チェックしておきたい脆弱性情報 ＜2019.01.14＞

Firefox 64.0.2 では、Mac 版での異常終了、Web 開発のインスペクターや Youtube ビデオ機能などでの不具合を修正しています。セキュリティアップデートは含まれていません。

• Firefox 64.0.2

Adobe Flash Player 32.0.0.114 は、不具合の修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。

• APSB19-01: Adobe Flash Player に関するアップデート公開
• ADV190001 | 2019年 1月の Adobe Flash の更新プログラム

Adobe Connect には、セッショントークンの漏洩を許してしまう脆弱性 (CVE-2018-19718) が存在します。

• APSB19-05: Adobe Connect 用のセキュリティアップデート公開

2019年 1月の月例セキュリティアップデートでは 51 件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行 22 件、サービス不能 2 件、アクセス権限の昇格 11 件、なりすまし 3 件、情報漏洩 11 件、セキュリティ機構の迂回 0 件です。

• 2019年 1月のセキュリティ情報

多分野で利用されているドイツ Pilz (pilz.com) の PNOZmulti 制御システムコンフィグレーション製品である PNOZmulti Configurator には、重要な情報が平文のまま格納されている問題 (CWE-312) に起因して、情報漏洩を許してしまう脆弱性 (CVE-2018-19009) が存在します。

• ICSA-19-010-03: Pilz PNOZmulti Configurator

重要製造業分野で利用されているオムロン (omron.co.jp) の FA 統合ツールパッケージである CX-One には、プロジェクトファイル処理に型の取り違え (type confusion: CWE-843) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2018-19027) が存在します。

• ICSA-19-010-02: Omron CX-One CX-Protocol

化学、重要製造業、エネルギー分野で利用されている Emerson (emerson.com) の分散型制御システム (DCS) Delta-V のワークステーションには、ブルートフォース攻撃により認証機能の迂回を許してしまう問題 (CWE-307) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2018-16196) が存在します。

• ICSA-19-010-01: Emerson DeltaV

商業施設、重要製造業、エネルギー、輸送分野で利用されている仏 Schneider Electric (schneider-electric.com) の Industrial Internet of Things 向け製品である IIoT Monitor には、ディレクトリトラバーサル問題 (CWE-22)、適切でないアップロートファイル制限 (CWE-434)、外部に置かれたファイルを呼び出す XXE (Xml eXternal Entity) 問題 (CWE-611) に起因して任意のファイルアップロードや情報漏洩を許してしまう複数の脆弱性 (CVE-2018-7835、CVE-2018-7836、CVE-2018-7837) が存在します。

• ICSA-19-008-02: Schneider Electric IIoT Monitor

重要製造業分野で利用されている仏 Schneider Electric (schneider-electric.com) のラダープログラム用プログラミングソフトウェア Zelio Soft 2 には、メモリの解放後使用 (use-after-free: CWE-416) に起因して任意のコード実行を許してしまう複数の脆弱性 (CVE-2018-7817) が存在します。

• ICSA-19-008-01: Schneider Electric Zelio Soft 2

商業施設、重要製造業、政府施設、情報技術分野で利用されている米 Tridium (tridium.com) の ビルディングオートメーション統合のためのソフトウェア Niagara には、クロスサイトスクリプティング問題 (CWE-79) に起因する脆弱性 (CVE-2018-18985) が存在します。

• ICSA-18-333-02: Tridium Niagara Enterprise Security, Niagara AX, and Niagara 4

電子メールセキュリティのアプライアンス製品である Email Security Appliance には、S/MIME 処理にはメモリ破損に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2018-15453)、URL ホワイトリスト処理にサービス不能攻撃を許してしまう脆弱性 (CVE-2018-15460) が存在します。

• cisco-sa-20190109-esa-dos: Cisco Email Security Appliance Memory Corruption Denial of Service Vulnerability
• cisco-sa-20190109-esa-url-dos: Cisco Email Security Appliance URL Filtering Denial of Service Vulnerability

PHP 7.3.1、7.2.14、7.1.26、5.6.40 では、Core、IMAP、GD、Mbstring、Phar、Xmlrpc などのコンポーネントに存在する計 33 件、26 件、14 件、12 件の不具合を修正しています。不具合の中には、NULL ポインタ参照 (NULL pointer dereference：CWE-476)、ヒープオーバーフロー (CWE-122)、メモリの解放後使用 (use-after-free：CWE-416) が含まれています。

• PHP 7.3.1 Released
• PHP 7.2.14 Released
• PHP 7.1.26 Released
• PHP 5.6.40 Released

WordPress 5.0.3 は、不具合の修正や改善を目的としたリリースで、ブロックエディタ、PHP エラー、ファイルアップロートなど、計 37 件の修正と改善が施されました。セキュリティアップデートは含まれていません。

• WordPress 5.0.3 Maintenance Release

11 件のセキュリティノートがリリースされています。該当する製品は、SAP Cloud Connector、SAP Landscape Management、SAP BW/4HANA、SAP Financial Consolidation Cube Designer、SAP Commerce (ex. SAP Hybris Commerce)、SAP Work Manager、SAP CRM WebClient UI、SAP Business Objects Mobile for Android、SAP Gateway of ABAP Application Server、SAP Enterprise Financial Services です。報告されている脆弱性は、情報漏洩 (CVE-2019-0243、CVE-2018-2499、CVE-2019-0248)、クロスサイトスクリプティング問題 (CWE-79)(CVE-2019-0238、CVE-2019-0245、CVE-2019-0244)、サービス不能攻撃 (CVE-2019-0241、CVE-2019-0240)、適切でない認可の検証 (CVE-2018-2484) などです。

• SAP Security Patch Day - January 2019

• HIRT-PUB
• 活動参考資料
• CSIRTメモ