更新日:<2018.10.22>
10 月の Critical Patch Update で報告された脆弱性 12 件のうち、認証操作なしでリモートからの攻撃を許してしまう脆弱性の件数は 11 件です。このうち、Java SE 8 Update 191 には、セキュリティ、ネットワーク、JNDI、ユーティリティ、サウンド、ホットスポット、JSSE などに関する計 10 件のセキュリティアップデートが含まれています。このアップデートでは、DES TLS 暗号スイートの無効化、複数の Symantec ルート CA の削除、Baltimore Cybertrust コード署名証明書発行局の削除などが施されました。また、10 件の脆弱性を解決する Java SE 11.0.1 がリリースされました。
バージョン 70 がリリースされました。Chrome 70.0.3538.67 では、メモリ破損、ヒープオーバーフロー (CWE-122)、メモリの解放後使用 (use-after-free: CWE-416)、URL なりすまし、セキュリティ機構の迂回を許してしまう問題など、計 23 件の脆弱性 (CVE-2018-17462 〜 CVE-2018-17477、CVE-2018-5179 他) を解決しています。
エネルギー分野で利用されているオムロン (omron.co.jp) の制御システム向け製品である CX-Supervisor には、任意のコード実行を許してしまう複数の脆弱性 (CVE-2018-17905、CVE-2018-17907、CVE-2018-17909、CVE-2018-17913) が存在します。報告されている脆弱性は、メモリバッファ境界での適切でない操作制限 (CWE-119)、領域外のメモリ参照 (out-of-bounds read: CWE-125)、メモリの解放後使用 (use-after-free: CWE-416)、型の取り違えです。
化学、商業施設、エネルギー、農業・食料、輸送、上下水道分野で利用されているブラジル LCDS (laquisscada.com) の監視制御システム LAquis SCADA には、領域外のメモリ参照 (out-of-bounds read: CWE-125)、バッファオーバーフロー、ディレクトリトラバーサル問題 (CWE-22)、領域外メモリへの書き出し (out-of-bounds write: CWE-787)、スタックオーバーフロー (CWE-121)に起因して任意のコード実行を許してしまう脆弱性 (CVE-2018-17893、CVE-2018-17895、CVE-2018-17897、CVE-2018-17899、CVE-2018-17901、CVE-2018-17911) が存在します。
ストレージハードウェア管理製品である Hitachi Device Manager には、レンダリングされた UI 層での適切でない制限 (CWE-1021) に起因して、クリックジャッキングを許してしまう脆弱性が存在します。
10 月16日に公開された libssh の認証機構の迂回を許してしまう脆弱性 (CVE-2018-11776) の影響を報告しています。
Wireless LAN Controller の GUI 処理にアクセス権限の昇格を許してしまう脆弱性 (CVE-2018-0417)、CAPWAP (Control and Provisioning of Wireless Access Points) プロトコルの keepalive と Discovery 要求処理に情報漏洩とサービス不能攻撃を許してしまう脆弱性 (CVE-2018-0442、CVE-2018-0443) が存在します。
NX-OS ソフトウェアの SNMP 処理、Nexus 5500、5600、6000 シリーズに搭載した NX-OS ソフトウェアの PTP (Precision Time Protocol) 処理に、サービス不能攻撃を許してしまう (CVE-2018-0456、CVE-2018-0378) が存在します。不正な SNMP パケット、PTP フレームを受信した場合に影響を受ける可能性があります。
FXOS と NX-OS ソフトウェアの LLDP (Link Layer Discovery Protocol) 処理に、サービス不能攻撃を許してしまう (CVE-2018-0395) が存在します。不正な LLDP パケットを受信した場合に影響を受ける可能性があります。
IOS Access Points ソフトウェアのローミングイベント処理に、サービス不能攻撃を許してしまう (CVE-2018-0441) が存在します。不正な Reassociation イベントを受信した場合に影響を受ける可能性があります。
Oracle Critical Patch Update Advisory - October 2018 には、Database Server 系 7 件、Fusion Middleware 系 65 件、Applications 系 56 件、仮想化系 14 件、MySQL 系 38 件、Java SE 系 12 件、計 301 件のセキュリティアップデートが含まれています。認証操作なくリモートからの攻撃を許してしまう脆弱性の件数は計 191 件となっています。
OpenSSH 7.9、7.9p1 は、不具合の修正や改善を目的としたリリースです。このリリースでは、SSH プロトコルを介したシグナリングセッション、SHA256 ベースの鍵失効リストなどの新しい機能が導入されています。また、CASignatureAlgorithms オプションの追加、sshd の認証成功失敗ログ形式の微修正など、互換性のない変更も加えられています。
Ruby 2.5.2 のパッケージファイルにビルドに必要ないくつかのファイルが含まれていなかったことから、パッケージファイルを作りなおした 2.5.3 がリリースされました。
Ruby 2.5.2、2.4.5、2.3.8 では、セキュリティ機構の迂回、なりすましを許してしまう 2 件の脆弱性 (CVE-2018-16396、CVE-2018-16395) を解決しています。
Apache をはじめとした HTTP サーバと連携して、アプリケーションサーバに接続する Tomcat Connectors 1.2.46 がリリースされました。1.2.46 では、1.2.45 で作り込まれてしまったタイムアウトの不具合を修正しています。1.2.45 は、path パラメータ処理の最適化など、不具合の修正や改善を目的としたリリースです。
PostgreSQL 11.0 では、パーティショニングの強化、ストアドプロシージャでのトランザクション、クエリ並列処理の高性能化、JIT コンパイラのサポート、ユーザエクスペリエンスなどの機能改善が施されています。
VMware ESXi、Workstation、Fusion の SVGA デバイスに、領域外のメモリ参照 (out-of-bounds read: CWE-125) に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2018-6974) が存在します。
Struts 2.5.18 では、jar_cache ファイル処理に関する変更、XML 検証に関する互換性の不具合など、2.3.36 では XML 検証に関する互換性の不具合を修正しています。リリース時点で、セキュリティアップデートの報告はありません。
Red Hat 製品でサポートされている Java (java-1.8.0-openjdk)、Red Hat Fuse Integration Services のセキュリティアップデート (RHSA-2018:2942、RHSA-2018:2943、RHSA-2018:2939)(深刻度:緊急) がリリースされました。このアップデートでは、Java SE 8 Update 191 で解決した脆弱性に対応しています。また、OpenShift 内の統合マイクロサービスの開発、配備、管理を可能にする一連のツールを提供している Red Hat Fuse Integration Service では、Jackson Databind、Spring Framework、Tomcat 7.0.81、7.0.85、7.0.88 で解決した脆弱性に対応しています。
Drupal 8.6.2、7.60 は、バージョン 7 ならびに 8 に存在する複数の脆弱性を解決しています。報告されている問題は、アクセス制御機構の迂回、オープンリダイレクト問題、任意のコード実行を許してしまう脆弱性などです。
担当:寺田、大西/HIRT
