ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2017.09.11>

更新日:<2017.09.11>

(C01) Mozilla

Thunderbird 52.3 リリース (2017/08/18)

Thunderbird 52.3 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、情報漏洩、なりすまし、セキュリティ機構の迂回を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 16 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。

(C10) Google Chrome

Google Chrome 61.0.3163.79 リリース (2017/09/05)

バージョン 61 がリリースされました。Chrome 61.0.3163.79 では、メモリの解放後使用 (use-after-free:CWE-416)、ヒープオーバーフロー (CWE-122)、型の取り違え (type confusion:CWE-843)、セキュリティ機構の迂回を許してしまう問題など、計 22 件の脆弱性 (CVE-2017-5111 〜 CVE-2017-5120 他) を解決しています。

(I01) ヘルスケア製品

Smiths-Medical の Medfusion 4000 無線通信のスポイトポンプ (2017/09/07)

公共衛生・ヘルスケア分野で利用されている英 Smiths Group の Smiths-Medical (smiths-medical.com) の Medfusion 4000 無線通信のスポイトポンプには、不正アクセスを許してしまう複数の脆弱性 (CVE-2017-12718、CVE-2017-12720 〜 CVE-2017-12726) が存在します。報告されている脆弱性は、バッファオーバーフロー、領域外のメモリ参照 (out-of-bounds read:CWE-125)、適切でないアクセス制御 (CWE-284)、資格情報がハードコーディングされている問題 (CWE-798)、パスワードがハードコーディングされている問題 (CWE-259)、パスワードが設定ファイルに格納されている問題 (CWE-260) です。

i-SENS の SmartLog Diabetes Management (2017/09/07)

公共衛生・ヘルスケア分野で利用されている韓国 i-SENS (i-sens.com) の SmartLog Diabetes Management には、攻撃者により細工された外部 DLL の読み込みを許してしまう問題 (DLL プリロード攻撃)(CWE-427)(CVE-2017-13993) に起因して、任意のコード実行を許してしまう可能性があります。SmartLog Diabetes Management は、糖尿病管理のための製品です。

(I02) 制御システム製品

Phoenix Contact Software の mGuard ファームウェア (2017/09/07)

通信、重要製造業、情報技術分野で利用されている独 Phoenix Contact Software (phoenixcontact.com) の産業用ネットワークのセキュリティ製品である mGuard ファームウェアには、NULL ポインタ参照 (NULL pointer dereference:CWE-476) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2013-6466) が存在します。

SpiderControl の SCADA Web Server (2017/09/07)

重要製造業分野で利用されているスイス SpiderControl (spidercontrol.net) の SCADA Web サーバには、適切でない権限管理 (WE-269) に起因して、アクセス権限の昇格を許してしまう脆弱性 (CVE-2017-12728) が存在します。

(S01) シスコ製品

Apache Struts2 の脆弱性 S2-050 〜 S2-053 への対応 (2017/09/07)

9月 7日に公開された Apache Struts2 の脆弱性 (CVE-2017-9804、CVE-2017-9793、CVE-2017-9805、CVE-2017-12611) の影響を報告しています。

IoT Field Network Director (2017/09/06)

IoT Field Network Director の TCP 処理には、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-6780) が存在します。

(S18) Struts

Struts 2.5.13、2.3.34 リリース (2017-09-07)

Struts 2.5.13、2.3.34 では、URLValidator にサービス不能攻撃を許してしまう脆弱性 (CVE-2017-9804)、REST ブラグインにサービス不能攻撃を許してしまう脆弱性 (CVE-2017-9793)、REST ブラグインに任意のコード実行を許してしまう脆弱性 (CVE-2017-9805)、Freemarker タグに任意のコード実行を許してしまう脆弱性 (CVE-2017-12611) を解決しています。


担当:寺田、大西/HIRT