セキュリティエンジニアが気になったニュースまとめ 2024/8/5~8/11

セキュリティニュース

最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。

2024/08/06

ファームウェアのアップデート時に 拡張機能(JavaTM Platform)のTLS1.0、TLS1.1が有効になる脆弱性

https://jp.ricoh.com/security/products/vulnerabilities/vul?id=ricoh-2024-000010

当社が開発、製造し、日本国内で販売する製品・サービスに対し、「ファームウェアのアップデート時に 拡張機能(JavaTM Platform)のTLS1.0、TLS1.1が有効になる脆弱性」(CVE-2024-41995)による影響が確認されました。

TLS1.0および1.1は、過去に安全性が低いと判断され、既に使用が推奨されていません。ファームウェアのアップデートによってこれらの古いプロトコルが有効になると、攻撃者が通信を傍受したり改ざんしたりするリスクが高まります。
現在は少なくともTLS1.2以上を使用することが求められます。

・参考情報
TLS暗号設定ガイドライン
https://www.ipa.go.jp/security/crypto/guideline/gmcbt80000005ufv-att/ipa-cryptrec-gl-3001-3.1.0.pdf

2024/08/08

TOTOLINK の lr1200 ファームウェアにおけるハードコードされたパスワードの使用に関する脆弱性

https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-005016.html

TOTOLINK の lr1200 ファームウェアには、ハードコードされたパスワードの使用に関する脆弱性が存在します。

/etc/shadow.sampleにrootのパスワードがハードコードされているため、攻撃者がこのパスワードを使って不正にアクセスできてしまう可能性があります。
パスワードに限らず、漏えいして問題になる可能性のあるデータはハードコードしないよう注意する必要があります。

2024/08/05

複数の IBM 製品におけるセッション期限に関する脆弱性

https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-004946.html

IBM の IBM Security Directory Integrator、IBM Security Directory Server、Security Verify Access には、セッション期限に関する脆弱性が存在します。

セッションの有効期限が長い場合や、適切にセッションが破棄されないと攻撃者に不正にアクセスされてしまう可能性が高まります。
セッションIDが漏えいしないことや推測されないことが大前提ですが、漏えいしてしまった際に被害を最小限に抑えるための対策も必要です。

まとめのまとめ

今月8日に発生したマグニチュード7.1の地震によって、気象庁から南海トラフ地震の想定震源域での大規模地震の発生確率が通常時と比べて高くなっているとの情報が出されました。今のところ何事もなく1週間ほどたちましたが、30年以内ではかなりの高確率で発生することが予想されています。
ほとんどの企業は機器の故障に備えデータのバックアップや冗長化をしていると思いますが、大規模災害に備え、遠隔地へのデータ複製やクラウドへのバックアップも検討したいところです。

担当HT

タイトルとURLをコピーしました