チェックしておきたい脆弱性情報 ＜2017.07.03＞

Firefox 54.0.1 では、タブ処理、ファイルダウンロード、PDF の印刷、Netflix アクセスの不具合などを修正しています。ESR 52.2.1 では、Direct2D が無効な場合に発生する印刷での不具合を修正しています。セキュリティアップデートは含まれていません。

• Firefox 54.0.1
• Firefox 52.2.1 ESR

ランサムウェア Petya 亜種感染防止に関する注意喚起が発行されました。Petya 亜種は、感染によって、ハードドライブを暗号化し、その暗号解除と引き換えに金銭を要求するネットワークワーム型の機能を有するランサムウェアです。製品ベンダである ABB、Drager、Emerson Automation Solutions、Honeywell、Johnson & Johnson、Rockwell Automation、Schneider Electric からも、対策情報が発行されています。

• ICS-ALERT-17-181-01: Petya Malware Variant

エネルギー分野などで利用されている独 Siemens (siemens.com) の Viewport for Web Office Portal のポート番号 443/TCP と 80/TCP には、認証操作なしで任意のファイルをアップロードし、実行を許してしまう脆弱性 (CVE-2017-6869) が存在します。Web Office Portal は、エネルギー管理プラットフォーム製品 Spectrum Power から収集したデータへのアクセスなどを提供します。

• ICSA-17-180-03: Siemens Viewport for Web Office Portal

商業施設、重要製造業、エネルギー分野などで利用されている仏 Schneider Electric (schneider-electric.com) の U.motion Builder には、SQL インジェクション問題 (CWE-89)(CVE-2017-7973)、ディレクトリトラバーサル問題 (CWE-22)(CVE-2017-7974)、セッション管理が適切でない問題 (CVE-2017-9956)、パスワードがハードコーディングされている問題 (CWE-259)(CVE-2017-9957)、適切でないアクセス制御 (CWE-284)(CVE-2017-9958)、サービス不能攻撃を誘発できる問題 (CVE-2017-9959)、エラーメッセージからの情報漏洩 (WE-209)(CVE-2017-9960)、が存在します。U.motion Builder は、U.motion デバイス用のプログラムを作成するための製品です。

• ICSA-17-180-02: Schneider Electric U.motion Builder

化学、商業施設、重要製造業、エネルギー、農業・食料、上下水道などで利用されている独 Siemens (siemens.com) の SIMATIC 産業用 PC、工作機械向けの SINUMERIK Panel Control Unit、モーションコントローラ製品 SIMOTION P320 には、認証操作なしでリモートから不正アクセスを許してしまうインテル AMT (Active Management Technology)、インテル ISM (Standard Manageability)、インテル SBT (Small Business Technology) の脆弱性 (CVE-2017-5689) が存在します。

• ICSA-17-180-01: Siemens SIMATIC Industrial PCs, SINUMERIK Panel Control Unit, and SIMOTION P320

重要製造業などで利用されている米 Newport (newport.com) のモーションコントローラ製品 XPS-C、XPS-Q には、不正な URL アクセスにより認証の迂回を許してしまう脆弱性 (CVE-2017-7919)、パスワードが平文のまま格納されている問題 (CWE-256)(CVE-2017-6047) が存在します。

• ICSA-17-178-01: Newport XPS-Cx, XPS-Qx

BIND 9.11.1-P2、9.10.5-P2、9.9.10-P2 では、TSIG (Transaction Signature) 認証の迂回により、情報漏洩を許してしまう脆弱性 (CVE-2017-3142)、Dynamic Update 経由でゾーンデータの改ざんを許してしまう脆弱性 (CVE-2017-3143) を解決しています。また、B-Root サーバの IPv6 アドレス変更を取り込んでいます。なお BIND を開発するインターネットシステムズコンソーシアム (ISC) は、9.0 系〜 9.8 系のサポートは終了していることから、セキュリティパッチはリリースしないとしています。

• BIND 9 Security Vulnerability Matrix
• CVE-2017-3142: An error in TSIG authentication can permit unauthorized zone transfers
• CVE-2017-3143: An error in TSIG authentication can permit unauthorized dynamic updates
• BIND 9.x の脆弱性 (TSIG 認証の迂回によるゾーンデータの流出) について (CVE-2017-3142) 〜 バージョンアップを強く推奨 〜
• BIND 9.x の脆弱性 (TSIG 認証の迂回によるゾーンデータの操作) について (CVE-2017-3143) 〜 バージョンアップを強く推奨 〜

キャッシュ DNS サーバの一つである Unbound のバージョン 1.6.4 は、不具合の修正を目的としたリリースで、セキュリティアップデートは含まれていません。このバージョンでは、B-Root サーバの IPv6 アドレス変更、メモリリークやバッファオーバーフローの不具合などを修正しています。

• Unbound 1.6.4

Tomcat 8.0.45、7.0.79 は、不具合の修正や改善を目的としたリリースです。これらのリリースでは、ログファイルを保存する最大日数を指定するため JULI FileHandler に関する設定の追加、セキュリティマネージャ配下での Manager と HostManager 動作の改善などを施しています。リリース時点で、セキュリティアップデートの報告はありません。

• Changelog Tomcat 8.0.45
• Changelog Tomcat 7.0.79

Red Hat Enterprise Linux Server に搭載されている分散型バージョン管理システム Mercurial のセキュリティアップデート (RHSA-2017:1576) では、コマンドラインオプションを悪用して任意のコード実行を許してしまう脆弱性 (CVE-2017-9462) を解決しています。

• Red Hat Enterprise Linux Server (v. 6) Security Advisories

• HIRT-PUB
• 活動参考資料
• CSIRTメモ