FutureNet NXRシリーズ、VXRシリーズおよびWXRシリーズにおける複数の脆弱性(CVE-2024-31070等)について | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
トップページ 情報セキュリティ 重要なセキュリティ情報 2024年度 センチュリー・システムズ製FutureNet NXRシリーズ、VXRシリーズおよびWXRシリーズにおける複数の脆弱性(CVE-2024-31070等)について センチュリー・システムズ製FutureNet NXRシリーズ、VXRシリーズおよびWXRシリーズにおける複数の脆弱性(CVE-2024-31070等)について 注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 センチュリー・システムズ株式会社が提供するFutureNet NXRシリーズ・WXRシリーズはセンター向け・拠点向けVPNルータ、VXRシリーズは仮想ソフトウェアルータです。 FutureNet NXRシリーズ、VXRシリーズおよびWXRシリーズには脆弱性が確認されており、脆弱性が悪用された場合、Telnetに無制限でアクセス
【セキュリティ ニュース】複数メールサービスプロバイダに送信ドメイン認証回避の脆弱性(1ページ目 / 全2ページ):Security NEXT
複数のメール送信サービスにおいて、送信ドメイン認証技術を回避し、「なりすましメール」の送信が可能となる脆弱性が研究者によって報告された。 複数ドメインやテナントをホストするメール送信サービスの多くで、送信ドメイン認証技術である「SPF(Sender Policy Framework)」や「DKIM(Domain Key Identified Mail)」による検証や認証の信頼性を低下させる脆弱性が報告されたもの。 メール送信にホスティングプロバイダを利用することで、認証されたユーザーや信頼されたネットワークからの送信者として別の送信元を偽って「なりすましメール」を送信できるとし、CERT/CCがセキュリティアドバイザリを公開している。 共有のホスティング環境を提供しているメールサービスの多くは、メール送信前にユーザー認証を行うものの、ドメインとの関係を照合しておらず、共有インフラ上にある別
【セキュリティ ニュース】アクセス管理サーバ「OpenAM」に脆弱性 - アップデートで修正(1ページ目 / 全1ページ):Security NEXT
シングルサインオンやフェデレーションなどの機能を提供するアクセス管理サーバ「OpenAM」に脆弱性が明らかとなった。脆弱性を修正したアップデートが提供されている。 「同15.0.3」および以前のバージョンに、テンプレートインジェクションの脆弱性「CVE-2024-41667」が明らかとなったもの。テンプレートを自由に指定できるため、テンプレートエンジン「FreeMarker」を指定することでコードを挿入することが可能となる。 同脆弱性の悪用には一定の権限が必要となるが、既知の脆弱性「CVE-2023-37471」と組み合わせた場合、認証なしにリモートよりコードを実行できるという。 CVE番号を採番したGitHubでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「8.8」、重要度を上から2番目にあたる「高(High)」とレーティングしている。 現地時間7月25日にリリースした
【セキュリティ ニュース】ランサム攻撃グループが「ESXi」脆弱性をゼロデイ攻撃に悪用(1ページ目 / 全4ページ):Security NEXT
ランサムウェアを用いる複数の攻撃者が「VMware ESXi」の脆弱性「CVE-2024-37085」を悪用していることがわかった。6月のアドバイザリ公表時点で悪用に関する言及はなく、重要度も「中」とされていたが、2024年はじめにはゼロデイ攻撃に悪用されていたという。 問題の「CVE-2024-37085」は、ドメインに参加する「ESXi」において、特定ドメイングループ名に対し、適切な検証を行っておらず、認証のバイパスが可能となる脆弱性。 攻撃者が「Active Directory」でグループを作成できる権限を持つ場合、「ESX Admins」との名称を持つグループを作成することで、同グループに参加するメンバーが「ESXiハイパーバイザー」の管理者権限を取得することが可能となる。 2024年はじめにマイクロソフトが報告し、Broadcomでは現地時間6月25日に同脆弱性に関するセキュリテ
【セキュリティ ニュース】FFRIのエンドポイント管理製品に脆弱性 - OEM製品にも影響(1ページ目 / 全1ページ):Security NEXT
FFRIセキュリティが提供する「FFRI AMC(FFRI Active Monitor Console)」に脆弱性が明らかとなった。OEMなども影響を受ける。 同製品は、同社エンドポイントセキュリティ製品における脅威検知状況のモニタリングやアップデートなど管理コンソール機能を提供するソフトウェア。NECの「ActSecure χ専用FFRI AMC」、Skyの「EDRプラスパック」への同梱などOEM供給も行われている。 脆弱性情報のポータルサイトであるJVNによれば、同製品において通知プログラム設定を有効化し、実行パスにバッチファイルやコマンドファイルを設定するなど特定環境下において、OSコマンドインジェクションの脆弱性「CVE-2024-40895」の影響を受ける。 周知を目的にFFRIセキュリティがJPCERTコーディネーションセンターへ報告した。共通脆弱性評価システム「CVSSv3
JVN#26734798: FFRI AMCにおけるOSコマンドインジェクションの脆弱性
株式会社FFRIセキュリティが提供するFFRI AMCには、OSコマンドインジェクションの脆弱性が存在します。 FFRI AMC バージョン3.4.0から3.5.3まで FFRI AMCのOEM製品である、次の製品も本脆弱性の影響を受けます。 日本電気株式会社 ActSecure χ専用FFRI AMC バージョン3.4.0から3.5.3まで Sky株式会社 EDRプラスパック(同梱するFFRI AMC バージョン3.4.0から3.5.3まで) FFRI yarai cloudおよびFFRI yarai、FFRI yarai Home and Business Editionは本脆弱性の影響を受けません。 また、上記以外のFFRI yaraiのOEM製品も本脆弱性の影響を受けません。 株式会社FFRIセキュリティが提供するFFRI AMCは、エンドポイントセキュリティ製品FFRI yara
JVN#48324254: EC-CUBE 4系におけるプラグインインストール時の入力値チェックの不備
株式会社イーシーキューブが提供するEC-CUBE 4系には、プラグインインストール時の入力値チェックに不備(CWE-349)があります。 EC-CUBE 4系 EC-CUBE 4.0.0から4.0.6-p4まで EC-CUBE 4.1.0から4.1.2-p3まで EC-CUBE 4.2.0から4.2.3まで
JVN#06672778: エレコム製無線LANルーターにおける複数の脆弱性
CVE-2024-34021 WRC-2533GS2V-B v1.68およびそれ以前のバージョン WRC-2533GS2-B v1.68およびそれ以前のバージョン WRC-2533GS2-W v1.68およびそれ以前のバージョン CVE-2024-39607、CVE-2024-40883 WRC-X6000XS-G v1.11およびそれ以前のバージョン WRC-X1500GS-B v1.11およびそれ以前のバージョン WRC-X1500GSA-B v1.11およびそれ以前のバージョン エレコム株式会社が提供する複数の無線LANルーターには、次の複数の脆弱性が存在します。 アップロードするファイルの検証が不十分(CWE-434) CVSS:3.0/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 6.8 CVE-2024-34021 OSコマンドインジェクション
【セキュリティ ニュース】「macOS Sonoma 14.6」をリリース - 脆弱性69件を修正(1ページ目 / 全1ページ):Security NEXT
Appleは、Mac向け最新OSとなる「macOS Sonoma 14.6」をリリースした。複数の脆弱性を解消している。 「macOS Sonoma 14.6」では、CVEベースであわせて69件の脆弱性を修正。 カーネルに関する脆弱性3件、セキュリティに関する3件をはじめ、キーチェーン、サンドボックスのほか、ショートカット、Siri、WebKitなど多岐にわたる脆弱性へ対処した。 サードパーティ製ソフトウェアに関する脆弱性の修正も含まれる。「OpenSSH」に明らかとなった別名「regreSSHion」としても知られる「CVE-2024-6387」を修正。「curl」に関する脆弱性4件のほか、「Apache HTTP Server」に関する脆弱性3件なども修正した。 同日「macOS Ventura 13.6.8」「macOS Monterey 12.7.6」をリリースしており、それぞれ4
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【セキュリティ ニュース】「Apache OFBiz」に認証不備の脆弱性 - アップデートで修正(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「Apache InLong」のクライアントにコードインジェクションの脆弱性(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「MS Edge」にセキュリティアップデート - 深刻な脆弱性を解消(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】ウェブメールクライアント「Roundcube」にXSSなど複数脆弱性(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】先週注目された記事(2024年7月28日〜2024年8月3日)(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】脆弱な「VMware ESXi」、グローバルで2万台以上が稼働か - 国内でも(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】エレコムの無線LANルータ6機種に脆弱性(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「情報セキュリティ白書2024」が発売 - PDF版も提供開始(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「MOVEit Transfer」に認証不備の脆弱性 - アップデートが公開(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「Chrome」にアップデート - 深刻な脆弱性を修正(1ページ目 / 全1ページ):Security NEXT
JVN#26225832: EC-CUBE 4系用プラグイン「EC-CUBE Web API プラグイン」における格納型クロスサイトスクリプティングの脆弱性