ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2017.10.30>

更新日:<2017.10.30>

(C01) Mozilla

Firefox 56.0.2 リリース (2017/10/26)

Firefox 56.0.2 では、動画関連や終了時の動作不具合を修正しています。セキュリティアップデートは含まれていません。

(C10) Google Chrome

Google Chrome 62.0.3202.75 (2017/10/26)

Chrome 62.0.3202.75 では、スタックオーバーフロー (CWE-121) の脆弱性 (CVE-2017-15396) を解決しています。

(I02) 制御システム製品

Rockwell Automation の Stratix (2017/10/26)

重要製造業、エネルギー、上下水道分野などで利用されている米 Rockwell Automation (rockwellautomation.com) の産業オートメーション制御システムのルータ Stratix には、Nonce、鍵ペアを再利用していることに起因して、WPA2 プロトコルのハンドシェーク時にに中間者攻撃による情報漏洩ならびに改ざんを許してしまう脆弱性 (CVE-2017-13082) が存在します。この問題は、KRACK (Key Reinstallation Attacks) 問題とも呼ばれているものです。

Korenix の JetNet (2017/10/26)

商業施設、重要製造業、輸送分野などで利用されている米 Korenix (korenix.com) のイーサネットスイッチには、暗号化に使用する鍵がハードコーディングされている問題 (CWE-321)、資格情報がハードコーディングされている問題 (CWE-798) に起因して、任意のコード実行や中間者攻撃を許してしまう脆弱性 (CVE-2017-14021、CVE-2017-14027) が存在します。

(S00) 日立製品

Cosminexus 製品 (2017/10/27)

Cosminexus Developer's Kit for Java、Hitachi Developer's Kit for Java を構成部品として使用している Cosminexus 製品には、複数の脆弱性が存在します。脆弱性は、Java SE 8 Update 151 で解決したライブラリ、RMI、セキュリティ、Serialization などに存在する問題です。

(S02) オラクル製品

Oracle Identity Manager (2017/10/27)

Oracle Identity Manager には、リモートからの不正アクセスを許してしまう脆弱性 (CVE-2017-10151) が存在します。

(S03) Apache HTTP サーバ

Apache httpd 2.4.29 リリース (2017/10/23)

Apache httpd 2.4.29 は、core、mod_unique_id、mod_rewrite、mod_http2、mod_proxy、mod_authz_dbd、mod_ssl モジュールでの不具合の修正や改善を目的としたリリースです。コアではメモリ消費対策として Content-Length の書き換え、mod_unique_id では PRNG の使用、mod_proxy では作り込まれた不具合の修正などを施しています。

(S04) DNS [BIND/NSD/Unbound/PowerDNS]

B-Root サーバの IPv4 アドレス変更 (2017/10/25)

2017年10月24日、DNS ルートサーバの一つである、b.root-servers.net (B-Root) の IPv4 アドレス (192.228.79.201 => 199.9.14.201) が変更されました。キャッシュ DNS サーバを運用している場合には、internic.net から新しいルートヒントファイルをダウンロードしてください。

(S09) PHP

PHP 7.1.11、7.0.25、5.6.32 リリース (2017/10/26)

PHP 7.1.11、7.0.25、5.6.32 では、PCRE(Perl Compatible Regular Expressions) に存在するサービス不能攻撃を許してしまう脆弱性 (CVE-2016-1283) を解決しています。また、Date、mcrypt、PCRE などのコンポーネントに存在する計 17 件、13 件、4 件の不具合を修正しています。領域外のメモリ参照 (out-of-bounds read:CWE-125)、NULL ポインタ参照 (NULL pointer dereference:CWE-476) に起因する問題が含まれています。


担当:寺田、大西/HIRT