ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2017.07.03>

更新日:<2017.07.03>

(C01) Mozilla

Firefox 54.0.1、ESR 52.2.1 リリース (2017/06/29)

Firefox 54.0.1 では、タブ処理、ファイルダウンロード、PDF の印刷、Netflix アクセスの不具合などを修正しています。ESR 52.2.1 では、Direct2D が無効な場合に発生する印刷での不具合を修正しています。セキュリティアップデートは含まれていません。

(I02) 制御システム製品

ランサムウェア Petya 亜種に関する注意喚起 (2017/06/30)

ランサムウェア Petya 亜種感染防止に関する注意喚起が発行されました。Petya 亜種は、感染によって、ハードドライブを暗号化し、その暗号解除と引き換えに金銭を要求するネットワークワーム型の機能を有するランサムウェアです。製品ベンダである ABB、Drager、Emerson Automation Solutions、Honeywell、Johnson & Johnson、Rockwell Automation、Schneider Electric からも、対策情報が発行されています。

Siemens の Viewport for Web Office Portal (2017/06/29)

エネルギー分野などで利用されている独 Siemens (siemens.com) の Viewport for Web Office Portal のポート番号 443/TCP と 80/TCP には、認証操作なしで任意のファイルをアップロードし、実行を許してしまう脆弱性 (CVE-2017-6869) が存在します。Web Office Portal は、エネルギー管理プラットフォーム製品 Spectrum Power から収集したデータへのアクセスなどを提供します。

Schneider Electric の U.motion Builder (2017/06/29)

商業施設、重要製造業、エネルギー分野などで利用されている仏 Schneider Electric (schneider-electric.com) の U.motion Builder には、SQL インジェクション問題 (CWE-89)(CVE-2017-7973)、ディレクトリトラバーサル問題 (CWE-22)(CVE-2017-7974)、セッション管理が適切でない問題 (CVE-2017-9956)、パスワードがハードコーディングされている問題 (CWE-259)(CVE-2017-9957)、適切でないアクセス制御 (CWE-284)(CVE-2017-9958)、サービス不能攻撃を誘発できる問題 (CVE-2017-9959)、エラーメッセージからの情報漏洩 (WE-209)(CVE-2017-9960)、が存在します。U.motion Builder は、U.motion デバイス用のプログラムを作成するための製品です。

Siemens の SIMATIC、SINUMERIK、SIMOTION 製品 (2017/06/29)

化学、商業施設、重要製造業、エネルギー、農業・食料、上下水道などで利用されている独 Siemens (siemens.com) の SIMATIC 産業用 PC、工作機械向けの SINUMERIK Panel Control Unit、モーションコントローラ製品 SIMOTION P320 には、認証操作なしでリモートから不正アクセスを許してしまうインテル AMT (Active Management Technology)、インテル ISM (Standard Manageability)、インテル SBT (Small Business Technology) の脆弱性 (CVE-2017-5689) が存在します。

Newport のモーションコントローラ製品 XPS (2017/06/27)

重要製造業などで利用されている米 Newport (newport.com) のモーションコントローラ製品 XPS-C、XPS-Q には、不正な URL アクセスにより認証の迂回を許してしまう脆弱性 (CVE-2017-7919)、パスワードが平文のまま格納されている問題 (CWE-256)(CVE-2017-6047) が存在します。

(S04) DNS [BIND/NSD/Unbound/PowerDNS]

BIND 9.11.1-P2、9.10.5-P2、9.9.10-P2 リリース (2017/06/29)

BIND 9.11.1-P2、9.10.5-P2、9.9.10-P2 では、TSIG (Transaction Signature) 認証の迂回により、情報漏洩を許してしまう脆弱性 (CVE-2017-3142)、Dynamic Update 経由でゾーンデータの改ざんを許してしまう脆弱性 (CVE-2017-3143) を解決しています。また、B-Root サーバの IPv6 アドレス変更を取り込んでいます。なお BIND を開発するインターネットシステムズコンソーシアム (ISC) は、9.0 系〜 9.8 系のサポートは終了していることから、セキュリティパッチはリリースしないとしています。

Unbound 1.6.4 リリース (2017/06/27)

キャッシュ DNS サーバの一つである Unbound のバージョン 1.6.4 は、不具合の修正を目的としたリリースで、セキュリティアップデートは含まれていません。このバージョンでは、B-Root サーバの IPv6 アドレス変更、メモリリークやバッファオーバーフローの不具合などを修正しています。

(S13) Tomcat

Tomcat 8.0.45、7.0.79 リリース (2017/07/01)

Tomcat 8.0.45、7.0.79 は、不具合の修正や改善を目的としたリリースです。これらのリリースでは、ログファイルを保存する最大日数を指定するため JULI FileHandler に関する設定の追加、セキュリティマネージャ配下での Manager と HostManager 動作の改善などを施しています。リリース時点で、セキュリティアップデートの報告はありません。

(S20) Red Hat

Red Hat Enterprise Linux Server (v.6)(2017/06/27)

Red Hat Enterprise Linux Server に搭載されている分散型バージョン管理システム Mercurial のセキュリティアップデート (RHSA-2017:1576) では、コマンドラインオプションを悪用して任意のコード実行を許してしまう脆弱性 (CVE-2017-9462) を解決しています。


担当:寺田、大西/HIRT