更新日:<2018.12.03>
Thunderbird 60.3.2 では、Mac 版での AppleDouble 形式の添付ファイル送信、アドレスブックやメッセージのエスクポート、日付表示、本文の検索やフィルタなどでの不具合を修正しています。セキュリティアップデートは含まれていません。
Windows 版 iCloud 7.8.1 は不具合の修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。
商業施設、重要製造業、エネルギー、情報技術、輸送分野で利用されている中国 INVT Electric(invt.com) の HMI ビルダ VT-Designer には、信頼できないデータのデシリアライゼーション (CWE-502)、ヒープオーバーフロー (CWE-122) に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2018-18983、CVE-2018-18987) が存在します。
商業施設、重要製造業、エネルギー分野で利用されている英 AVEVA(aveva.com) の FA、BA 分野の監視・管理システム向け製品である Vijeo Citect、Citect SCADA には、制御されていない検索パス問題 (CWE-427) に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2018-7799) が存在します。
ライセンス管理製品であるPrime License Manager には、SQL インジェクション問題 (CWE-89) に起因して、データベースの不正操作や postgres ユーザ権限でのシェルアクセスを許してしまう脆弱性 (CVE-2018-15441) が存在します。
キャッシュ DNS サーバである Recursor 4.1.8 では、不正な DNS 要求を受信した場合に、サービス不能攻撃を許してしまう脆弱性 (CVE-2018-16855) を解決しています。この問題は、不正な DNS 要求を処理する際に、領域外のメモリ参照 (out-of-bounds read: CWE-125) が発生し、異常終了する可能性があるというものです。
Samba 4.9.3、4.8.7、4.7.12 では、サービス不能攻撃を許してしまう問題、パスワードのロックアウト処理にかかわる問題、計 6 件の脆弱性を解決しています。報告されている脆弱性は、Active Directory に関連してサービス不能攻撃を許してしまう問題 (CVE-2018-14629、CVE-2018-16841、CVE-2018-16851、CVE-2018-16852、CVE-2018-16853)、間違ったパスワードもデフォルトでは 30 分記憶してしまうために、パスワードのロックアウト処理が効果的に機能しない可能性があるという問題 (CVE-2018-16857) です。
Red Hat 製品でサポートされている Java (java-1.7.1-ibm) のセキュリティアップデート (RHSA-2018:3671, RHSA-2018:3672)(深刻度:緊急) がリリースされました。このアップデートでは、10 月の Critical Patch Update で報告され、Java SE 7 Update 201 で解決した脆弱性に対応しています。
担当:寺田、大西/HIRT
