ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2017.06.26>

更新日:<2017.06.26>

(C01) Mozilla

Thunderbird 52.2.1 リリース (2017/06/23)

Thunderbird 52.2.1 では、52.2 から導入した Gmail 連携機能の不具合を修正しています。セキュリティアップデートは含まれていません。

(C10) Google Chrome

Google Chrome 59.0.3071.115 リリース (2017/06/26)

Chrome 59.0.3071.115 は、安定性、性能、セキュリティの改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。

Google Chrome 59.0.3071.109 リリース (2017/06/20)

Chrome 59.0.3071.109 は、安定性、性能、セキュリティの改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。

(I02) 制御システム製品

Siemens の XHQ (2017/06/22)

エネルギー分野などで利用されている独 Siemens (siemens.com) の操業管理を可視化する製品 XHQ (neXt generation HeadQuarters) には、適切でないアクセス制御 (CWE-284) に起因するデータアクセスを許してしまう脆弱性 (CVE-2017-6866) が存在します。

Siemens の SIMATIC CP 44x-1 (2017/06/22)

化学、重要製造業、農業・食料分野などで利用されている独 Siemens (siemens.com) の SIMATIC CP 44x-1 の Redundant Network Access モジュールには、ポート番号 102/TCP が利用できる場合、認証操作なしでリモートからの管理者操作を許してしまう脆弱性 (CVE-2017-6868) が存在します。Redundant Network Access モジュールは、SIMATIC S7-400 CPU を産業用イーサネットに接続する際に使用する製品です。

Ecava の IntegraXor (2017/06/20)

重要製造業、エネルギー、上下水道分野などで利用されているマレーシア Ecava (ecava.com) の Web ベースの SCADA システム用 HMI (Human Machine Interface) パッケージである IntegraXor には、SQL インジェクション問題 (CWE-89)(CVE-2017-6050) が存在します。

(S00) 日立製品

日立ディスクアレイシステム SVP (2017/06/26)

日立ディスクアレイシステム SVP には、マイクロソフト 2017年 6月の月例セキュリティアップデートで解決した LNK 処理に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2017-8464) が存在します。

Cosminexus HTTP Server、Hitachi Web Server (2017/06/23)

Cosminexus HTTP Server、Hitachi Web Server には、Apache httpd 2.2.32、2.4.25 で解決した不正なクライアントやプロキシによるキャッシュ汚染を許してしまう HTTP 要求処理の脆弱性 (CVE-2016-8743) が存在します。

Cosminexus HTTP Server (2017/06/23)

Cosminexus HTTP Server には、OpenSSL 1.1.0d、1.0.2k で解決したモンゴメリ乗算が正しくない結果を導いてしまう脆弱性 (CVE-2016-7055)、不正な DHE/ECDHE パラメータに起因して、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-3731)、BN_mod_exp 関数が x86_64 環境で正しくない結果を導いてしまう脆弱性 (CVE-2017-3732) が存在します。

(S01) シスコ製品

WebEx Network Recording Player (2017/06/21)

WebEx Network Recording Player の ARF ファイル処理には、バッファオーバーフローに起因して、任意のコード実行やサービス不能攻撃を許してしまう脆弱性 (CVE-2017-6669) が存在します。

Virtualized Packet Core-Distributed Instance (2017/06/21)

Virtualized Packet Core-Distributed Instance には、ユーザデータ処理が適切でないことに起因して、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-6678) が存在します。不正な UDP パケットを受信した場合に影響を受ける可能性があります。

Prime Infrastructure、Evolved Programmable Network Manager (2017/06/21)

有線と無線 LAN 統合管理を実現する Prime Infrastructure と、統合型のネットワーク管理ツール Evolved Programmable Network Manager には、外部に置かれたファイルを呼び出す XXE (Xml eXternal Entity) 問題に起因して任意のコード実行や情報漏洩を許してしまう脆弱性 (CVE-2017-6662) が存在します。

(S13) Tomcat

Tomcat 8.5.16 リリース (2017/06/26)

Tomcat 8.5.16 は、不具合の修正や改善を目的としたリリースです。ログファイルを保存する最大日数を指定するため JULI FileHandler に関する設定の追加、セキュリティマネージャ配下での Manager と HostManager 動作の改善、新しい API として o.a.tomcat.websocket.WsSession # suspend / o.a.tomcat.websocket.WsSession # resume の導入などを施しています。リリース時点で、セキュリティアップデートの報告はありません。

(S20) Red Hat

Red Hat Enterprise Linux Server (v.6)(2017/06/21)

Red Hat Enterprise Linux Server に搭載されている sudo、Thunderbird のセキュリティアップデート (RHSA-2017:1574、RHSA-2017:1561) がリリースされました。sudo では、アクセス権限の昇格を許してしまう脆弱性 (CVE-2017-1000367) の対策が十分でなかった問題 (CVE-2017-1000368) に対応しています。Thunderbird では、52.2 で解決した脆弱性に対応しています。


担当:寺田、大西/HIRT