ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2017.08.27>

更新日:<2017.08.27>

(C01) Mozilla

Firefox 55.0.3 リリース (2017/08/25)

Firefox 55.0.3 では、ファイルのアップロードに失敗する不具合、アドオンが無効化されてしまう不具合を修正しています。セキュリティアップデートは含まれていません。

(C10) Google Chrome

Google Chrome 60.0.3112.101 リリース (2017/08/24)

Chrome 60.0.3112.101 は、安定性、性能、セキュリティの改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。

(I02) 制御システム製品

Rockwell Automation の Stratix、ArmorStratix(2017/08/24)

重要製造業、エネルギー、上下水道分野などで利用されている米 Rockwell Automation (rockwellautomation.com) の産業用イーサネットスイッチ Stratix、ArmorStratix には、SNMP に関連して任意のコード実行を許してしまう脆弱性が存在します。この問題は、Cisco IOS、IOS XE に存在する脆弱性 (CVE-2017-6736 〜 CVE-2017-6744) に起因しています。

SpiderControl の SCADA Web Server (2017/08/22)

重要製造業分野で利用されているスイス SpiderControl (spidercontrol.net) の SCADA Web Server には、ディレクトリトラバーサル問題 (CWE-22) に起因して情報漏洩を許してしまう脆弱性 (CVE-2017-12694) が存在します。

SpiderControl の SCADA MicroBrowser (2017/08/22)

重要製造業分野で利用されているスイス SpiderControl (spidercontrol.net) の SCADA 用 Web ブラウザ SCADA MicroBrowser には、スタックオーバーフロー (CWE-121) に起因して不正アクセスを許してしまう脆弱性 (CVE-2017-12707) が存在します。

Automated Logic の WebCTRL、i-VU、SiteScan (2017/08/22)

ビル管理向けの製品で、商業施設分野で利用されている米 Automated Logic (automatedlogic.com) の WebCTRL、i-VU、SiteScan には、引用符で囲まれていないプログラムパス (Unquoted Service Path:CWE-428)、適切でないアップロートファイル制限 (CWE-434) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2017-9644、CVE-2017-9650)、ディレクトリトラバーサル問題 (CWE-22) に起因して情報漏洩を許してしまう脆弱性 (CVE-2017-9640) が存在します。

(S00) 日立製品

HiRDB (2017/08/25)

HiRDB には、サービス不能攻撃を許してしまう脆弱性が存在します。

(S04) DNS [BIND/NSD/Unbound/PowerDNS]

Unbound 1.6.5 リリース (2017/08/21)

キャッシュ DNS サーバの一つである Unbound のバージョン 1.6.5 は、不具合の修正を目的としたリリースで、セキュリティアップデートは含まれていません。このバージョンでは、トラストアンカー処理の修正、Delegation Signer(DS) のハッシュチェック、2017年 9月〜 10 月にインストールされる場合の root.key ファイル修正をしています。

(S19) Squid

Squid 3.5.27 リリース (2017/08/19)

Squid 3.5.27 は、不具合の修正や改善を目的としたリリースです。無条件にステータスコード 304(Not Modified) を応答しないなどを修正しています。セキュリティアップデートは含まれていません。

(S20) Red Hat

Red Hat (2017/08/16)

Red Hat 製品でサポートされている Java(java-1.7.1-ibm、java-1.6.0-ibm) のセキュリティアップデート (RHSA-2017:2481、RHSA-2017:2530) がリリースされました。このアップデートでは、Java SE 7 Update 151、Java SE 6 Update 161 で解決した脆弱性に対応しています。


担当:寺田、大西/HIRT