セキュリティセキュリティ
2025年7月 セキュリティ情報 Apache HTTP Server の脆弱性 [CVE-2025-54090]など
目次
ご挨拶
インフラ業務と並行しつつ「セキュリティの町医者」を目指している三浦です。
2025年7月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。
注目した脆弱性(Apache HTTP Server の脆弱性 [CVE-2025-54090])
情報公開日:2025/7/23(現地時間)
| 一次情報元(引用元) |
"The Apache Software Foundation."Fixed in Apache HTTP Server 2.4.65 |
| その他、情報ソース |
"NVD" CVE-2025-54090 Detail "Security NEXT" 「Apache httpd」のアクセス制御に脆弱性 - 条件分岐が常時「真」に |
| CVE番号及び深刻度 |
CVE番号:CVE-2025-54090 深刻度:moderate CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L [CVSS 情報はCISA-ADPのものとなります] |
| 脆弱性内容 |
The Apache Software Foundation は現地時間2025年7月23日、「Apache HTTP Server 2.4.65」をリリース。 一世代前のバージョン「Apache HTTP Server 2.4.64」に一部想定しない挙動となるセキュリティバイパス脆弱性があったため、修正したとのこと。 当該脆弱性はApache HTTP Server のURL書き換えで利用される条件式が意味を成さない脆弱性となっている。 |
| 想定される影響 | 想定していないページがエンドユーザに表示される。 - ページ内の情報が秘匿すべき情報であれば情報漏えいとなる。 |
| 影響を受ける製品 | Apache HTTP Server 2.4.64 |
| 解決策 | 当該脆弱性を修正した「影響を受ける製品」のバージョンよりも上位バージョン(Apache HTTP Server 2.4.65)にアップデートする。 |
| コメント |
●URL書き換え機能はリダイレクト(転送)機能と違い、URLが変更されることなく 内部的に指定したページを表示することが出来るため、広く利用されている機能と なっております。 当該脆弱性は、上記機能を使い表示するページを変化させるための条件式が 全て「条件に合致する(真[True])」となる脆弱性です。 ●上記内容であるため、特定条件でしか表示させたくない情報等が エンドユーザに表示される恐れがあります。 (そのため、セキュリティバイパスと表現されております) ●当該脆弱性があるApache HTTP Server のバージョンは現地時間2025年7月10日にリリースされているため、 2025年7月10日以降にUpdate されているシステムがあれば 以下の点をすぐに確認してください。 - バージョンが脆弱性対象である「Apache HTTP Server 2.4.64」か。 - 設定ファイルで「RewriteCond expr」を利用しているか。 上記全てが合致する場合はすぐに最新バージョンにUpdate することを強くお勧めいたします。 |
その他、注目した脆弱性/ソフトウェアUpdate情報
2025年6月下旬の脆弱性/ソフトウェアUpdate情報も含まれております。
| 日付 | ソフトウエア | 情報/コメント |
| 2025/6/30 | Google Chrome | Google 社は、デスクトップ向け安定版(安定拡張版含む)、Android 版、iOS 版のGoogle Chrome のアップデートを公開。なお、デスクトップ向け安定版で修正されたスクリプトエンジン「V8」の脆弱性「CVE-2025-6554」は悪用が確認されている。
"Stable Channel Update for Desktop (Monday, June 30, 2025)" https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop_30.html "Extended Stable Updates for Desktop (Monday, June 30, 2025)" https://chromereleases.googleblog.com/2025/06/extended-stable-updates-for-desktop_30.html "Chrome for Android Update (Monday, June 30, 2025)" https://chromereleases.googleblog.com/2025/06/chrome-for-android-update_30.html "Chrome Stable for iOS Update (Monday, June 30, 2025)" https://chromereleases.googleblog.com/2025/06/chrome-stable-for-ios-update_30.html |
| 2025/7/2 | シスコシステムズ合同会社 複数製品 | シスコシステムズ合同会社は同社複数製品のセキュリティUpdate を公開。
"Cisco Unified Communications Manager Static SSH Credentials Vulnerability" https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssh-m4UBdpE7 "Cisco Spaces Connector Privilege Escalation Vulnerability" https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-spaces-conn-privesc-kgD2CcDU "Cisco Enterprise Chat and Email Stored Cross-Site Scripting Vulnerability" https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ece-xss-CbtKtEYc "Cisco BroadWorks Application Delivery Platform Cross-Site Scripting Vulnerability" https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-broadworks-xss-O696ymRA |
| 2025/7/3 | PHPの複数バージョン | PHPの複数バージョン「8.1.33」「8.2.29」「8.3.23」「8.4.10」をリリース。CVE 番号が付与されている脆弱性の修正も行われている。
"ChangeLog - Version 8.1.33" https://www.php.net/ChangeLog-8.php#8.1.33 "ChangeLog - Version 8.2.29" https://www.php.net/ChangeLog-8.php#8.2.29 "ChangeLog - Version 8.3.23" https://www.php.net/ChangeLog-8.php#8.3.23 "ChangeLog - Version 8.4.10" https://www.php.net/ChangeLog-8.php#8.4.10 |
| 2025/7/8 | Adobe 社複数製品 | Adobe 社の複数製品のアップデートを公開。各製品の脆弱性が修正されている。
"Latest Product Security Updates" https://helpx.adobe.com/security.html |
| 2025/7/8 | Microsoft 社複数製品 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。第三者から情報開示された脆弱性1件も修正されている。
"2025 年 7 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/releaseNote/2025-Jul "2025 年 7 月のセキュリティ更新プログラム (月例)" https://msrc.microsoft.com/blog/2025/07/202507-security-update/ 第三者から情報開示された脆弱性 "Microsoft SQL Server の情報漏えいの脆弱性 - CVE-2025-49719" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49719 |
| 2025/7/10 | NetScaler ADC(旧Citrix ADC)、NetScaler Gateway(旧Citrix Gateway) | アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(以降、CISAと略称を使用)は、2025年6月17日[現地時間]に公開された「CVE-2025-5777(Citrix Bleed 2)」の脆弱性が悪用されていることを公表。
"CISA Adds One Known Exploited Vulnerability to Catalog (Release Date : July 10, 2025)" https://www.cisa.gov/news-events/alerts/2025/07/10/cisa-adds-one-known-exploited-vulnerability-catalog |
| 2025/7/10 | Apache Tomcat | The Apache Software Foundation は2025年7月4日[現地時間]にリリースした「9.0.107」「10.1.43」「11.0.9」で修正した複数脆弱性を公表。
"Apache Tomcat 9.x vulnerabilities" https://tomcat.apache.org/security-9.html "Apache Tomcat 10.x vulnerabilities" https://tomcat.apache.org/security-10.html "Apache Tomcat 11.x vulnerabilities" https://tomcat.apache.org/security-11.html |
| 2025/7/10 | Apache HTTP Server | The Apache Software Foundation はApache HTTP Server の複数脆弱性を修正したバージョン「2.4.64」をリリース。
"Apache HTTP Server 2.4 vulnerabilities" https://httpd.apache.org/security/vulnerabilities_24.html |
| 2025/7/14 | ImageMagick | ImageMagick Studio LLC はImageMagick の複数脆弱性を修正。
"Stack Buffer Overflow in image.c" https://github.com/ImageMagick/ImageMagick/security/advisories/GHSA-qh3h-j545-h8c9 "Heap Buffer Overflow in InterpretImageFilename" https://github.com/ImageMagick/ImageMagick/security/advisories/GHSA-hm4x-r5hc-794f "XMP profile write triggers hang due to unbounded loop" https://github.com/ImageMagick/ImageMagick/security/advisories/GHSA-vmhh-8rxq-fp9g "Memory Leak in magick stream" https://github.com/ImageMagick/ImageMagick/security/advisories/GHSA-cfh4-9f7v-fhrc |
| 2025/7/15 | Oracle 社複数製品 | Oracle 社は同社複数製品(MySQL /Java /Oracle WebLogic Server、その他製品など)のOracle Critical Patch Update Advisory を公開。各製品の複数脆弱性が修正されている。
"Oracle Critical Patch Update Advisory - July 2025" https://www.oracle.com/security-alerts/cpujul2025.html |
| 2025/7/15 | Google Chrome | Google 社は、デスクトップ向け拡張安定版、Android 版、iOS 版のGoogle Chrome のアップデートを公開。なお、デスクトップ向け安定版で修正された3Dグラフィックスやベクターデータの描画命令をGPU向けに変換するコンポーネント「ANGLE」における入力検証不備の脆弱性「CVE-2025-6558」の脆弱性は悪用が確認されている。
"Stable Channel Update for Desktop (Tuesday, July 15, 2025)" https://chromereleases.googleblog.com/2025/07/stable-channel-update-for-desktop_15.html "Chrome for Android Update (Tuesday, July 15, 2025)" https://chromereleases.googleblog.com/2025/07/chrome-for-android-update.html "Chrome Stable for iOS Update (Tuesday, July 15, 2025)" https://chromereleases.googleblog.com/2025/07/chrome-stable-for-ios-update.html |
| 2025/7/15 | Node.js | 「Node.js」開発チームは脆弱性を修正したバージョン「Node.js v20.19.4」「Node.js v22.17.1」「Node.js v24.4.1」をリリース。
"Tuesday, July 15, 2025 Security Releases" https://nodejs.org/en/blog/vulnerability/july-2025-security-releases |
| 2025/7/16 | Internet Systems Consortium BIND (以降、ISC BINDと略称) | ISC は同組織からリリースしているISC BIND の複数脆弱性を公開。
"CVE-2025-40776: Birthday Attack against Resolvers supporting ECS" https://kb.isc.org/docs/cve-2025-40776 "CVE-2025-40777: A possible assertion failure when using the 'stale-answer-client-timeout 0' option" https://kb.isc.org/docs/cve-2025-40777 |
| 2025/7/16 | Microsoft Edge | Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを公開。悪用が確認されているコンポーネント「ANGLE」の脆弱性「CVE-2025-6558」の脆弱性も修正されている。
"Release notes for Microsoft Edge Security Updates (June 3, 2025)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#july-16-2025 |
| 2025/7/18 | Fortinet FortiWeb | CISAは、2025年7月8日[現地時間]に公開されたFortinet FortiWeb のSQLインジェクション脆弱性「CVE-2025-25257」が悪用されていることを公表。
"CISA Adds One Known Exploited Vulnerability to Catalog (Release Date : July 18, 2025)" https://www.cisa.gov/news-events/alerts/2025/07/18/cisa-adds-one-known-exploited-vulnerability-catalog "Unauthenticated SQL injection in GUI" https://fortiguard.fortinet.com/psirt/FG-IR-25-151 |
| 2025/7/20 | Microsoft SharePoint | CISAは、Microsoft SharePoint のゼロデイ脆弱性「CVE-2025-53770(別名 ToolShell)」が悪用されていることを公表。
"CISA Adds One Known Exploited Vulnerability, CVE-2025-53770 "ToolShell," to Catalog (Release Date : July 20, 2025)" https://www.cisa.gov/news-events/alerts/2025/07/20/cisa-adds-one-known-exploited-vulnerability-cve-2025-53770-toolshell-catalog "Microsoft SharePoint Server Remote Code Execution Vulnerability - CVE-2025-53770" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770 |
| 2025/7/22 | Microsoft SharePoint | CISAは、2025年7月8日[現地時間]に公開されたMicrosoft SharePoint の脆弱性「CVE-2025-49704」「CVE-2025-49706」が悪用されていることを公表。
"CISA Adds Two Known Exploited Vulnerabilities to Catalog (Release Date : July 22, 2025)" https://www.cisa.gov/news-events/alerts/2025/07/22/cisa-adds-two-known-exploited-vulnerabilities-catalog "Microsoft SharePoint のリモート コードが実行される脆弱性 - CVE-2025-49704" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49704 "Microsoft SharePoint Server のなりすましの脆弱性 - CVE-2025-49706" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49706 |
| 2025/7/22 | Mozilla Thunderbird /Firefox /Firefox ESR /Firefox for iOS | Mozilla 社はTThunderbird /Firefox /Firefox ESR /Firefox for iOS のセキュリティアップデートを公開。
"Mozilla Foundation Security Advisory 2025-63 Security Vulnerabilities fixed in Thunderbird 140.1" https://www.mozilla.org/en-US/security/advisories/mfsa2025-63/ "Mozilla Foundation Security Advisory 2025-62 Security Vulnerabilities fixed in Thunderbird 128.13" https://www.mozilla.org/en-US/security/advisories/mfsa2025-62/ "Mozilla Foundation Security Advisory 2025-61 Security Vulnerabilities fixed in Thunderbird 141" https://www.mozilla.org/en-US/security/advisories/mfsa2025-61/ "Mozilla Foundation Security Advisory 2025-56 Security Vulnerabilities fixed in Firefox 141" https://www.mozilla.org/en-US/security/advisories/mfsa2025-56/ "Mozilla Foundation Security Advisory 2025-59 Security Vulnerabilities fixed in Firefox ESR 140.1" https://www.mozilla.org/en-US/security/advisories/mfsa2025-59/ "Mozilla Foundation Security Advisory 2025-58 Security Vulnerabilities fixed in Firefox ESR 128.13" https://www.mozilla.org/en-US/security/advisories/mfsa2025-58/ "Mozilla Foundation Security Advisory 2025-57 Security Vulnerabilities fixed in Firefox ESR 115.26" https://www.mozilla.org/en-US/security/advisories/mfsa2025-57/ "Mozilla Foundation Security Advisory 2025-60 Security Vulnerabilities fixed in Firefox for iOS 141" https://www.mozilla.org/en-US/security/advisories/mfsa2025-60/ |
注目したインシデント
2025年6月下旬のインシデント情報も含まれております。
| 公表日 | 発生組織/業種 | インシデント内容 | 情報/コメント |
| 2025/6/30 | 小売業(紳士服関連) | ランサムウェア感染 | 取り急ぎ、第一報として公表。詳細等についてはまだ調査中らしく未公開となっている。 |
| 2025/6/30 (続報) | 地方自治体 | 不正アクセスによるデータベース内の個人情報データ流出 | 当初はデータのダウンロードについては否定的だったが、実際はウェブページ経由でデータベースにアクセスされ、大量のデータが取得されていたことが判明。 |
| 2025/6/30 | 出版社 | 不正アクセスによる個人情報漏えいの可能性 | SQLインジェクション攻撃により、約33万件の個人情報流出の可能性があることを公表。 |
| 2025/7/1(続報) | 地方自治体 | ホームページへの不正アクセス | 同自治体の図書館サイト再開連絡と共に調査結果を公表。総当たり攻撃の痕跡やシステム更新不備があったことをコメント。なお、不正アクセスを受けたサーバ内には個人情報を保有しておらず、個人情報の漏えいは確認されていないとのこと。 |
| 2025/7/1 (報道) | 情報サービス業 (ゲーム) | ゲーム内通貨の詐取 | 報道では、課金代行業者に依頼し、ゲーム内通貨の購入代金を支払ったと装う虚偽の情報をゲーム会社のサーバー送付。約672万円分の通貨を騙し取ったとのこと。 |
| 2025/7/2 | 小売業(自動車販売) | ランサムウェア攻撃による個人情報流出の可能性 | ランサムウェアを用いたサイバー攻撃を受け、一部データが毀損していることが判明。復旧はバックアップデータにて行ったとコメント。 |
| 2025/7/3 | 専門店(その他小売) | パスワードリスト攻撃による不正ログイン及び会員情報改ざん | 今回の問題を受け、ログイン時の2段階認証を導入し再発防止を図るとしている。 |
| 2025/7/4 | 地方自治体 | メール誤送信による個人情報漏えい | 原因は「送信先のメールアドレスを誤って宛先(To)に設定したため」とコメントしている。 |
| 2025/7/4 | 大学 | ホームページ誤掲載による個人情報漏えいの可能性 | 「個人情報を含む箇所が非表示の状態(データ自体は記録されているが目視できない)であったため、電子ファイル内に学生の個人情報が保存されていることを事前に確認できなかった」とコメントしている。 |
| 2025/7/4 | 建設業 | スミッシングによる社用Apple アカウントへの不正アクセス及び情報漏えいの可能性 | 社用iPhone に紐づけられていた個人情報にアクセス可能なApple アカウントに対する不正アクセスが発生した事を公表。 |
| 2025/7/8 | 情報・通信業 | 不正アクセスによる情報漏えいの可能性 | 調査した結果、同社ネットワーク機器に対するゼロデイ攻撃が行われていた事が判明。 |
| 2025/7/8 | 行政法人 | VPN 機器経由による不正アクセス | 現在判明している不正アクセスの他に、不正アクセスの有無、不正アクセスされた可能性のある情報の範囲・レベル等は確認中。 |
| 2025/7/10 (報道) | 地方自治体 | 内部犯行による不正アクセス | 当該職員は住民基本台帳ネットワークに職務権限でアクセスし、親族のマイナンバーを不正に取得し虚偽の申告を行い、税金の還付や減額等を行っていた。 |
| 2025/7/11 | ISP | 不正ログインによるメールアドレス変更 | メールサービスに不正ログインが発生し、一部ユーザのメールアドレスが勝手に変更された事を公表。 |
| 2025/7/12 | サービス業 | パスワードリスト攻撃による不正ログイン | 特定のIPアドレスからリスト型攻撃が行われていたとコメントしている。 |
| 2025/7/14 | ブライダル | 不正アクセスによる個人情報漏えいの可能性 | SQLインジェクション攻撃により、最大約91万件の個人情報流出の可能性があることを公表。 |
| 2025/7/15 | 新聞 | パスワードリスト攻撃による不正ログイン | ログインを試みたメールアドレスには同社サービスに登録されていないものも大量に含まれていたため、IDとパスワードが同社から流出した可能性は低いとコメント。 |
| 2025/7/17 | 電気機器 | ランサムウェア攻撃 | 約1年前のインシデントに関する公表。バックアップシステムも暗号化されたとのこと。なお、個人情報は多層的な暗号化処理が施された状態で保管されていたとし、解読や閲覧は困難であるとの見解を外部より得ていると説明。 |
