JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は6月11日、週次のセキュリティ関連情報をまとめるWeekly Report 2025-06-11号を発行した。同レポートはJPCERTコーディネーションセンター(JPCERT/CC)が企業や組織のシステム管理者を対象に過去数週間に公開された脆弱性情報の中から対策、パッチ情報やバージョンアップ情報なども含んだサマリーをまとめた週次のレポートになる。
OSSの定番DHCPサーバー「Kea DHC」に複数の脆弱性
Weekly Report 2025-06-11号では、ISC(Internet Systems Consortium)が提供するKea DHCPサーバーにおける複数の脆弱性(JVNVU#99623024)を採り上げている。DHCPサーバーに多様な拡張性を持たせるHooksに悪意のあるライブラリを読み込ませることを可能とするCVE-2025-32801ではCVSS スコア7.8(High)。設定の変更や任意のファイルの上書き(CVE-2025-32802)やログの内容を読み取られる(CVE-2025-32803)と併せてサーバー上の非特権ユーザーによる侵害の可能性がある。修正済みのバージョンKea DHCP 2.4.2、Kea DHCP 2.6.3、Kea DHCP 2.7.9がリリースされているので、それぞれ開発者となるISCの情報(CVE-2025-32801: Loading a malicious hook library can lead to local privilege escalation、CVE-2025-32802: Insecure handling of file paths allows multiple local attacks、CVE-2025-32803: Insecure file permissions can result in confidential information leakage)に沿ってアップデートすることを推奨している。
ほかLAMP/LEMP環境で動作するWebメールクライアント「Roundcube」におけるデシアライゼーションの脆弱性、クラウドプラットフォーム上のCisco Identity Services Engineにおける静的認証情報の脆弱性(CVE-2025-20286)と修正済みバージョンへの更新アドバイザリやVMware NSXにおけるクロスサイトスクリプティングの脆弱性とアップデート情報(VMSA-2025-0012: VMware NSX updates address multiple vulnerabilities)など。
Windows 11、更新プログラムで一部起動不能に - 緊急修正パッチ配信
