更新日:<2018.03.26>
Thunderbird 52.7 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、セキュリティ機構の迂回を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 6 件の脆弱性を解決しています。任意のコード実行は、音声データ Vorbis ファイル処理に存在する領域外メモリへの書き出し (out-of-bounds write: CWE-787)、メモリ破損の問題に起因しています。
Chrome 65.0.3325.181 では、監査、ファジングなどの内部セキュリティ作業によって見つけた問題を解決しています。
重要製造業、エネルギー、上下水道分野などで利用されている独 Beckhoff (beckhoff.com) の TwinCAT (The Windows Control and Automation Technology) には、信頼できないポインタの参照 (CWE-822) に起因して、アクセス権限の昇格を許してしまう脆弱性 (CVE-2018-7502) が存在します。TwinCAT は、制御システムを PC ベースシステムに構築する製品です。
化学、エネルギー、農業・食料、上下水道分野で利用されている独 Siemens (siemens.com) の SIMATIC WinCC OA UI モバイルアプリには、情報漏洩を許してしまう脆弱性 (CVE-2018-4844) が存在します。モバイルアプリは、SIMATIC WinCC OA サーバにリモートアクセスするための製品です。
化学、重要製造業、エネルギー、農業・食料、上下水道分野で利用されている独 Siemens (siemens.com) の産業製品 (SIMATIC、SINUMERIK、PROFINET IO など) には、サービス不能攻撃を許してしまう脆弱性 (CVE-2018-4843) が存在します。不正な PROFINET DCP (Dynamic Configuration Protocol) パケットを受信した場合に脆弱性の影響を受ける可能性があります。PROFINET は PI(PROFIBUS & PROFINET International) が開発した産業用機器向けの通信仕様です。
商業施設、エネルギー、公共衛生・ヘルスケア、銀行・金融分野で利用されている独 Geutebruck (geutebrueck.com) の IP カメラには、不正アクセスを許してしまう複数の脆弱性が存在します。報告されている脆弱性は、適切でない認証 (CWE-287)、適切でないアクセス制御 (CWE-284)、SQL インジェクション問題 (CWE-89)、クロスサイトリクエストフォージェリ問題 (CWE-352)、クロスサイトスクリプティング問題 (CWE-79) です。
Apache httpd 2.4.33 では、コア、mod_slomem_shm、ab、htpasswd モジュールでの不具合の修正や改善を目的としたリリースです。コアではログ処理での不具合の修正などを施しています。バージョン 2.4.30 では、領域外メモリへの書き出し (out-of-bounds write: CWE-787)(CVE-2017-15710)、データ読み込み問題 (CVE-2018-1283)、サービス不能攻撃を許してしまう脆弱性 (CVE-2018-1303、CVE-2018-1301) を解決しています。ただし、バージョン 2.4.30 〜 2.4.32 はリリースされていません。
Red Hat 製品でサポートされている Firefox (RHSA-2018:0549) のセキュリティアップデートがリリースされました。このアップデートでは、Firefox ESR 52.7.2 で解決した脆弱性に対応しています。
担当:寺田、大西/HIRT
