ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2017.11.13>

更新日:<2017.11.13>

(C08) アップル製品

iOS 11.1.1 リリース (2017/11/09)

iOS 11.1.1 では、iOS 11.1 で解決したメモリ破損に起因して任意のコード実行やサービス不能攻撃などを許してしまう問題に対応しています。

(C10) Google Chrome

Google Chrome 62.0.3202.894 リリース (2017/11/06)

Chrome 62.0.3202.894 では、スタックオーバーフロー (CWE-121)、メモリの解放後使用 (use-after-free:CWE-416) の脆弱性 (CVE-2017-15398、CVE-2017-15399) を解決しています。

(I02) 制御システム製品

Schneider Electric の InduSoft Web Studio、InTouch Machine Edition (2017/11/09)

商業施設、重要製造業、エネルギー、輸送、上下水道分野で利用されている仏 Schneider Electric (schneider-electric.com) の HMI SCADA ソフトウェア InduSoft Web Studio、InTouch Machine Edition には、スタックオーバーフロー (CWE-121) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2017-14024) が存在します。

AutomationDirect 製品 (2017/11/09)

商業施設、重要製造業、情報技術分野で利用されている米 AutomationDirect(automationdirect.com) の PLC 関連製品 CLICK、タッチパネル C-More、C-More Micro、可変周波数駆動制御装置 GS Drives、温度制御 SL-Soft SOLO の製群には、攻撃者により細工された外部 DLL の読み込みを許してしまう問題 (DLL プリロード攻撃)(CWE-427)(CVE-2017-14020) に起因して、任意のコード実行を許してしまう可能性があります。

(S15) PostgreSQL

PostgreSQL 10.1、9.6.6、9.5.10、9.4.15、9.3.20、9.2.24 リリース (2017/11/09)

PostgreSQL 10.1、9.6.6、9.5.10、9.4.15、9.3.20、9.2.24 では、管理者所有ファイルの書き換えを許してしまう脆弱性 (CVE-2017-12172)、情報漏えいを許してしまう脆弱性 (CVE-2017-15098)、SELECT処理に関する実行権限チェック漏れ(CVE-2017-15099)を修正しています。

(S16) VMware 製品

VMware セキュリティアップデート:VMSA-2017-0017 (2017/11/09)

VMware vCenter Server には、不正な LDAP パケットを受信した場合にサービス不能攻撃を許してしまう脆弱性 (CVE-2017-4927)、Flash ベースの vSphere Web Client には、サーバサイドリクエストフォージェリ問題 (CWE-918)、クロスサイトリクエストフォージェリ問題 (CWE-352) に起因して、情報漏洩を許してしまう脆弱性 (CVE-2017-4928) が存在します。

VMware セキュリティアップデート:VMSA-2017-0016 (2017/11/08)

VMware AirWatch Console には、クロスサイトスクリプティング問題 (CWE-79)(CVE-2017-4930)、AWC ユーザが登録された機器のログファイルに不正なデータ挿入を許してしまう脆弱性 (CVE-2017-4931)、Launcher for Android には、UI 上でアクセス権限の昇格を許してしまう脆弱性 (CVE-2017-4932) が存在します。

(S20) Red Hat

Red Hat (2017/11/13)

Red Hat 製品でサポートされている Chrome ブラウザのセキュリティアップデート (RHSA-2017:3151) がリリースされました。このアップデートでは、Chrome 62.0.3202.94 で解決した脆弱性に対応しています。


担当:寺田、大西/HIRT