ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.01.14>

更新日:<2019.01.14>

(C01) Mozilla

Firefox 64.0.2 リリース (2019/01/09)

Firefox 64.0.2 では、Mac 版での異常終了、Web 開発のインスペクターや Youtube ビデオ機能などでの不具合を修正しています。セキュリティアップデートは含まれていません。

(C02) アドビ システムズ製品

Adobe Flash Player 32.0.0.114 リリース (2019/01/08)

Adobe Flash Player 32.0.0.114 は、不具合の修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。

Adobe Connect 10.1 リリース (2019/01/08)

Adobe Connect には、セッショントークンの漏洩を許してしまう脆弱性 (CVE-2018-19718) が存在します。

(C11) マイクロソフト製品

マイクロソフト 2019年 1月の月例セキュリティアップデート (2019/01/08)

2019年 1月の月例セキュリティアップデートでは 51 件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行 22 件、サービス不能 2 件、アクセス権限の昇格 11 件、なりすまし 3 件、情報漏洩 11 件、セキュリティ機構の迂回 0 件です。

(I02) 制御システム製品

Pilz の PNOZmulti Configurator (2019/01/10)

多分野で利用されているドイツ Pilz (pilz.com) の PNOZmulti 制御システムコンフィグレーション製品である PNOZmulti Configurator には、重要な情報が平文のまま格納されている問題 (CWE-312) に起因して、情報漏洩を許してしまう脆弱性 (CVE-2018-19009) が存在します。

オムロンの CX-One (2019/01/10)

重要製造業分野で利用されているオムロン (omron.co.jp) の FA 統合ツールパッケージである CX-One には、プロジェクトファイル処理に型の取り違え (type confusion: CWE-843) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2018-19027) が存在します。

Emerson の DeltaV DCS ワークステーション (2019/01/10)

化学、重要製造業、エネルギー分野で利用されている Emerson (emerson.com) の分散型制御システム (DCS) Delta-V のワークステーションには、ブルートフォース攻撃により認証機能の迂回を許してしまう問題 (CWE-307) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2018-16196) が存在します。

Schneider Electric の IIoT Monitor (2019/01/08)

商業施設、重要製造業、エネルギー、輸送分野で利用されている仏 Schneider Electric (schneider-electric.com) の Industrial Internet of Things 向け製品である IIoT Monitor には、ディレクトリトラバーサル問題 (CWE-22)、適切でないアップロートファイル制限 (CWE-434)、外部に置かれたファイルを呼び出す XXE (Xml eXternal Entity) 問題 (CWE-611) に起因して任意のファイルアップロードや情報漏洩を許してしまう複数の脆弱性 (CVE-2018-7835、CVE-2018-7836、CVE-2018-7837) が存在します。

Schneider Electric の Zelio Soft 2 (2019/01/08)

重要製造業分野で利用されている仏 Schneider Electric (schneider-electric.com) のラダープログラム用プログラミングソフトウェア Zelio Soft 2 には、メモリの解放後使用 (use-after-free: CWE-416) に起因して任意のコード実行を許してしまう複数の脆弱性 (CVE-2018-7817) が存在します。

Tridium の Niagara (2019/01/10)

商業施設、重要製造業、政府施設、情報技術分野で利用されている米 Tridium (tridium.com) の ビルディングオートメーション統合のためのソフトウェア Niagara には、クロスサイトスクリプティング問題 (CWE-79) に起因する脆弱性 (CVE-2018-18985) が存在します。

(S01) シスコ製品

Email Security Appliance (2019/01/09)

電子メールセキュリティのアプライアンス製品である Email Security Appliance には、S/MIME 処理にはメモリ破損に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2018-15453)、URL ホワイトリスト処理にサービス不能攻撃を許してしまう脆弱性 (CVE-2018-15460) が存在します。

(S09) PHP

PHP 7.3.1、7.2.14、7.1.26、5.6.40 リリース (2019/01/10)

PHP 7.3.1、7.2.14、7.1.26、5.6.40 では、Core、IMAP、GD、Mbstring、Phar、Xmlrpc などのコンポーネントに存在する計 33 件、26 件、14 件、12 件の不具合を修正しています。不具合の中には、NULL ポインタ参照 (NULL pointer dereference:CWE-476)、ヒープオーバーフロー (CWE-122)、メモリの解放後使用 (use-after-free:CWE-416) が含まれています。

(S21) Web アプリケーションならびに CMS

WordPress 5.0.3 リリース (2019/01/09)

WordPress 5.0.3 は、不具合の修正や改善を目的としたリリースで、ブロックエディタ、PHP エラー、ファイルアップロートなど、計 37 件の修正と改善が施されました。セキュリティアップデートは含まれていません。

(S23) SAP 製品

SAP Security Patch Day - January 2019 (2019/01/08)

11 件のセキュリティノートがリリースされています。該当する製品は、SAP Cloud Connector、SAP Landscape Management、SAP BW/4HANA、SAP Financial Consolidation Cube Designer、SAP Commerce (ex. SAP Hybris Commerce)、SAP Work Manager、SAP CRM WebClient UI、SAP Business Objects Mobile for Android、SAP Gateway of ABAP Application Server、SAP Enterprise Financial Services です。報告されている脆弱性は、情報漏洩 (CVE-2019-0243、CVE-2018-2499、CVE-2019-0248)、クロスサイトスクリプティング問題 (CWE-79)(CVE-2019-0238、CVE-2019-0245、CVE-2019-0244)、サービス不能攻撃 (CVE-2019-0241、CVE-2019-0240)、適切でない認可の検証 (CVE-2018-2484) などです。


担当:寺田、大西/HIRT