ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2017.03.06>

更新日:<2017.03.06>

(C08) 米アップル製品

Logic Pro X 10.3.1 リリース (2017/02/21)

Logic Pro X 10.3.1 では、不正な GarageBand プロジェクトファイルを読み込んだ際に、メモリ破損に起因して任意のコード実行などを許してしまう脆弱性 (CVE-2017-2374) を解決しています。

(I02) 制御システム製品

Siemens の SINUMERIK 製品 (2017/03/02)

独 Siemens (siemens.com) の SINUMERIK Integrate、SINUMERIK Operate には、中間者攻撃による情報漏洩ならびに改ざんを許してしまう問題 (CVE-2017-2685) が存在します。SINUMERIK 製品は、エネルギー、公共衛生・ヘルスケア、輸送分野などで利用されているコンピュータ数値制御システムのための製品です。

Schneider Electric の Conext ComBox (2017/03/02)

エネルギー分野などで利用されている仏 Schneider Electric (schneider-electric.com) の太陽光発電向けの遠隔監視装置である Conext ComBox には、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-6019) が存在します。この問題は、短い間隔でのアクセス繰り返しで、機器が再起動することによるものです。

Eaton の xComfort Ethernet (2017/03/02)

商業施設分野などで利用されている米 Eaton (eaton.com) の xComfort Ethernet Communication Interface に搭載されている Web サーバには、情報漏洩を許してしまう脆弱性 (CVE-2017-9368) が存在します。この問題は、不正な URL アクセスにより、認証操作なしでファイルが参照可能になるというものです。

Siemens の RUGGEDCOM NMS (2017/02/28)

ネットワークを監視・設定・保守する独 Siemens (siemens.com) の RUGGEDCOM NMS の Web アプリケーションには、クロスサイトリクエストフォージェリ問題 (CWE-352)(CVE-2017-2682)、クロスサイトスクリプティング問題 (CWE-79)(CVE-2017-2683) が存在します。RUGGEDCOM NMS は、エネルギー、公共衛生・ヘルスケア、輸送エネルギー分野などで利用されています。

(S01) シスコ製品

NetFlow Generation Appliance (2017/03/01)

フロー可視化のためのデータを生成する NetFlow Generation Appliance の SCTP(Stream Control Transmission Protocol) デコード処理には、SCTP パケットの検証が適切でないことに起因して、サービス不能攻撃を許してしまう脆弱性が存在します。回復には、コマンドラインから機器再起動が必要となります。

(S11) Samba

Samba 4.4.10 リリース (2017/03/01)

Samba 4.4.10 では、ctdb 関連、vfs、s3-smbd モジュールなどに存在するメモリの解放後使用 (use-after-free:CWE-416) など、計 28 件の不具合を修正しています。セキュリティアップデートは含まれていません。

(S16) VMware 製品

VMware セキュリティアップデート:VMSA-2017-0002 (2017/03/01)

Horizon DaaS には、DaaS クライアントのドライブやデバイスの共有を許してしまう脆弱性 (CVE-2017-4897) が存在します。この問題は、Horizon DaaS のデータの検証が適切でないことに起因するもので、不正な RDP ファイルをダウンロードさせ、DaaS クライアントを不正なサーバに接続させる必要があります。

(S20) Red Hat

Red Hat Enterprise Linux Server (v.6)(2017/03/01)

Red Hat Enterprise Linux Server に搭載されている仮想化環境を提供する qemu-kvm のセキュリティアップデート (RHSA-2017:0352) では、領域外のメモリ参照 (out-of-bounds read:CWE-125) に起因して、任意のコード実行やサービス不能攻撃を許してしまう脆弱性 (CVE-2017-2620) を解決しています。


担当:寺田、大西/HIRT