ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.02.04>

更新日:<2019.02.04>

(C01) Mozilla

Thunderbird 60.5 リリース (2019/01/29)

Thunderbird 60.5 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、アクセス権限の昇格、を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 4 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。

Firefox 65.0、ESR 60.5 リリース (2019/01/29)

Firefox 65.0 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、アクセス権限の昇格、セキュリティ機構の迂回を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 7 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。また、ESR として脆弱性を解決したバージョン ESR 60.5 がリリースされました。

(C10) Google Chrome

Google Chrome 72.0.3626.81 リリース (2019/01/29)

バージョン 72 がリリースされました。Chrome 72.0.3626.81 では、メモリの解放後使用 (use-after-free: CWE-416)、型の取り違え (type confusion: CWE-843)、ヒープオーバーフロー (CWE-122)、スタックオーバーフロー (CWE-121)、ポリシー適用が十分でない問題など、計 58 件の脆弱性 (CVE-2019-5754 〜 CVE-2019-5783 他) を解決しています。

(I01) ヘルスケア製品

Becton, Dickinson and Company の FACSLyric (2018/01/29)

公共衛生・ヘルスケア分野で利用されている米 Becton, Dickinson and Company (bd.com) のフローサイトメーター (臨床検査用高性能アナライザー) FACSLyric には、適切でないアクセス制御 (CWE-284) に起因して管理者レベル機能への不正アクセスを許してしまう脆弱性 (CVE-2019-6517) が存在します。

Stryker の医療用ベッド (2018/01/29)

公共衛生・ヘルスケア分野で利用されている米 Stryker (stryker.com) の WPA2 プロトコルを使用可能な iBed 無線機能の付いた医療用ベッドには、KRACK (Key Reinstallation Attacks) 問題で報告された暗号化処理における Nonce や鍵ペアの再利用 (CWE-323) の脆弱性 (CVE-2017-13077 〜 CVE-2017-13082、CVE-2017-13086 〜 CVE-2017-13088) が存在します。悪用された場合、暗号化された通信からの情報漏洩やデータの改ざんを許してしまう可能性があります。

(I02) 制御システム製品

IDenticard の PremiSys (2019/01/31)

商業施設、政府施設、公共衛生・ヘルスケア、上下水道分野で利用されている米 IDenticard (identicard.com) のビル向けセキュリティシステム PremiSys には、資格情報がハードコーディングされている問題 (CWE-798)、パスワードがハードコーディングされている問題 (CWE-259)、強度を持った暗号化方式で保護していない問題 (CWE-326) に起因して不正アクセスや情報漏洩などを許してしまう複数の脆弱性 (CVE-2019-3906 〜 CVE-2019-3908) が存在します。

Schneider Electric の EVLink Parking (2019/01/31)

輸送分野で利用されている仏 Schneider Electric (schneider-electric.com) の EV 充電器 EVLink Parking には、資格情報がハードコーディングされている問題 (CWE-798)、コードインジェクション問題 (CWE-94)、SQL インジェクション問題 (CWE-89) に起因して不正アクセスや任意のコード実行などを許してしまう複数の脆弱性 (CVE-2018-7800 〜 CVE-2018-7802) が存在します。

AVEVA の Wonderware System Platform (2019/01/29)

化学、重要製造業、エネルギー、農業・食料、上下水道分野で利用されている英 AVEVA (aveva.com) の産業オートメーションシステムの構築基盤 Wonderware System Platform には、十分でない資格情報保護 (CWE-522) に起因して ArchestrA Network のユーザアカウント漏洩を許してしまう脆弱性 (CVE-2019-6525) が存在します。

三菱電機の MELSEC-Q シリーズ PLC (2019/01/29)

重要製造業分野で利用されている三菱電機の MELSEC-Q シリーズ PLC には、適切でないリソース消費制限 (CWE-400) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-6535) が存在します。ポート番号 5007 の不正なパケットを受信した際に、影響を受ける可能性があります。

横河電機 ライセンスマネージャサービス (2019/01/29)

重要製造業、エネルギー、農業・食料分野で利用されている横河電機 (yokogawa.co.jp) のライセンスマネージャサービスには、適切でないアップロートファイル制限 (CWE-434) に起因して任意のファイル作成/上書きを許してしまう脆弱性 (CVE-2019-5909) が存在します。悪用された場合、任意のコード実行を許してしまう可能性があります。

(S10) Ruby

Ruby 2.6.1 リリース (2019/01/30)

Ruby 2.6.1 は、不具合の修正や改善を目的としたリリースです。セキュリティアップデートは含まれていません。

(S20) Red Hat

Red Hat (2019/02/04)

Red Hat 製品でサポートされている Firefox のセキュリティアップデート (RHSA-2019:0218、RHSA-2019:0219))(深刻度:緊急) がリリースされました。このアップデートでは、Firefox 60.5 ESR で解決した脆弱性に対応しています。


担当:寺田、大西/HIRT