ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2017.10.09>

更新日:<2017.10.09>

(C08) アップル製品

macOS High Sierra 10.13 追加アップデート (2017/10/05)

macOS High Sierra 10.13 追加アップデートでは、StorageKit、セキュリティコンポーネントに存在する、暗号化された Apple File System とキーチェーンへのアクセス機構の迂回を許してしまう計 2 件の脆弱性を解決しています。

watchOS 4.0.1 リリース (2017/10/05)

watchOS 4.0.1 では、watchOS 4 で解決したメモリ破損に起因して任意のコード実行やサービス不能攻撃などを許してしまう問題に対応しています。

iOS 11.0.2 リリース (2017/10/04)

iOS 11.0.2 では、iOS 11 で解決したメモリ破損に起因して任意のコード実行やサービス不能攻撃などを許してしまう問題に対応しています。

(I02) 制御システム製品

Siemens の 7KT PAC1200 Data Manager (2017/10/05)

エネルギー分野で利用されている独 Siemens (siemens.com) のマルチチャンネル電流測定システム 7KT PAC1200 Data Manager の Web サーバには、認証機構の迂回を許してしまう脆弱性 (CVE-2017-9945) が存在します。

GE の CIMPLICITY (2017/10/05)

化学、重要製造業、ダム、エネルギー、農業・食料、政府施設、輸送、上下水道分野で利用されている米 GE (ge.com) の監視制御ソフトウェア HMI/SCADA CIMPLICITY のパケット処理には、スタックオーバーフロー (CWE-121) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2017-12732) が存在します。

(S01) シスコ製品

ASA (Adaptive Security Appliances)(2017/10/04)

セキュリティアプライアンスである ASA (Adaptive Security Appliances) には、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-12246) が存在します。

License Manager (2017/10/04)

License Manager には、ディレクトリトラバーサル問題 (CWE-22) に起因して情報漏洩を許してしまう脆弱性 CVE-2017-12263) が存在します。

Firepower Detection Engine (2017/10/04)

Firepower Detection Engine の IPv6、SSL 処理には、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-12244、CVE-2017-12245) が存在します。

(S03) Apache HTTP サーバ

Apache httpd 2.4.28 リリース (2017/10/05)

Apache httpd 2.4.28 では、設定ファイル .htaccess 内の Limit ディレクティブ処理に起因して、メモリ上の情報漏洩を許してしまう脆弱性 (CVE-2017-9798) を解決しています。この問題は、Limit ディレクティブの記述が適切でない場合に発生します。また、Heartbleed と類似し、メモリ上の情報漏洩を許してしまうことから OptionsBleed とも呼ばれています。

(S07) OpenSSH

OpenSSH 7.6、7.6p1 リリース (2017/10/03)

OpenSSH 7.6、7.6p1 は、不具合の修正や改善を目的としたリリースです。このリリースでは、SSH v1 プロトコルのサポート終了、暗号アルゴリズムについては、RC4、Blowfish、CAST、RIPE-MD160 HMAC のサポート終了、1024 ビット以下の RSA 鍵の使用が不可となりました。サイズゼロのファイル作成に関する sftp サーバの不具合を修正しています。そのほか、ssh クライアントでは RemoteCommand オプション、Reverse Dynamic Forwarding、サーバでは ExposeAuthInfo オプションが追加されました。

(S15) PostgreSQL

PostgreSQL 10.0 リリース (2017/10/05)

PostgreSQL 10.0 では、ロジカルレプリケーション、宣言的テーブルパーティショニング、パラレル問い合わせの改善、同期レプリケーションにおける Quorum Commit(過半数コミット)、SCRAM-SHA-256 認証などの機能改善が施されています。

(S20) Red Hat

Red Hat (2017/10/07)

Red Hat 製品でサポートされている DNS サーバ dnsmasq のセキュリティアップデート (RHSA-2017:2836, RHSA-2017:2837, RHSA-2017:2838, RHSA-2017:2839, RHSA-2017:2840, RHSA-2017:2841) がリリースされました。バッファオーバーフローに起因してサービス不能攻撃や任意コード実行を許してしまう脆弱性 (CVE-2017-14491 〜 CVE-2017-14493)、情報漏洩を許してしまう脆弱性 (CVE-2017-14494)、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-14495、CVE-2017-14496) を解決しています。

(S21) Web アプリケーションならびに CMS

Joomla! 3.8.1 リリース (2017/10/04)

Joomla! 3.8.1 は、不具合の修正や改善を目的としたリリースです。

Drupal 8.4.0 リリース (2017/10/04)

Drupal 8.4.0 は、不具合の修正や改善を目的としたリリースです。8.4 系では、Internet Explorer 9/10 をサポート対象外とし、管理操作コマンドラインツール Drush は 8.1.12 を前提としています。


担当:寺田、大西/HIRT