ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2017.10.23>

更新日:<2017.10.23>

(C01) Mozilla

Firefox 56.0.1 リリース (2017/10/09)

Firefox 56.0.1 では、ドライバの動作仕様を修正しています。セキュリティアップデートは含まれていません。

(C02) アドビ システムズ製品

Adobe Flash Player 27.0.0.170 リリース (2017/10/16)

Adobe Flash Player 27.0.0.170 では、型の取り違え (type confusion:CWE-843) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2017-11292) を解決しています。

(C05) JRE [Java Runtime Environment]

Java SE 8 Update 151 リリース (2017/10/17)

Java SE 8 Update 151 には、2D、ホットスポット、JAX-WS、JAXP、ライブラリ、ネットワーク、RMI、セキュリティなどに関する計 18 件のセキュリティアップデートが含まれています。報告された脆弱性のうち、認証操作なしでリモートからの攻撃を許してしまう脆弱性の件数は 17 件です。また、Java SE 8 Update 151 では、失効した Swisscom ルート証明書の削除、新規セキュリティプロパティによって制御できる機能が新たに導入されました。同時にリリースされた Java SE 8 Update 152 には、計 18 件のセキュリティアップデートに加えて複数バグの修正が含まれています。

(C08) アップル製品

iOS 11.0.3 リリース (2017/10/10)

iOS 11.0.3 では、iOS 11 で解決したメモリ破損に起因して任意のコード実行やサービス不能攻撃などを許してしまう問題に対応しています。

(C10) Google Chrome

Google Chrome 62.0.3202.62 (2017/10/17)

バージョン 62 がリリースされました。Chrome 62.0.3202.62 では、スタックオーバーフロー (CWE-121) の脆弱性 (CVE-2017-15396) を解決しています。

(I01) ヘルスケア製品

Boston Scientific ZOOM LATITUDE PRM (2017/10/19)

米 Boston Scientific (bostonscientific.com) の心臓モニタリング、心臓律動管理システムである ZOOM LATITUDE Programmer/Recorder/Monitor には、暗号化に使用する鍵がハードコーディングされている問題 (CWE-321)、患者情報 (PHI: patient health information) を暗号化していない問題 (CWE-311) に起因して情報漏洩を許してしまう脆弱性 (CVE-2017-14014、CVE-2017-14012) が存在します。

(I02) 制御システム製品

SpiderControl の MicroBrowser (2017/10/19)

重要製造業分野で利用されているスイス SpiderControl (spidercontrol.net) の SCADA 用 Web ブラウザ SCADA MicroBrowser には、制御されていない検索パス問題 (CWE-427) に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2017-14010) が存在します。

Progea の Movicon SCADA/HMI (2017/10/17)

重要製造業、エネルギー、農業・食料、輸送、上下水道分野で利用されているイタリア Progea (progea.com) の Movicon SCADA/HMI には、攻撃者により細工された外部 DLL の読み込みを許してしまう問題 (DLL プリロード攻撃)(CWE-427)、引用符で囲まれていないプログラムパス (Unquoted Service Path:CWE-428) に起因して、アクセス権限の昇格や任意のコード実行を許してしまう脆弱性 (CVE-2017-14017、CVE-2017-14019) が存在します。

(S00) 日立製品

日立ディスクアレイシステム SVP (2017/10/20)

日立ディスクアレイシステム SVP には、マイクロソフト 2017年10月の月例セキュリティアップデートで解決した Windows Search のリモートでコードが実行される脆弱性 (CVE-2017-11771)、Windows Search の情報漏洩を許してしまう脆弱性 (CVE-2017-11772)、Windows DNSAPI のリモートでコードが実行される脆弱性 (CVE-2017-11779) が存在します。

Hitachi Global Link Manager (2017/10/16)

Hitachi Global Link Manager には、ユーザ認証情報の漏洩を許してしまう脆弱性が存在します。

Hitachi Tuning Manager (2017/10/16)

Hitachi Tuning Manager の RMI には、脆弱性が存在します。

Hitachi Command Suite 製品 (2017/10/16)

Hitachi Command Suite 製品には、外部に置かれたファイルを呼び出す XXE (Xml eXternal Entity) 問題 (CWE-611) が存在します。

Hitachi Command Suite 製品 (2017/10/16)

Hitachi Command Suite 製品には、リモートでコードが実行される脆弱性 (CVE-2017-5641) が存在します。

Hitachi Automation Director (2017/10/16)

IT インフラの運用自動化や性能監視分析を行う Automation Director には、ユーザ認証情報の漏洩を許してしまう脆弱性が存在します。

Infrastructure Analytics Advisor (2017/10/16)

IT インフラの性能監視分析を行う Infrastructure Analytics Advisor には、クロスサイトスクリプティング問題 (CWE-79)、アクセス制御に関する脆弱性が存在します。

(S01) シスコ製品

Cloud Services Platform (2017/10/18)

Cloud Services Platform 2100 には、認証機構処理が適切でないために、Cloud Services Platform 上のサービスや VM に対する不正アクセスを許してしまう脆弱性 (CVE-2017-12251) が存在します。

Small Business IP 電話 (2017/10/18)

Small Business IP 電話の SIP 処理には、SIP 要求パケット処理が適切でないことに起因して、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-12259、CVE-2017-12260) が存在します。

FXOS、NX-OS 系製品 (2017/10/18)

FXOS(Firepower Extensible Operating System)、NX-OS 系製品の AAA(認証、許可、アカウント) 機能に、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-3883) が存在します。ログインの総当たり攻撃などが行われたときに、装置の再起動を引き起こしてしまう可能性があります。

Wi-Fi Protected Access (2017/10/16)

10 月に WPA2 プロトコルの KRACK (Key Reinstallation Attacks) 問題として報告された脆弱性 (CVE-2017-13077 〜 CVE-2017-13082、CVE-2017-13084、CVE-2017-13086 〜 CVE-2017-13088) の影響を報告しています。

(S02) オラクル製品

オラクル 2017年10月の四半期セキュリティアップデート (2017/10/17)

Oracle Critical Patch Update Advisory - October 2017 には、Database Server 系 6 件、Fusion Middleware 系 40 件、Applications 系 66 件、仮想化系 6 件、MySQL 系 25 件、Java SE 系 22 件、計 252 件のセキュリティアップデートが含まれています。認証操作なくリモートからの攻撃を許してしまう脆弱性の件数は計 155 件となっています。

(S14) MySQL

MySQL 5.7.20、5.6.38、5.5.58 リリース (2017/10/16)

MySQL 5.7.20 では、mysqld などで自動生成される証明書フォーマットを X.509 v3 に変更し、keyring_okv プラグインでセキュア通信用にパスワード保護機構をサポートしました。

(S20) Red Hat

Red Hat (2017/10/23)

Red Hat 製品でサポートされている Adobe Flash のセキュリティアップデートプラグイン (RHSA-2017:2899)、Java(jjava-1.8.0-openjdk) のセキュリティアップデート (RHSA-2017:2998) がリリースされました。このアップデートでは、Adobe Flash Player 27.0.0.170、Java SE 8 Update 151 で解決した脆弱性に対応しています。


担当:寺田、大西/HIRT