ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2018.09.03>

更新日:<2018.09.03>

(C08) アップル製品

macOS High Sierra 追加アップデート 2 (2018/08/28)

MacBook Pro (2018) 向け macOS High Sierra 10.13.6 追加アップデート 2 では、macOS High Sierra 10.13.6 で解決した、なりすまし、情報漏洩、メモリ破損や型の取り違え (type confusion:CWE-843) に起因して任意のコード実行を許してしまう問題に対応しています。

(I01) ヘルスケア製品

Qualcomm Life の Capsule (2018/08/28)

公共衛生・ヘルスケア分野で利用されている米 Qualcomm Life (qualcommlife.com) の Capsule Datacaptor Terminal Serve には、アクセス権限の昇格を許してしまう脆弱性 (CVE-2014-9222) が存在します。不正な Cookie を含む HTTP 要求を受信した場合に影響を受ける可能性があります。Capsule は、医療機器の統合と臨床データ管理を提供する医療機器情報システムです。

(I02) 制御システム製品

Philips の e-Alert Unit (2018/08/30)

公共衛生・ヘルスケア分野で利用されているオランダ Philips (philips.com) の e-Alert Unit には、複数の脆弱性 (CVE-2018-14803、CVE-2018-8842、CVE-2018-8844、CVE-2018-8846、CVE-2018-8848、CVE-2018-8850、CVE-2018-8852、CVE-2018-8854、CVE-2018-8856) が存在します。報告されている脆弱性は、適切でない入力確認 (CWE-20)、クロスサイトスクリプティング問題 (CWE-79)、適切でないデフォルトアクセス許可 (CWE-276)、重要な情報を平文のまま転送している問題 (CWE-319)、クロスサイトリクエストフォージェリ問題 (CWE-352)、適切でないリソース消費制限 (CWE-400)、資格情報がハードコーディングされている問題 (CWE-798) などです。

ABB の eSOMS (2018/08/28)

化学、防衛産業基盤、エネルギー分野で利用されているスイス ABB (abb.com) の 資産運用管理ソフトウェア eSOMS には、適切でない認証 (CWE-287) に起因して匿名アクセスを許してしまう脆弱性 (CVE-2018-14805) が存在します。

Schneider Electric の PowerLogic PM5560 (2018/08/28)

エネルギー分野などで利用されている仏 Schneider Electric (schneider-electric.com) のデジタルパワーメータ PowerLogic PM5560 には、クロスサイトスクリプティング問題 (CWE-79)(CVE-2018-7795) が存在します。

Schneider Electric の Modicon M221 (2018/08/28)

商業施設分野などで利用されている仏 Schneider Electric (schneider-electric.com) の産業加工やインフラ用 PLC (Programmable Logic Contoller) である Modicon M221 PLC には、不正なプログラミングプロトコルフレームを受信した場合に、サービス不能攻撃を許してしまう脆弱性 (CVE-2018-7789) が存在します。

Schneider Electric の Modicon M221 (2018/08/28)

商業施設分野などで利用されている仏 Schneider Electric (schneider-electric.com) の産業加工やインフラ用 PLC (Programmable Logic Contoller) である Modicon M221 PLC には、情報管理エラー (CWE-199)、適切でないアクセス許可、権限、制御 (CWE-264) に起因して、認証のリプレイ攻撃、パスワードの上書き、レインボーテーブルを用いたバスワードの解読を許してしまう脆弱性 (CVE-2018-7790、CVE-2018-7791、CVE-2018-779) が存在します。

(S01) シスコ製品

Data Center Network Manager Server (2018/08/28)

データセンタ基盤の稼働性、信頼性を管理する Cisco Data Center の Network Manager Server には、ディレクトリトラバーサル問題 (CWE-22) に起因して、情報漏洩を許してしまう脆弱性 (CVE-2018-0464) が存在します。

(S02) オラクル製品

Apache Struts2 の脆弱性 S2-057 への対応 (2018/08/31)

8月22日に公開された Apache Struts2 の任意のコード実行を許してしまう脆弱性 (CVE-2018-11776) の影響を報告しています。

(S11) Samba

Samba 4.7.10 リリース (2018/08/27)

Samba 4.7.10 では、ldb、s3-smbd モジュールなどに存在する計 26 件の不具合を修正しています。セキュリティアップデートは含まれていません。

(S21) Web アプリケーションならびに CMS

Joomla! 3.8.12 リリース (2018/08/28)

Joomla! 3.8.12 では、ファイルアップロード制限の迂回、クロスサイトスクリプティング問題 (CWE-79)、アクセス制御機構の迂回に関する 3 件の脆弱性 (CVE-2018-15882、CVE-2018-15880、CVE-2018-15881) を解決しています。また、これらセキュリティ問題に加えて、20 件以上の不具合の修正や改善などを施しています。


担当:寺田、大西/HIRT