更新日:<2019.03.25>
Firefox 66.0.1 では、1 件のセキュリティアドバイザリに含まれる計 2 件の任意のコード実行を許してしまう脆弱性を解決しています。任意のコード実行は、バッファオーバーフロー、型の取り違え (type confusion: CWE-843) の問題に起因しています。また、ESR として脆弱性を解決したバージョン ESR 60.6.1 をリリースしました。
Thunderbird 60.6.0 では、カレンダーでの不具合を修正しています。セキュリティアップデートは含まれていません。
Firefox 66.0 では、任意のコード実行、サービス不能攻撃、情報漏洩、なりすまし、セキュリティ機能の迂回を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 21 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。また、ESR として脆弱性を解決したバージョン ESR 60.6 をがリリースしました。。
バージョン 73 がリリースされました。Chrome 73.0.3683.75 では、メモリの解放後使用 (use-after-free: CWE-416)、型の取り違え (type confusion: CWE-843)、ヒープオーバーフロー (CWE-122)、整数オーバーフロー (CWE-190)、領域外のメモリ参照 (out-of-bounds read: CWE-125)、競合 (race condition: CWE-362)、セキュリティ機構の迂回、なりすましを許してしまう問題など、計 60 件の脆弱性 (CVE-2019-5787 〜 CVE-2019-5804 他) を解決しています。
公共衛生・ヘルスケア分野で利用されているアイルランド Medtronic (medtronic.com) の Conexus Telemetry Protocol を実装した製品には、適切でないアクセス制御 (CWE-284) に起因して不正アクセスを許してしまう脆弱性 (CVE-2019-6538)、重要な情報を平文のまま転送している問題 (CWE-319) に起因して情報漏洩を許してしまう脆弱性 (CVE-2019-6540) が存在します。影響を受ける製品は、MyCareLink Monitor、CareLink Monitor、CareLink Programmer、植込み型除細動器 (ICD)、両室ペーシング機能付き植込み型除細動器 (CRT-D) などです。
情報技術分野で利用されている米 Columbia Weather Systems (columbiaweather.com) の気象観測機器と連携する気象監視用のハードウェア製品である Weather MicroServer には、情報漏洩、任意のコード実行、サービス不能攻撃を許してしまう脆弱性 (CVE-2018-18875 〜 CVE-2018-18880) が存在します。報告されている脆弱性は、クロスサイトスクリプティング問題 (CWE-79)、ディレクトリトラバーサル問題 (CWE-22)、適切でない認証 (CWE-287)、適切でない入力確認 (CWE-20)、コードインジェクション問題 (CWE-94) です。
商業施設、重要製造業、エネルギー、輸送、上下水道分野で利用されている英 AVEVA(aveva.com) の HMI SCADA ソフトウェア InduSoft Web Studio、InTouch Machine Edition には、制御されていない検索パス問題 (CWE-427) に起因して ux32w.dll を利用して任意のコード実行を許してしまう複数の脆弱性 (CVE-2019-6534) が存在します。
IP Phone 7800、8800 シリーズの SIP 管理用 Web UI には、サービス不能攻撃や任意のコード実行を許してしまう脆弱性 (CVE-2019-1716) が存在します。また、IP Phone 8800 シリーズの SIP 管理用 Web UI には、クロスサイトリクエストフォージェリ問題 (CWE-352)、ディレクトリトラバーサル問題 (CWE-22)、適切でないアクセス制御 (CWE-284) やファイルアップロード処理での適切でない入力確認 (CWE-20) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-1763 〜 CVE-2019-1766) が存在します。
新しい安定版ブランチである BIND 9.14.0 がリリースされました。このバージョンでは、新しいプラグイン機構、secondary zone、トラストアンカーの状況を調べる root key sentinel 機構、--enable-fips-mode 設定オプション、キャッシュの取り扱いに関する min-cache-ttl、min-ncache-ttl 設定オプション、DNS COOKIE オプション処理などがサポートされました。一方、EDNS0 なしで再問い合わせするワークアラウンド処理、filter-aaaa、filter-aaaa-on-v4、filter-aaaa-on-v6 オプションなどが削除され、OpenSSL 0.9.x のサポートを終了しました。
DNS コンテンツサーバ (権威 DNS サーバ) である PowerDNS Authoritative Server 4.0.7、4.1.7 では、不正な DNS 要求パケットを利用することで、攻撃者が指定した HTTP バックエンドホストに接続することを許してしまう脆弱性 (CVE-2019-3871) を解決しています。
Samba 4.10.0 では、samba-tool gpo backup、オフラインオプションなど GPO コマンドの追加、KDC での prefork、DCERPC での Netlogon prefork のサポート、グループメンバーシップの統計、Python 3 のサポートなどの機能強化を施しています。セキュリティアップデートは含まれていません。
Tomcat 9.0.17、8.5.39 は、不具合の修正や改善を目的としたリリースです。これらのバージョンでは、APR/Native connector での OpenSSL、JSSE TLS サポート、NIO2 の改善、HTTP/2 push 要求処理での不具合の修正などを施しています。リリース時点で、セキュリティアップデートの報告はありません。
Red Hat 製品でサポートされている Firefox のセキュリティアップデート (RHSA-2019:0622、RHSA-2019:0623)(深刻度:緊急) がリリースされました。このアップデートでは、Firefox ESR 60.6 で解決した脆弱性に対応しています。
Drupal 8.6.13、8.5.14、7.65 では、ファイルモジュール、サブシステムにおいて、アップロードしたファイルを起点としたクロスサイトスクリプティング問題 (CWE-79) を解決しています。3月14日にリリースされた Drupal 8.5.13 では、Twig ライブラリのアップデートで発生した不具合の修正をしています。
担当:寺田、大西/HIRT
