ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2017.09.18>

更新日:<2017.09.18>

(C02) アドビ システムズ製品

Adobe Flash Player 27.0.0.130 リリース (2017/09/12)

Adobe Flash Player 27.0.0.130 では、計 2 件の脆弱性を解決しています。脆弱性は、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題 (CVE-2017-11281、CVE-2017-11282) です。

(C08) アップル製品

iTunes 12.7 リリース (2017/09/12)

iTunes 12.7 では、iOS バックアップデータへのアクセス制限の ## 迂回 ## を許してしまう脆弱性 (CVE-2017-7079) を解決しています。

Windows 用 iTunes 12.7 リリース (2017/09/12)

Windows 用 iTunes 12.7 では、WebKit コンポーネントに存在する計 19 件の脆弱性を解決しています。対象となった脆弱性は、メモリ破損に起因して任意のコード実行を許してしまう問題です。

(C10) Google Chrome

Google Chrome 61.0.3163.91 リリース (2017/09/14)

Chrome 61.0.3163.91 は、安定性、性能、セキュリティの改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。

(C11) マイクロソフト製品

マイクロソフト 2017年 9月の月例セキュリティアップデート (2017/09/12)

2017年 9月の月例セキュリティアップデートでは、84 件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行 41 件、サービス不能 1 件、アクセス権限の昇格 6 件、なりすまし 4 件、情報漏洩 27 件、セキュリティ機構の迂回 4 件です。

(I01) ヘルスケア製品

Philips の IntelliView MX40 (2017/09/12)

公共衛生・ヘルスケア分野で利用されているオランダ Philips (philips.com) の装着型生体情報モニタ IntelliView MX40 には、無線 LAN の通信状態によっては、中央監視ステーションが IntelliView MX40 をローカル接続モードと認識してしまう問題、機器がリセットされるまで遠隔監視モードと認識されない問題 (CVE-2017-9657、CVE-2017-9658) が存在します。

(I02) 制御システム製品

LOYTEC の LVIS-3ME (2017/09/14)

重要製造業、エネルギー分野で利用されているオーストリア LOYTEC (loytec.com) の HMI タッチパネル端末 LVIS-3ME には、ディレクトリトラバーサル、認証機構での乱数生成のエントロピーが十分ではない問題、クロスサイトスクリプティング問題 (CWE-79)、適切でない重要な情報の保護に起因して、任意のコード実行や情報漏洩を許してしまう複数の脆弱性 (CVE-2017-13996、CVE-2017-13992、CVE-2017-13994、CVE-2017-13998) が存在します。

mySCADA の myPRO (2017/09/12)

エネルギー、農業・食料、輸送、上下水道分野で利用されているチェコ mySCADA (myscada.org) の Web ベースの HMI 製品 myPRO には、引用符で囲まれていないプログラムパス (Unquoted Service Path:CWE-428) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2017-12730) が存在します。

(S01) シスコ製品

ミーティングサーバ (2017/09/13)

ミーティングサーバに含まれている TURN(Traversal Using Relay NAT) サーバには、不正アクセスや情報漏洩を許してしまう脆弱性 (CVE-2017-12249) が存在します。

(S09) PHP

Ruby 2.4.2、2.3.5、2.2.8 リリース (2017/09/14)

Ruby 2.4.2、2.3.5、2.2.8 では、Kernel モジュールでのバッファアンダーラン問題、Ruby の標準添付ライブラリである OpenSSL でのバッファアンダーラン問題に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2017-0898、CVE-2017-14033)、BASIC 認証を悪用したログファイルへのエスケープシーケンスの挿入を許してしまう脆弱性 (CVE-2017-10784)、JSON モジュール使用時にメモリ上の情報漏洩を許してしまう脆弱性 (CVE-2017-14064) を解決しています。また、8 月に RubyGems で解決した複数の脆弱性に対応しています。

2018年 3月末頃に、Ruby 2.2 の公式サポートを終了する予定であることがアナウンスされました。

(S16) VMware 製品

VMware セキュリティアップデート:VMSA-2017-0015 (2017/09/14)

VMware ESXi、Workstation、Fusion には、SVGA 処理に領域外メモリへの書き出し (out-of-bounds write:CWE-787) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2017-4924)、RPC 処理に NULL ポインタ参照 (NULL pointer dereference:CWE-476) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2017-4925) が存在します。また、vCenter Server H5 クライアントには、クロスサイトスクリプティング問題 (CWE-79)(CVE-2017-4926) が存在します。

(S20) Red Hat

Red Hat (2017/09/16)

Red Hat 製品でサポートされている Adobe Flash プラグインのセキュリティアップデート (RHSA-2017:2702) がリリースされました。このアップデートでは、APSB17-28 で解決した脆弱性に対応しています。また、カーネルでは、Bluetooth の実装における脆弱性 "BlueBorne" (CVE-2017-1000251) を解決しています。

(S23) SAP 製品

SAP Security Patch Day - September 2017 (2017/09/12)

16 件のセキュリティノートがリリースされています。SAP Point of Sale (POS) Retail Xpress Server での認証機構の問題、SAP Point of Sale Store Manager で資格情報がハードコーディングされている問題 (CWE-798)、SAP NetWeaver Java Workflow での不適切な XML 検証、SAP NetWeaver Adapter Engine Cache Monitor での情報漏洩、クロスサイトスクリプティング問題 (CWE-79) などが報告されています。


担当:寺田、大西/HIRT