ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2017.12.18>

更新日:<2017.12.18>

(C02) アドビ システムズ製品

Adobe Flash Player 28.0.0.126 リリース (2017/12/12)

Adobe Flash Player 28.0.0.126 では、意図しないグローバル設定の設定ファイルのリセットを許してしまう問題 (CVE-2017-11305) を解決しています。

(C08) アップル製品

Windows 版 iCloud 7.2 リリース (2017/12/13)

Windows 版 iCloud 7.2 では、APNs Server、CFNetwork Session、WebKit コンポーネントに存在する計 12 件の脆弱性を解決しています。対象となった脆弱性は、表示のなりすましやメモリ破損に起因して任意のコード実行を許してしまう問題です。

tvOS 11.2.1 リリース (2017/12/13)

tvOS 11.2.1 では、HomeKitコンポーネントに存在するアプリケーションの状態変更を許してしまうの脆弱性(CVE-2017-13903)を解決しています。

iOS 11.2.1 リリース (2017/12/13)

iOS 11.2.1 では、HomeKitコンポーネントに存在するアプリケーションの状態変更を許してしまうの脆弱性(CVE-2017-13903)を解決しています。

AirMac ベースステーションファームウェア・アップデート 7.7.9 リリース (2017/12/12)

AirMac ベースステーションファームウェア・アップデート 7.7.9では、メモリ破損に起因して任意のコード実行を許してしまう脆弱性(CVE-2017-9417)、KRACK (Key Reinstallation Attacks) 問題で報告された暗号化処理における Nonce や鍵ペアの再利用 (CWE-323) の脆弱性 (CVE-2017-13077、CVE-2017-13078、CVE-2017-13080)を解決しています。

AirMac ベースステーションファームウェア・アップデート 7.6.9 リリース (2017/12/12)

AirMac ベースステーションファームウェア・アップデート 7.6.9では、KRACK (Key Reinstallation Attacks) 問題で報告された暗号化処理における Nonce や鍵ペアの再利用 (CWE-323) の脆弱性 (CVE-2017-13077、CVE-2017-13078、CVE-2017-13080)を解決しています。

(C10) Google Chrome

Google Chrome 63.0.3239.108 リリース (2017/12/14)

Chrome 63.0.3239.108 では、ユニバーサルクロスサイトスクリプティング (UXSS) など、計 2 件の脆弱性 (CVE-2017-15429 他) を解決しています。

(C11) マイクロソフト製品

マイクロソフト 2017年12月の月例セキュリティアップデート (2017/12/12)

2017年12月の月例セキュリティアップデートでは、37 件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行 26 件、アクセス権限の昇格 1 件、なりすまし 1 件、情報漏洩 6 件、セキュリティ機構の迂回 1 件です。

(S04) DNS [BIND/NSD/Unbound/PowerDNS]

NSD 4.1.19 リリース (2017/12/11)

DNS コンテンツサーバ (権威 DNS サーバ) の一つである NSD (Name Server Daemon) のバージョン 4.1.19 は不具合の修正を目的としたリリースで、セキュリティアップデートは含まれていません。このバージョンでは、Configure での --enable-packed パラメタや、4.1.18 で作り込まれてしまった不具合などを修正しています。

(S10) Ruby

Ruby 2.4.3、2.3.6、2.2.9 リリース (2017/12/14)

Ruby 2.4.3、2.3.6、2.2.9 では、Ruby の標準添付ライブラリ Net::FTP に存在する任意のコマンド実行を許してしまう脆弱性 (CVE-2017-17405) を解決しています。また、Ruby 2.2.9 では、RubyGems における安全でないオブジェクトの逆シリアル化の問題 (CVE-2017-0903) に対応しています。

(S13) Tomcat

Tomcat 8.0.48 リリース (2017/12/12)

Tomcat 8.0.48 は、不具合の修正や改善を目的としたリリースです。Java 9 に対応し、Windows 版バイナリを OpenSSL 1.0.2m と APR 1.6.3 に対応させるために、Tomcat Native 1.2.16 にアップデートするなどの強化を施しています。リリース時点で、セキュリティアップデートの報告はありません。Tomcat 8.0.x については、2018年 6月30日に EOL (End-Of-Life) となります。また、3 カ月後の 2018年 9月30日以降、サイトから削除することがアナウンスされています。

(S16) VMware 製品

VMware セキュリティアップデート:VMSA-2017-0020 (2017/12/12)

VMware AirWatch Console (AWC) には、適切でないアクセス制御に起因して情報漏洩を許してしまう脆弱性 (CVE-2017-4942) が存在します。

(S20) Red Hat

Red Hat (2017/12/18)

Red Hat 製品でサポートされている Java (java-1.6.0-sun、java-1.7.0-oracle、java-1.8.0-oracle) のセキュリティアップデート(RHSA-2016:0679、RHSA-2017:0177、RHSA-2017:1792、RHSA-2014:0413、RHSA-2014:0902、RHSA-2014:1657、RHSA-2015:0079、RHSA-2015:0857、RHSA-2015:1242、RHSA-2015:1927、RHSA-2016:0056、RHSA-2016:0515、RHSA-2016:0678、RHSA-2016:1476、RHSA-2016:2089、RHSA-2017:0176、RHSA-2017:1791、RHSA-2015:0080、RHSA-2015:0854、RHSA-2015:1241、RHSA-2015:1926、RHSA-2016:0055、RHSA-2016:0516、RHSA-2016:0677、RHSA-2016:1475、RHSA-2016:2088、RHSA-2017:0175、RHSA-2017:1790、RHSA-2017:2999)がリリースされました。このアップデートでは、これまでに、Java SE 6 Update、Java SE 8 Updateで解決した脆弱性に対応しています。

(S23) SAP 製品

SAP Security Patch Day - December 2017 (2017/12/12)

11 件のセキュリティノートがリリースされています。SAP BI Promotion Management Application での適切でない認証 (CVE-2017-16684)、SAP BusinessObjects Platform でのサービス不能攻撃を許してしまう問題 (CVE-2017-16683)、SAP BW Universal Data Integration、BI Promotion Management Application でのクロスサイトスクリプティング問題 (CWE-79)、SAP NetWeaver Knowledge Management Configuration Service でのクロスサイトリクエストフォージェリ問題 (CWE-352) などが報告されています。


担当:寺田、大西/HIRT