更新日:<2018.04.23>
4 月の Critical Patch Update で報告された脆弱性 14 件のうち、認証操作なしでリモートからの攻撃を許してしまう脆弱性の件数は 12 件です。このうち、Java SE 8 Update 171 には、AWT、ホットスポット、インストーラ、JAXP、JMX、ライブラリ、RMI、セキュリティなどに関する計 12 件のセキュリティアップデートが含まれています。このアップデートでは、キーストアの機能拡張、実行中 VM の JRE 最終使用追跡を無効にするプロパティのサポート、224 ビット未満の EC 鍵による XML 署名の無効化が施されました。同時にリリースされた Java SE 8 Update 172 には、セキュリティアップデートに加えて複数バグの修正が含まれています。
バージョン 66 がリリースされました。Chrome 66.0.3359.117 では、メモリの解放後使用 (use-after-free:CWE-416)、ヒープオーバーフロー (CWE-122)、整数オーバーフロー (CWE-190)、URL のなりすましを許してしまう問題など、計 62 件の脆弱性 (CVE-2018-6084 〜 CVE-2018-6117 他) を解決しています。
公共衛生・ヘルスケア分野で利用されている米 Biosense Webster (biosensewebster.com) の Carto 3 には、マイクソフト製品に関連する多数の脆弱性が存在します。Carto 3 は、心臓の 3 次元リアルタイムマップを作成するための画像システムです。
公共衛生・ヘルスケア分野で利用されている米 Abbott Laboratories (abbott.com) の植込み型除細動器 (CRT)、両室ペーシング機能付き植込み型除細動器 (CRT-D)には、適切でない認証 (CWE-287) に起因して不正アクセスを許してしまう脆弱性 (CVE-2017-12712)、無線ウェイクアップコマンドに対する制限機構がないことを利用した電力消費を許してしまう脆弱性 (CVE-2017-12714) が存在します。
化学、エネルギー、農業・食料、上下水道分野で利用されている独 Siemens (siemens.com) の SIMATIC WinCC OA Operator IOS モバイルアプリには、情報漏洩を許してしまう脆弱性 (CVE-2018-4847) が存在します。モバイルアプリは、SIMATIC WinCC OA サーバにリモートアクセスするための製品です。
重要製造業、エネルギー、上下水道分野などで利用されている米 Rockwell Automation (rockwellautomation.com) の産業オートメーション制御システムの Stratix ルータ、Stratix Services ルータ、ArmorStratix スイッチには、任意のコード実行、サービス不能攻撃、アクセス権限の昇格などを許してしまう脆弱性が存在します。この問題は、機器が使用している Cisco IOS、IOS XE に存在する脆弱性 (CVE-2018-0151、CVE-2018-0155 CVE-2018-0156、CVE-2018-0158、CVE-2018-0167、CVE-2018-0171 〜 CVE-2018-0175) に起因しています。
多分野で利用されている仏 Schneider Electric (schneider-electric.com) の 安全計装コントローラ Triconex Tricon には、メモリバッファ境界での適切でない操作制限 (CWE-119) に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2018-7522、CVE-2018-8872) が存在します。
商業施設、重要製造業、エネルギー、輸送、上下水道分野で利用されている仏 Schneider Electric (schneider-electric.com) の HMI SCADA ソフトウェア InduSoft Web Studio、InTouch Machine Edition には、スタックオーバーフロー (CWE-121) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2018-8840) が存在します。
ASA(Adaptive Security Appliance)、FTD(Firepower Threat Defense) 接続用の AnyConnect Secure Mobility クライアントの SAML(Security Assertion Markup Language) シングルサインオンの実装には、セッションハイジャックを許してしまう脆弱性 (CVE-2018-0229) が存在します。
WebEx Business Suite クライアント、WebEx Meetings、WebEx Meetings サーバには、任意のコード実行を許してしまう脆弱性 (CVE-2018-0112) が存在します。この問題は、適切でない入力確認 (CWE-20) に起因し、不正な Flash (.swf) ファイルにアクセスすると、脆弱性を悪用される可能性があります。
IT インフラ運用管理製品である Unified Computing System Director には、適切でない認証 (CWE-287) に起因して、Director エンドユーザポータル上のすべて VM 環境において情報漏洩を許してしまう脆弱性 (CVE-2018-0238) が存在します。
StarOS を搭載した ASR 5700 シリーズと Virtualized Packet Core システムソフトウェアの IPv4、IPv6 パケット転送処理には、サイズを適切に取り扱っていないことに起因して、サービス不能攻撃を許してしまう脆弱性 (CVE-2018-0239) が存在します。不正なパケットを受信した場合に影響を受ける可能性があります。
Cisco IOS XR の UDP ブロードキャストパケット処理には、サービス不能攻撃を許してしまう脆弱性 (CVE-2018-0241) が存在します。多数の UDP ブロードキャストパケットを受信した場合に、バッファ漏れを起こすため、脆弱性を悪用される可能性があります。
Firepower Detection Engine の SSL 処理、Firepower Threat Defense の IPv4、IPv6 パケット再組立て処理には、サービス不能攻撃を許してしまう脆弱性 (CVE-2018-0233、CVE-2018-0230) 存在します。
セキュリティアプライアンスである ASA (Adaptive Security Appliances) には、セキュリティ機構の迂回、サービス不能攻撃を許してしまう脆弱性が複数存在します。報告されている脆弱性は、SSL VPN 機能に存在するクライアント証明書の検証機構の迂回を許してしまう脆弱性 (CVE-2018-0227)、入力フロー処理、TLS 処理、アプリケーション層のインスペクション処理に存在するサービス不能攻撃を許してしまう脆弱性 (CVE-2018-0228、CVE-2018-0231、CVE-2018-0240) です。このうち、TLS 処理、のインスペクション処理に存在するサービス不能攻撃を許してしまう脆弱性については、Firepower Threat Defense にも影響します。
Oracle Critical Patch Update Advisory - April 2018 には、Database Server 系 2 件、Fusion Middleware 系 39 件、Applications 系 34 件、仮想化系 13 件、MySQL 系 33 件、Java SE 系 14 件、計 254 件のセキュリティアップデートが含まれています。認証操作なくリモートからの攻撃を許してしまう脆弱性の件数は計 142 件となっています。
OpenSSL 1.1.0、1.0.2 の RSA 鍵生成アルゴリズムは、キャッシュを利用して情報を予測するサイドチャネル攻撃に対して脆弱であることが報告されました。ただし、深刻度は低いことから、アドバイザリ公開に合わせたセキュリティアップデートはありません。
Samba 4.7.7 では、s3-smbd、subnet 関連モジュールに存在する異常終了、セグメンテーション違反などの計 25 件の不具合を修正しています。セキュリティアップデートは含まれていません。
Tomcat 8.0.51、7.0.86 は、不具合の修正や改善を目的としたリリースです。ログの維持期間を指定する maxDays 属性の追加、PersistentManager を使用する場合に、無限に再帰することを防ぐためのセッション検証などを施しています。リリース時点で、セキュリティアップデートの報告はありません。
MySQL 8.0 が GA(Generally Available) としてリリースされました。MySQL 8.0.11、5.7.22、5.6.40、5.5.60 では、InnoDB Storage Engine、レプリケーション処理などに存在する不具合を修正しています。また、MySQL 8.0.11 では、使用する SSL モジュールを yaSSL から wolfSSL に変更し、FIPS モードをサポートしました。
Horizon DaaS には、二要素認証機構の迂回を許してしまう脆弱性 (CVE-2018-6960) が存在します。
Red Hat 製品でサポートされている Java (java-1.8.0-openjdk) のセキュリティアップデート (RHSA-2018:1188、RHSA-2018:1191)(深刻度:緊急) がリリースされました。このアップデートでは、Java SE 8 Update 171 で解決した脆弱性に対応しています。
Joomla! 3.8.7 は、不具合の修正や改善を目的としたリリースです。
Drupal 8.5.2、8.4.7 では、クロスサイトスクリプティング問題 (CWE-79) を解決しています。
10 件のセキュリティノートがリリースされています。該当する製品は、SAP Business Client、SAP Business Objects、SAP Business One、SAP Cloud Platform Connector、SAP Control Center and SAP Cockpit Framework、SAP Crystal Reports Server、SAP Disclosure Management、SAP Solution Manager、SAP Visual Composer です。報告されている脆弱性は、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-7668)、コードインジェクション問題、適切でないセッション管理 (CVE-2018-2408、CVE-2018-2409)、クロスサイトスクリプティング問題 (CWE-79)(CVE-2018-2405、CVE-2018-2410) などです。
担当:寺田、大西/HIRT
