更新日:<2018.04.09>
Java SE 10 (JDK 10) がリリースされました。このバージョンでは、ローカル変数型推論、Garbage Collector の並列化、アプリケーションのクラスデータ共有、実験的な機能である Java ベースの JIT コンパイラなどの機能強化を施しています。また、Java SE 10 から 6 カ月ごとの開発サイクルに入ります。
化学、商業施設、エネルギー、農業・食料、輸送、上下水道分野で利用されているブラジル LCDS(Leo Consultoria e Desenvolvimento de Sistemas Ltda ME)(cds.com.br) の Windows ベースの SCADA システムである LAquis SCADA には、適切でない例外条件の確認や処理 (CWE-703) に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2018-5463) が存在します。
重要製造業、エネルギー、輸送分野で利用されている台湾 MOXA (moxa.com) のネットワーク管理ソフトウェア MXview には、不正な HTTP アクセスにより、情報漏洩を許してしまう脆弱性 (CVE-2018-7506) が存在します。
重要製造業、農業・食料、上下水道分野で利用されている米 Rockwell Automation (rockwellautomation.com) の MicroLogix には、適切でない認証 (CWE-287) に起因して、サービス不能攻撃、情報漏洩、不正アクセスを許してしまう脆弱性 (CVE-2017-12088 〜 CVE-2017-12090、CVE-2017-12092、CVE-2017-12093) が存在します。不正なパケットを受信した場合、脆弱性の影響を受ける可能性があります。MicroLogix は、ネットワーク通信機能を備えた小型の PLC (Programmable Logic Controller) です。
商業施設分野で利用されている独 Siemens (siemens.com) のビル管理向け製品には、スタックオーバーフロー (CWE-121)、メモリバッファ境界での適切でない操作制限 (CWE-119)、NULL ポインタ参照 (NULL pointer dereference: CWE-476)、適切でない再帰的なエンティティ参照制限 (XML Entity Expansion) 問題 (CWE-776)、ヒープオーバーフロー (CWE-122)、適切でないアクセス制御 (CWE-284) に起因して、任意のコード実行、サービス不能攻撃などを許してしまう複数の脆弱性 (CVE-2017-11496 〜 CVE-2017-11498 CVE-2017-12818 〜 CVE-2017-12822) が存在します。報告された脆弱性は、ビル管理向け製品である License Management System、Desigo CC、iteIQ Analytics などに影響があります。
OS デプロイメント管理ソフトウェア JP1/ServerConductor/Deployment Manager、サーバ管理用ソフトウェア Hitachi Compute Systems Manager には、サービス不能攻撃を許してしまう脆弱性が存在します。
日立ディスクアレイシステム SVP には、マイクロソフト 2018年 3月の月例セキュリティアップデートで解決した脆弱性の影響はありません。
OpenSSH 7.7、7.7p1 は、不具合の修正や改善を目的としたリリースです。このリリースでは、非常に古い SSH との互換性サポートの実装を取り除き、実験コードとしての XMSS(eXtended Merkle Signature Scheme) 署名のサポート、sshd_config にルーティングドメインに依存した設定を可能とする rdomain の追加、authorized_keys に鍵の期限切れを可能とする expiry-time の追加などの機能強化を施しています。
WordPress 4.9.5 では、localhost の取り扱い、安全なリダイレクトの使用、バージョン文字列のエスケープ処理に関するセキュリティ問題を解決しています。そのほか、計 25 件の不具合の修正と改善が施されました。
担当:寺田、大西/HIRT
