ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2017.02.13>

更新日:<2017.02.13>

(C01) Mozilla

Firefox 51.0.3 リリース (2017/02/09)

Firefox 51.0.3 は、Android 版のみのリリースです。キャッシュディレクトリが world-writable に設定されている脆弱性 (CVE-2017-5397) を解決しています。

Thunderbird 45.7.1 リリース (2017/02/07)

Thunderbird 45.7.1 では、バージョン45.7で導入されたIMAPメッセージ表示機能の異常終了に関連する動作不具合を修正しています。セキュリティアップデートは含まれていません。

(I01) ヘルスケア製品

Becton, Dickinson and Company の Alaris 8015 (2017/02/07)

公共衛生・ヘルスケア分野などで利用されている米 Becton, Dickinson and Company (bd.com) の輸液関連製品である Alaris 8015 PC ユニットのバージョン 9.7 には、暗号化されていない資格情報や重要なデータが機器の内部フラッシュメモリに格納されている問題 (CVE-2016-8375) が存在します。また、バージョン 9.5 ならびに、それ以前の場合には、資格情報や重要なデータが機器のリムーバブルなフラッシュメモリに格納されている問題 (CVE-2016-9355) が存在します。

Becton, Dickinson and Company の Alaris 8000 (2017/02/07)

公共衛生・ヘルスケア分野などで利用されている米 Becton, Dickinson and Company (bd.com) の輸液関連製品である Alaris 8000 には、暗号化されていない資格情報や重要なデータが機器の内部フラッシュメモリに格納されている問題 (CVE-2016-8375) が存在します。

(I02) 制御システム製品

Hanwha Techwin の Smart Security Manager (2017/02/09)

韓国 Hanwha Techwin(hanwha-security.com) の Smart Security Manager には、任意のコード実行を許してしまうディレクトリトラバーサル問題 (CVE-2017-5168)(CWE-22)、クロスサイトリクエストフォージェリ問題 (CVE-2017-5169)(CWE-352) が存在します。Smart Security Manager は、マルチサイトおよびマルチクライアント構成による安定したビデオ監視システム管理機能を備えた製品です。

Sielco Sistemi の Winlog (2017/02/07)

イタリア Sielco Sistemi (sielcosistemi.com) の SCADA システム用 HMI (Human Machine Interface) パッケージである Winlog には、DLL (ダイナミックリンクライブラリ) ファイルを読み込む際に、攻撃者により細工された外部 DLL の読み込みを許してしまう問題 (DLL プリロード攻撃) が発生し得る脆弱性 (CVE-2017-5161) が存在します。

(S04) DNS [BIND/NSD/Unbound/PowerDNS]

BIND 9.11.0-P3、9.10.4-P6、9.9.9-P6 リリース (2017/02/08)

BIND 9.11.0-P3、9.10.4-P6、9.9.9-P6 では、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-3135) を解決しています。この問題は、DNS64 と RPZ(Response Policy Zones) 処理の不具合により、named が異常終了するというものです。双方の機能を使用している DNS サーバが、不正な DNS 要求を受信した場合に脆弱性を悪用される可能性があります。なお、デフォルトではいずれの機能も無効となっています。

(S15) PostgreSQL

PostgreSQL 9.6.2、9.5.6、9.4.11、9.3.16、9.2.20 リリース (2017/02/09)

これらのバージョンは、バグの修正を目的としたリリースです。CREATE INDEX CONCURRENTLY 処理に関連する競合問題の修正、ログ先行書き込み (WAL: Write Ahead Logging) の機能改善などを図っています。

(S18) Struts

Struts 2.5.10 リリース (2017/02/03)

このバージョンはバグの修正を目的としたリリースです。404/500 エラー、アップロード上限の変更、変換中の XSLT エラー処理の不具合などを解決しています。

(S20) Red Hat

Red Hat Enterprise Linux Server (v.6)(2017/02/06)

Red Hat Enterprise Linux Server に搭載されている spice-server、NTP のセキュリティアップデート (RHSA-2017:0253、RHSA-2017:0252) がリリースされました。デスクトップの仮想化を実現するサーバ機能 spice-server では、サービス不能攻撃や任意のコード実行を許してしまう 2 件の脆弱性 (CVE-2016-9577、CVE-2016-9578) を解決しています。NTP では、NTP 4.2.8p9 で解決したサービス不能攻撃 (CVE-2016-9311)、情報漏洩 (CVE-2016-9310)、アクセス制御やセキュリティ機構の迂回を許してしまう問題 (CVE-2016-7429、CVE-2016-7426) などに対応しています。

(S21) Web アプリケーションならびに CMS

WordPress REST API の脆弱性 (2017/02/01)

2月 1日、WordPress 4.7 ならびに 4.7.1 の REST API に、コンテンツ改ざんを許してしまう脆弱性が存在することが報告されました。なお、1月26日にリリースされた WordPress 4.7.2 で、この脆弱性を解決しています。WordPress サイトの改ざんについては、各所から注意喚起が発行されていますので、速やかにアップデートを実施してください。

zone-h.org に掲載された JP ドメインの件数
zone-h.org に掲載された JP ドメインの件数


担当:寺田、大西/HIRT