ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2018.01.08>

更新日:<2018.01.08>

(C01) Mozilla

Firefox 57.0.4 リリース (2018/01/04)

Firefox 57.0.4 では、タイマの精度を 5 マイクロ秒から 20 マイクロ秒に落とすことで権限なしでメモリへのアクセスを許してしまう問題である Spectra に対応しています。

Firefox 57.0.3 リリース (2017/12/28)

Firefox 57.0.3 では、背景タブの異常終了レポートに関する不具合を修正しています。セキュリティアップデートは含まれていません。

(C10) Google Chrome

Google Chrome 63.0.3239.132 リリース (2018/01/04)

Chrome 63.0.3239.132 は、安定性、性能、セキュリティの改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。

(I02) 制御システム製品

Advantech の Webaccess (2018/01/04)

重要製造業、エネルギー、上下水道分野などで利用されている台湾 Advantech (advantech.com) のリモート制御および管理機能を提供する Advantech Webaccess HMI/SCADA 製品には、スタックオーバーフロー (CWE-121)、ディレクトリトラバーサル問題 (CWE-22)、SQL インジェクション問題 (CWE-89)、適切でないアップロートファイル制限 (CWE-434)、メモリの解放後使用 (use-after-free:CWE-416) など、複数の脆弱性が存在します。脆弱性を悪用された場合、任意のコード実行やサービス不能攻撃を許してしまう可能性があります。

Delta Electronics の Delta Industrial Automation Screen Editor (2018/01/04)

重要製造業分野で利用されている台湾 Delta Electronics(deltaww.com) の編集ソフトウェア Delta Industrial Automation Screen Editor には、スタックオーバーフロー (CWE-121)(CVE-2017-16751)、メモリの解放後使用 (use-after-free:CWE-416)(CVE-2017-16749)、領域外メモリへの書き出し (out-of-bounds write:CWE-787)(CVE-2017-16747)、型の取り違え (type confusion:CWE-843)(CVE-2017-16745) に起因して任意のコード実行を許してしまう脆弱性が存在します。

(S00) 日立製品

日立ディスクアレイシステム SVP (2017/12/25)

日立ディスクアレイシステム SVP には、マイクロソフト 2017年12月の月例セキュリティアップデートで解決した脆弱性の影響はありません。

(S09) PHP

PHP 7.2.1、7.1.13、7.0.27、5.6.33 リリース (2018/01/04)

PHP 7.2.1、7.1.13、7.0.27、5.6.33 では、GD コンポーネントに存在する潜在的な無限ループ問題 (CVE-2018-5711)、Phar コンポーネントに存在する .phar 404 ページでのクロスサイトスクリプティング問題 (CWE-79)(CVE-2018-5712) を解決しています。また、PHP 7.2.1、7.1.13、7.0.27 では、CLI server、Core、FPM、GD、Opcache、PCRE、Phar、Standard、Zip コンポーネントに存在する計 21 件、20 件、11 件の不具合を修正しています。

(S16) VMware 製品

VMware セキュリティアップデート:VMSA-2018-0003 (2018/01/04)

vRealize Operations for Horizon、vRealize Operations for Published Applications、Workstation、Fusion、Horizon View Client には、アクセス権限の昇格を許してしまう脆弱性 (CVE-2017-4946)、領域外のメモリ参照 (out-of-bounds read:CWE-125) に起因して情報漏洩やサービス不能攻撃を許してしまう脆弱性 (CVE-2017-4948)、ゲスト OS に対する適切でないアクセス制御 (CWE-284)(CVE-2017-4945) が存在します。

VMware セキュリティアップデート:VMSA-2018-0002 (2018/01/03)

VMware ESXi、Workstation、Fusion における Spectre の影響を報告しています。Spectre は、境界チェックの迂回 (CVE-2017-5753)、分岐先予測への介入 (CVE-2017-5715) を利用することで権限なしでメモリへのアクセスを許してしまう問題です。

VMware セキュリティアップデート:VMSA-2018-0001 (2018/01/02)

vSphere Data Protection (VDP) には、認証の迂回を許してしまう脆弱性 (CVE-2017-15548)、任意のファイルアップロードを許してしまう脆弱性 (CVE-2017-15549)、ディレクトリトラバーサル問題 (CWE-22)(CVE-2017-15550) が存在します。

(S21) Web アプリケーションならびに CMS

Drupal 8.4.4 リリース (2018/01/03)

Drupal 8.4.4 は、不具合の修正や改善を目的としたリリースです。8.4.4 には、PHP 7.2 の深刻な不具合 1 件が修正されずに残っていますが、8.5.0 で修正するとしています。不具合は、count 関数において、インタフェースとコードとの型の整合性がとれていない問題です。


担当:寺田、大西/HIRT