ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2018.04.30>

更新日:<2018.04.30>

(C08) アップル製品

iOS 11.3.1 リリース (2018/04/24)

iOS 11.3.1 では、Crash Reporter、LinkPresentation、WebKit コンポーネントに存在する計 4 件の脆弱性 (CVE-2018-4187、CVE-2018-4200、CVE-2018-4204、CVE-2018-4206) を解決しています。対象となった脆弱性は、メモリ破損に起因して任意のコード実行やアクセス権限の昇格を許してしまう問題、URL のなりすましを許してしまう問題です。

セキュリティアップデート 2018-001 (2018/04/24)

セキュリティアップデート 2018-001 では、Crash Reporter、LinkPresentation コンポーネントに存在する計 2 件の脆弱性 (CVE-2018-4187、CVE-2018-4206) を解決しています。対象となった脆弱性は、メモリ破損に起因してアクセス権限の昇格を許してしまう問題、URL のなりすましを許してしまう問題です。

Safari 11.1 リリース (2018/04/24)

Safari 11.1 (v. 11605.1.33.1.4, 12605.1.33.1.4, and 13605.1.33.1.4) では、WebKit コンポーネントに存在する計 2 件の脆弱性 (CVE-2018-4200、CVE-2018-4204) を解決しています。対象となった脆弱性は、メモリ破損に起因して任意のコード実行を許してしまう問題です。

(C10) Google Chrome

Google Chrome 66.0.3359.139 リリース (2018/04/26)

Chrome 66.0.3359.139 では、メモリの解放後使用 (use-after-free:CWE-416) など、計 3 件の脆弱性 (CVE-2018-6118 他) を解決しています。

(I01) ヘルスケア製品

Becton, Dickinson and Company の Pyxis (2017/04/24)

公共衛生・ヘルスケア分野などで利用されている米 Becton, Dickinson and Company (bd.com) の WPA2 プロトコルを使用可能な Pyxis には、KRACK (Key Reinstallation Attacks) 問題で報告された暗号化処理における Nonce や鍵ペアの再利用 (CWE-323) の脆弱性 (CVE-2017-13077 〜 CVE-2017-13082、CVE-2017-13086 〜 CVE-2017-13088) が存在します。Pyxis は、病院や統合医療ネットワークの投薬や供給を管理する製品です。

(I02) 制御システム製品

WECON の LeviStudio HMI Editor (2018/04/26)

重要製造業、エネルギー、上下水道分野で利用されている中国 WECON (we-con.com.cn) の HMI プログラミングソフトウェアである LeviStudio HMI Editor、PI Studio HMI Project Programmer には、スタックオーバーフロー (CWE-121) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2018-7527) が存在します。

Delta Electronics の PMSoft (2018/04/26)

重要製造業分野などで利用され、Delta DVP シリーズ PLC の編集ソフトウェアである台湾 Delta Electronics(deltaww.com) の PMSoft には、スタックオーバーフロー (CWE-121) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2018-8839) が存在します。

Advantech の Webaccess (2018/04/24)

重要製造業、エネルギー、上下水道分野で利用されている台湾 Advantech (advantech.com) のリモート制御および管理機能を提供する Advantech Webaccess HMI/SCADA 製品には、ヒープオーバーフロー (CWE-122)、メモリの 2 重解放 (double free: CWE-415)、領域外メモリへの書き出し (out-of-bounds write: CWE-787) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2018-8833、CVE-2018-8835、CVE-2018-8837) が存在します。不正な pm3 ファイルを処理した際に、脆弱性の影響を受ける可能性があります。

Intel の 2G モデム (2018/04/24)

情報技術分野で利用されている米 Intel(intel.com) の 2G モデムには、バッファオーバーフロー (CWE-120) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2018-3624) が存在します。この脆弱性は、地震津波警報システム (ETWS: Earthquake and Tsunami Warning System) 機能が有効になっている場合に、脆弱性の影響を受ける可能性があります。

Vecna の VGo Robot (2018/04/24)

通信分野で利用されている米 Vecna(vgocom.com) の遠隔操作ができるモバイルロボット VGo Robot には、OS コマンドインジェクション (CWE-78)、重要な情報を平文のまま転送している問題 (CWE-319) に起因して情報漏洩や任意のコード実行を許してしまう脆弱性 (CVE-2018-8860、CVE-2018-8866) が存在します。

(S00) 日立製品

Intel SPI 系製品の脆弱性 INTEL-SA-00087 への対応 (2018/04/26)

4月 3日に公開された Intel SPI 系製品の脆弱性 (CVE-2017-5703) の影響を報告しています。脆弱性は、不正なオペレーションコードでアクセスによりサービス不能攻撃を許してしまう問題です。

日立ディスクアレイシステム SVP (2018/04/26)

日立ディスクアレイシステム SVP には、マイクロソフト 2018年 4月の月例セキュリティアップデートで解決した脆弱性の影響はありません。

Hitachi Command Suite 製品、Hitachi Infrastructure Analytics Advisor (2018/04/25)

Hitachi Command Suite 製品および Hitachi Infrastructure Analytics Advisor には、複数の脆弱性が存在します。脆弱性は、Java SE 8 Update 171 で解決した AWT、Concurrency、ホットスポット、JAXP、JMX、RMI、セキュリティ、シリアラーゼーションに存在する問題です。

Cosminexus 製品 (2018/04/25)

Cosminexus Developer's Kit for Java、Hitachi Developer's Kit for Java を構成部品として使用している Cosminexus 製品には、複数の脆弱性が存在します。脆弱性は、Java SE 8 Update 171 で解決した AWT、Concurrency、ホットスポット、JAXP、JMX、RMI、セキュリティ、シリアラーゼーションに存在する問題です。

(S09) PHP

PHP 7.2.5、7.1.17、7.0.30、5.6.36 リリース (2018/04/26)

PHP 7.2.5、7.1.17、7.0.30、5.6.36 では、Phar コンポーネントに存在する .phar 404 ページでのクロスサイトスクリプティング問題 (CWE-79)(CVE-2018-5712)、Exif コンポーネントに存在するヒープオーバーフロー (CWE-122) を解決しています。なお、CVE-2018-5712 については、修正が完了していない可能性があるとしています。また、Exif、iconv、LDAP、Phar などのコンポーネントに存在する計 17 件、12 件、4 件、4 件の不具合を修正しています。

(S11) Samba

Samba 4.8.1 リリース (2018/04/26)

Samba 4.8.1 では、s3-ldap、s3-smbd、smbclient、winbindd 関連モジュールに存在するメモリリーク、Windows 10 から Samba NT4 ドメインにログインできないなどの計 32 件の不具合を修正しています。セキュリティアップデートは含まれていません。

(S20) Red Hat

Red Hat (2018/04/30)

Red Hat 製品でサポートされている コンテナアプリケーションプラットフォーム OpenShift、Chrome、Java (java-1.7.0-oracle、java-1.8.0-oracle)、RELP(Reliable Event Logging Protocol) 用ライブラリ librelp のセキュリティアップデート (深刻度:緊急) がリリースされました。このアップデートでは、Google Chrome 66.0.3359.117、Java SE 8 Update 171 で解決した脆弱性に対応しています。また、OpenShift では、ホスト OS への不正アクセスを許してしまう脆弱性 (CVE-2018-1102)、librelp では、スタックオーバーフロー (CWE-121)(CVE-2018-1000140) 問題を解決しています。

(S21) Web アプリケーションならびに CMS

Drupal 8.5.3、8.4.8 リリース (2018/04/25)

Drupal 8.5.3、8.4.8 では、バージョン 7 ならびに 8 に存在する任意のコード実行を許してしまう脆弱性 (CVE-2018-7602) を解決しています。この問題は、3 月下旬に報告された脆弱性 SA-CORE-2018-002(CVE-2018-7600) に関連するもので、脆弱性を悪用された場合、サイトへの不正アクセスを許してしまう可能性があります。


担当:寺田、大西/HIRT