ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2017.11.27>

更新日:<2017.11.27>

(C01) Mozilla

Thunderbird 52.5 リリース (2017/11/23)

Thunderbird 52.5 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、情報漏洩を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 3 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。

(I02) 制御システム製品

Phoenix Contact Software の WPA2 機器 (2017/11/21)

通信、重要製造業、情報技術で利用されている独 Phoenix Contact Software (phoenixcontact.com) の WPA2 プロトコルを使用可能な無線機器には、KRACK (Key Reinstallation Attacks) 問題で報告された暗号化処理における Nonce や鍵ペアの再利用 (CWE-323) の脆弱性 (CVE-2017-13077、CVE-2017-13078、CVE-2017-13080) が存在します。

(S09) PHP

PHP 7.1.12、7.0.26 リリース (2017/11/23)

PHP 7.1.12、7.0.26 では、Core、Enchant、Exif、GD 2、Mysqli、Opcache、OpenSSL などのコンポーネントに存在する計 17 件の不具合を修正しています。

(S11) Samba

Samba 4.7.3、4.6.11、4.5.15 リリース (2017/11/21)

Samba 4.7.3、4.6.11、4.5.15 では、不正な SMB1 要求を処理する際にメモリの解放後使用 (use-after-free:CWE-416) が発生する問題 (CVE-2017-14746) と、ヒープメモリ上の情報漏洩を許してしまう脆弱性 (CVE-2017-15275) を解決しています。

(S13) Tomcat

Tomcat Native 1.2.16 リリース (2017/11/20)

Tomcat から Java Native Interface (JNI) 経由で Apache Portable Runtime (APR) を利用するためのライブラリである Tomcat Native 1.2.16 がリリースされました。このリリースでは、OCSP(Online Certificate Status Protocol) 処理の不具合を修正し、Windows 版バイナリを OpenSSL 1.0.2m と APR 1.6.3 に対応させています。

(S18) Struts

Struts 2.5.14 リリース (2017/11/23)

Struts 2.5.14 は、不具合の修正を目的としたリリースです。Windows 10上のJava 9環境で実行できない問題の修正、FreeMarker、Log4j2、com.fasterxml.jackson、net.sf.json-lib、Springのアップグレード対応などを施しています。


担当:寺田、大西/HIRT