ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2018.08.13>

更新日:<2018.08.13>

(C01) Mozilla

Firefox 61.0.2 リリース (2018/08/08)

Firefox 61.0.2 では、レンダリング機能の改善、拡張機能やアクセシビリティツール関連での不具合を修正しています。セキュリティアップデートは含まれていません。

Thunderbird 60.0 リリース (2018/08/06)

Thunderbird 60.0 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、情報漏洩を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 14 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。

(C10) Google Chrome

Google Chrome 68.0.3440.106 リリース (2018/08/08)

Chrome 68.0.3440.106 は、安定性、性能、セキュリティの改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。

(I01) ヘルスケア製品

Medtronic の MiniMed インスリンポンプ (2018/08/07)

公共衛生・ヘルスケア分野で利用されているアイルランド Medtronic (medtronic.com) の MiniMed インスリンポンプには、重要な情報を平文のまま転送している脆弱性 (CWE-319)、リプレイ攻撃による認証機構の迂回を許してしまう脆弱性 (CVE-2018-10634、CVE-2018-14781) が存在します。

Medtronic の MyCareLink Patient Monitor (2018/08/07)

公共衛生・ヘルスケア分野で利用されているアイルランド Medtronic (medtronic.com) の心臓ペースメーカーの患者モニタ装置である MyCareLink Patient Monitor には、可逆形式で格納された資格情報の漏洩や十分ではないデータ真正性の確認 (CWE-345) に起因して、不正データのアップロードを許してしまう脆弱性 (CVE-2018-10622、CVE-2018-10626) が存在します。

(I02) 制御システム製品

NetComm Wireless の Industrial M2M Router (2018/08/09)

通信分野で利用されているオーストラリア NetComm Wireless (netcommwireless.com) のルータ製品 4G LTE Light Industrial M2M Router には、情報漏洩を許してしまう複数の脆弱性 (CVE-2018-14782、CVE-2018-14783、CVE-2018-14784、CVE-2018-14785) が存在します。報告されている脆弱性は、クロスサイトリクエストフォージェリ問題 (CWE-352)、クロスサイトスクリプティング問題 (CWE-79)、ディレクトリ一覧表示に伴う情報漏洩 (CWE-548) などです。

Crestron の TSW-X60、MC3 (2018/08/09)

政府施設、商業施設分野で利用されている米 Crestron(crestron.com) のタッチスクリーン TSW-X60、コントロールシステムプロセッサ MC3 には、アクセス権限の昇格を伴った任意のコード実行を許してしまう複数の脆弱性 (CVE-2018-11228、CVE-2018-11229、CVE-2018-11230、CVE-2018-13341) が存在します。報告されている脆弱性は、OS コマンドインジェクション (CWE-78)、適切でないアクセス制御 (CWE-284)、十分でない資格情報保護 (CWE-522) です。

Delta Electronics の CNCSoft、ScreenEditor (2018/08/07)

重要製造業分野で利用されている台湾 Delta Electronics (deltaww.com) のスクリーン表示のカスタマイズやセットアップを支援する CNCSoft、スクリーン表示を編集する ScreenEditor には、スタックオーバーフロー (CWE-121)、領域外のメモリ参照 (out-of-bounds read: CWE-125) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2018-10598、CVE-2018-10636) が存在します。

(S00) 日立製品

Hitachi Command Suite 製品の仮想アプライアンス (2018/08/08)

Hitachi Command Suite 製品の仮想アプライアンスに同梱されている Python3 には、サービス不能攻撃を許してしまう脆弱性が存在します。脆弱性は、Python 3.6.5 RC 1 で解決したバックトラッキング問題 (CVE-2018-1060、CVE-2018-1061) です。

Hitachi Command Suite 製品、Hitachi Infrastructure Analytics Advisor (2018/08/08)

Hitachi Command Suite 製品および Hitachi Infrastructure Analytics Advisor には、複数の脆弱性が存在します。脆弱性は、OpenSSL 1.1.0g、1.0.2m で解決した領域外のメモリ参照 (out-of-bounds read:CWE-125) が発生する問題 (CVE-2017-3735)、秘密鍵の推測を許してしまう問題 (CVE-2017-3736) です。

Hitachi Command Suite 製品 (2018/08/08)

Hitachi Command Suite 製品には、サーバおよびストレージ構成情報の漏洩を許してしまう脆弱性 (CVE-2018-14735) が存在します。

(S04) DNS [BIND/NSD/Unbound/PowerDNS]

BIND 9.12.2-P1、9.11.4-P1、9.10.8-P1、9.9.13-P1 リリース (2018/08/08)

BIND 9.12.2-P1、9.11.4-P1、9.10.8-P1、9.9.13-P1 では、deny-answer-aliases 機能の処理不具合に起因して、サービス不能攻撃を許してしまう脆弱性 (CVE-2018-5740) を解決しています。deny-answer-aliases 機能を有効にしている DNS サーバが影響を受けるとしています。

(S15) PostgreSQL

PostgreSQL 10.5、9.6.10、9.5.14、9.4.19、9.3.24 リリース (2018/08/09)

PostgreSQL 10.5、9.6.10、9.5.14、9.4.19、9.3.24 では、接続状態の変数を適切にリセットしないことに起因してセキュリティ機構の迂回を許してしまう脆弱性 (CVE-2018-10915)、upsert (INSERT ... ON CONFLICT DO UPDATE) を実行することによりサーバ上のメモリ参照を許してしまう脆弱性 (CVE-2018-10925) を解決しています。また、40 件以上の不具合の修正と改善を施しています。

(S16) VMware 製品

VMware セキュリティアップデート:VMSA-2018-0019 (2018/08/07)

Horizon、Windows 版 Horizon Client のメッセージフレームワークライブラリには、領域外のメモリ参照 (out-of-bounds read: CWE-125) に起因して情報漏洩を許してしまう脆弱性 (CVE-2018-6970) が存在します。

VMware セキュリティアップデート:VMSA-2018-0018 (2018/07/19)

VMware Horizon View Agent には、適切でないログ処理に起因して情報漏洩を許してしまう脆弱性 (CVE-2018-6971)、VMware ESXi、Workstation、Fusion には、RPC 処理に NULL ポインタ参照 (NULL pointer dereference: CWE-476) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2018-6972) が存在します。

(S20) Red Hat

Red Hat (2018/08/13)

Red Hat 製品でサポートされている ネットワークインストールサーバ Cobbler、Red Hat 証明書パッケージのセキュリティアップデート (RHSA-2018:2372、RHSA-2018:2373)(深刻度:緊急) がリリースされました。Cobbler では、CobblerXMLRPCInterface のプライベート関数の公開に起因してアクセス権限の昇格や任意のファイルアップロードを許してしまう脆弱性 (CVE-2018-10931) を解決しています。Red Hat 証明書パッケージでは、任意のファイルの書き込み、ダウンロードやサービス不能攻撃を許してしまう脆弱性 (CVE-2018-10870、CVE-2018-10869、CVE-2018-10864) を解決しています。


担当:寺田、大西/HIRT