更新日:<2019.04.22>
2019年 4月の Critical Patch Update で報告された脆弱性 5 件のうち、認証操作なしでリモートからの攻撃を許してしまう脆弱性の件数は 5 件です。このうち、Java SE 8 Update 211 には、ライブラリ、RMI、2D、Windows DLL に関する計 5 件のセキュリティアップデートが含まれています。このアップデートでは、新元号のサポート、GlobalSign R6 ルート証明書の追加、Symantec ルートによりアンカーされている TLS サーバ証明書の信頼停止などがされました。同時にリリースされた Java SE 8 Update 212 には、セキュリティアップデートに加えて複数バグの修正が含まれています。また、2 件の脆弱性を解決する Java SE 11.0.3、12.0.1 がリリースされました。
PLC 製品に、適切でないリソース消費制限 (CWE-400) に起因してサービス不能攻撃を許してしまう脆弱性が報告されています。この問題は、大量パケットがネットワークに送信された際、ネットワーク高負荷により CPU 処理能力が浪費され、設定したサイクルタイムなど、機器の通常の動作に影響を与えるというものです。ABB、Phoenix Contact、Schneider Electric、Siemens、WAGO の PLC 製品が影響を受けるとしています。
商業施設、重要製造業、エネルギー、輸送分野で利用されている独 WAGO (wago.com) の インテリジェントリモート I/O 製品 WAGO-I/O-SYSTEM 750 シリーズには、文書化されていない資格情報がハードコーディングされている問題 (CWE-798)(CVE-2019-10712) が存在します。同梱されている Web 管理インタフェースならびに FTP サービス経由で悪用される可能性があります。
重要製造業分野で利用されている台湾 Delta Electronics (deltaww.com) のスクリーン表示のカスタマイズやセットアップを支援する CNCSoft には、スタックオーバーフロー (CWE-121)、ヒープオーバーフロー (CWE-122) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-10947、CVE-2019-10951)、領域外のメモリ参照 (out-of-bounds read: CWE-125) に起因して情報漏洩を許してしまう脆弱性 (CVE-2019-10949) が存在します。
IT インフラの性能監視分析を行う Hitachi Infrastructure Analytics Advisor には、認可・権限・アクセス制御、ディレクトリトラバーサル問題 (CWE-22)、ファイルパーミッションの問題に起因して情報漏洩や改ざんを許してしまう脆弱性 (CVE-2014-0107、CVE-2016-5007、CVE-2016-9878) が存在します。
Cisco AP-COS オペレーティングシステムが稼働する Cisco Aironet シリーズの CLI 処理には、適切でない入力確認 (CWE-20) に起因して管理者権限での不正アクセスを許してしまう脆弱性 (CVE-2019-1654) が存在します。
コラボレーション サービス、テレプレゼンス会議を実現する Expressway シリーズ、TelePresence Video Communication Server (VCS) の SIP 処理には、不正な XML データを含むパケット処理が適切でないことに起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-1721) が存在します。
Wireless LAN Controller には、複数の脆弱性が存在します。報告されている脆弱性は、Web 管理インタフェースのクロスサイトリクエストフォージェリ問題 (CWE-352)(CVE-2019-1797)、IAPP (Inter-Access Point Protocol) 処理のサービス不能攻撃を許してしまう脆弱性 (CVE-2019-1796、CVE-2019-1799、CVE-2019-1800)、設定用 GUI 処理に存在するサービス不能攻撃を許してしまう脆弱性 (CVE-2018-0248) が存在します。
Aggregation Services Router 9000 シリーズ用 Cisco IOS XR 64 ビット版には、サービス不能攻撃を許してしまう脆弱性 (CVE-2019-1710) が存在します。この問題は、ASR 9000 上で稼働する sysadmin 仮想環境に関するもので、二次管理インタフェースが誤って分離されていることによるものです。
Oracle Critical Patch Update Advisory - April 2019 には、Database Server 系 6 件、Fusion Middleware 系 53 件、Applications 系 71 件、仮想化系 15 件、MySQL 系 45 件、Java SE 系 5 件、、計 297 件のセキュリティアップデートが含まれています。認証操作なくリモートからの攻撃を許してしまう脆弱性の件数は計 208 件となっています。
OpenSSH 8.0、8.0p1 では、scp のなりすましを許してしまう脆弱性 (CVE-2019-6111) の緩和策を含んでいます。脆弱性は、リモートからローカルにファイルをコピーする際に、サーバが送信したファイル名をクライアントが要求するものと一致するかどうかを検証していないというものです。ファイル転送には scp の代わりに sftp や rsync の利用を推奨しています。また、ssh、sshd での実験的な量子コンピューティング耐性鍵交換の導入、ssh-keygen のデフォルトの RSA 鍵のサイズを 3072 ビットに変更するなどの機能強化を施しています。
Ruby 2.6.3 は、不具合の修正や、日本の新元号「令和」のサポート、Unicode、date ライブラリの更新など改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。
Tomcat 9.0.19 では、Windows 環境下で任意のコード実行を許してしまう脆弱性 (CVE-2019-0232) を解決しています。この問題は、enableCmdLineArguments を有効としている場合に、CGI Servlet が影響を受けます。また、このバージョンでは、JSP コンパイラに Java 11 のサポートを追加、NIO2 の改善などを施しています。なお、9.0.18 はリリースされていません。
Drupal 8.6.15 では、PHP テンプレートエンジンにおけるクロスサイトスクリプティング問題 (CWE-79)(CVE-2019-10909) を解決し、アプリケーションフレームワーク Symfony に存在する、任意のコード実行を許してしまう脆弱性 (CVE-2019-10910)、なりすましを許してしまう脆弱性 (CVE-2019-10911) に対応しています。Drupal 7.66 では、アプリケーションフレームワーク Symfony に存在する脆弱性に対応しています。
担当:寺田、大西/HIRT
