ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2017.04.10>

更新日:<2017.04.10>

(C01) Mozilla

Firefox 52.0.2、ESR 52.0.2 リリース (2017/03/28)

Firefox 52.0.2 では、セッション復元時にタブ上のサイトアイコンが読み込まれない問題、Linux での起動時の異常終了に関連する動作不具合などを修正しています。セキュリティアップデートは含まれていません。

(C08) アップル製品

Android 版 Apple Music 2.0 リリース (2017/04/04)

Android 版 Apple Music 2.0 では、情報漏洩を許してしまう脆弱性 (CVE-2017-2387) を解決しています。この問題は、X.509 証明書の検証が適切でないことに起因しています。

iOS 10.3.1 リリース (2017/04/03)

iOS 10.3.1 では、スタックオーバーフロー (CWE-121) に起因して、通信範囲内にいる攻撃者から Wi-Fi チップに対して任意のコード実行を許してしまう脆弱性 (CVE-2017-6975) を解決しています。

(I02) 制御システム製品

Certec EDV の Atvise scada (2017/04/06)

重要製造業分野などで利用されているオーストリア Certec EDV(atvise.com) の Atvise scada には、HTTP ヘッダへのインジェクションに起因して、任意のコード実行を許してしまう脆弱性 (CVE-2017-6031)、クロスサイトスクリプティング問題 (CWE-79)(CVE-2017-6029) が存在します。Atvise scada は、Web ベースの SCADA 製品です。

Rockwell Automation の産業用イーサネットスイッチ製品 (2017/04/04)

重要製造業、エネルギー、上下水道分野などで利用されている米 Rockwell Automation (rockwellautomation.com) の産業用イーサネットスイッチ Allen-Bradley Allen-Bradley Stratix、Allen-Bradley ArmorStratix には、サービス不能攻撃や任意のコード実行を許してしまう脆弱性 (CVE-2017-3881) が存在します。不正な CMP 仕様の Telnet オプションを使用してセッションが開始されると、脆弱性を悪用される可能性があります。

Marel の食品加工製品 (2017/04/04)

農業・食料分野などで利用されているアイスランド Marel (marel.com) の M3000 を利用している食品加工製品には、パスワードがハードコーディングされている問題 (CWE-259)(CVE-2016-9358)、許可なしに不正な操作や任意のファームウェアのアップロードを許してしまう脆弱性 (CVE-2017-6041) が存在します。

Schneider Electric の IGSS (2017/04/04)

重要製造業、エネルギー分野などで利用されている仏 Schneider Electric (schneider-electric.com) のオブジェクト指向型でマウス操作が可能な SCADA システムの IGSS (Interactive Graphical SCADA System) には、DLL (ダイナミックリンクライブラリ) ファイルを読み込む際に、攻撃者により細工された外部 DLL の読み込みを許してしまう問題 (DLL プリロード攻撃) が発生し得る脆弱性 (CWE-427)(CVE-2017-6033) が存在します。

(S01) シスコ製品

Wireless LAN Controller (2017/04/05)

セキュリティ対策やサービス品質などの機能を提供する Wireless LAN Controller (WLC) 製品群には、サービス不能攻撃を許してしまう脆弱性が存在します。報告されている脆弱性のうち、802.11 Wireless Multimedia Extensions 処理 (CVE-2016-9194)、IPv6 UDP パケット処理 (CVE-2016-9219) については、不正なパケットを受信した場合に Web 管理インタフェース (CVE-2017-3832) については、不正な URL を受信した場合に影響を受ける可能性があります。

Aironet 1830/1850 シリーズ (2017/04/05)

Cisco Mobility Express ソフトウェアが稼働する Cisco Aironet 1830/1850 シリーズには、デフォルトパスワードが設定されたデフォルトアカウントの脆弱性 (CVE-2017-3834) が存在します。SSH 接続によって、脆弱性を悪用される可能性があります。

(S13) Tomcat

Tomcat 8.0.43、7.0.77、6.0.53 リリース (2017/04/02)

Tomcat 8.0.40、7.0.74、6.0.53 は、バグの修正や改善を目的としたリリースです。8.0.43、7.0.77 では、HTTP Strict Transport Security に対応するフィルタ機能 HttpHeaderSecurityFilter の導入などを施しています。Tomcat 6.0.x については、2016年12月 31 日に EOL (End-Of-Life) となっています。また、3 カ月後の 2017年 3月 30 日以降、サイトから削除することがアナウンスされています。

(S19) Squid

Squid 3.5.25 リリース (2017/04/02)

Squid 3.5.25 は、バグの修正を目的としたリリースです。認証を伴う CONNECT 処理に作り込まれてしまった不具合、FTP 処理での不具合などを修正しています。セキュリティアップデートは含まれていません。


担当:寺田、大西/HIRT