ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2018.02.12>

更新日:<2018.02.12>

(C02) アドビ システムズ製品

Adobe Flash Player 28.0.0.161 リリース (2018/02/06)

Adobe Flash Player 28.0.0.161 では、メモリの解放後使用 (use-after-free:CWE-416) に起因して任意のコード実行を許してしまう問題 (CVE-2018-4878、CVE-2018-4877) を解決しています。

(I01) ヘルスケア製品

Vyaire の Medical CareFusion Upgrade Utility (2018/02/06)

公共衛生・ヘルスケア分野で利用されている米 Vyaire (vyaire.com) の Medical CareFusion Upgrade Utility には、攻撃者により細工された外部 DLL の読み込みを許してしまう問題 (DLL プリロード攻撃)(CWE-427)(CVE-2017-13993) に起因して、任意のコード実行を許してしまう可能性があります。

(S00) 日立製品

Cosminexus HTTP Server、Hitachi Web Server (2018/02/09)

Cosminexus HTTP Server、Hitachi Web Server には、Apache httpd 2.4.28 で解決した設定ファイル .htaccess 内の Limit ディレクティブ処理に起因して、メモリ上の情報漏洩を許してしまう脆弱性 (CVE-2017-9798) が存在します。

Cosminexus HTTP Server (2018/02/09)

Cosminexus HTTP Server には、OpenSSL 1.1.0g、1.0.2m で解決した x86_64 環境のモンゴメリ乗算の不具合に起因して秘密鍵の推測を許してしまう脆弱性 (CVE-2017-3736)、OpenSSL 1.0.2n で解決した x86_64 環境の AVX2 モンゴメリ乗算の不具合に起因して秘密鍵の推測を許してしまう脆弱性 (CVE-2017-3738) が存在します。

Hitachi Command Suite 製品、Hitachi Infrastructure Analytics Advisor (2018/02/09)

Hitachi Command Suite 製品および Hitachi Infrastructure Analytics Advisor には、複数の脆弱性が存在します。脆弱性は、Java SE 8 Update 161 で解決した AWT、ホットスポット、国際化、JCE、JGSS、JMX、JNDI、LDAP、ライブラリ、Serialization に存在する問題です。

(S01) シスコ製品

Policy Suite (2018/02/07)

ポリシーと課金制御製品である Cisco Policy Suite の RADIUS モジュールには、認証機構の迂回を許してしまう脆弱性 (CVE-2018-0116) が存在します。

UCS Central (2018/02/07)

Cisco UCS Central の運用スクリプトには、適切でない入力確認 (CWE-20) に起因して、認証されたユーザによる任意のシェルコマンド実行を許してしまう脆弱性 (CVE-2018-0113) が存在します。Cisco UCS Central は、Cisco Unified Computing System (Cisco UCS) ドメイン全体を管理する製品です。

Virtualized Packet Core-Distributed Instance (2018/02/07)

Cisco Virtualized Packet Core-Distributed Instance (VPC-DI) には、サービス不能攻撃を許してしまう脆弱性 (CVE-2018-0117) が存在します。この問題は、ユーザトラフィック処理に関するもので、不正なトラフィックを受信した場合に処理できないエラー状態となり、関連モジュールのリロードが発生する可能性があります。

RV132W、RV134W (2018/02/07)

Cisco RV132W ADSL2+ Wireless-N VPN、RV134W VDSL2 Wireless-AC VPN ルータには、管理者権限での任意のコード実行を許してしまう脆弱性 (CVE-2018-0125) が存在します。この問題は、HTTP 要求処理に存在する適切でない入力確認 (CWE-20) に起因するもので、脆弱性を悪用された場合、管理者権限での機器制御を許してしまう可能性があります。

(S11) Samba

Samba 4.7.5 リリース (2018/02/07)

Samba 4.7.5 では、kerberos、samba モジュールなどに存在する計 14 件の不具合を修正しています。セキュリティアップデートは含まれていません。

(S15) PostgreSQL

PostgreSQL 10.2、9.6.7、9.5.11、9.4.16、9.3.21 リリース (2018/02/08)

PostgreSQL 10.2、9.6.7、9.5.11、9.4.16、9.3.21 では、テーブルパーティショニング処理、pg_dumpall 処理に存在する情報漏洩を許してしまう脆弱性 (CVE-2018-1052、CVE-2018-1053) を解決しています。pg_dumpall 処理に存在する問題は、作業ディレクトリに読み取りあるいは変更可能な暗号化されたまたは暗号化されていないデータベースパスワードを含む可能性のあるファイルを格納してしまうことに起因しています。

(S16) VMware 製品

VMware セキュリティアップデート:VMSA-2018-0007 (2018/02/08)

vCloud Usage Meter、Identity Manager、vCenter Server、vSphere Data Protection、vSphere Integrated Containers、vRealize Automation における Meltdown と Spectre の影響を報告しています。

VMware セキュリティアップデート:VMSA-2018-0006 (2018/01/26)

vRealize Automation、vSphere Integrated Containers にはデシリアライズの処理に関連して任意のコマンド実行を許してしまう脆弱性 (CVE-2017-4947)、VMware AirWatch Console にはクロスサイトリクエストフォージェリ問題 (CWE-352) が存在します。

(S20) Red Hat

Red Hat (2018/02/12)

Red Hat 製品でサポートされている Adobe Flash プラグインのセキュリティアップデート (RHSA-2018:0285) がリリースされました。このアップデートでは、Adobe Flash Player 28.0.0.161 で解決した脆弱性に対応しています。

(S21) Web アプリケーションならびに CMS

WordPress 4.9.4 リリース (2018/02/06)

WordPress 4.9.4 では、WordPress 4.9.3 で発生した自動バックグラウンド更新が動かなくなる不具合を修正したリリースです。

WordPress 4.9.3 リリース (2018/02/05)

WordPress 4.9.3 は、不具合の修正や改善を目的としたリリースで、カスタマイザーチェンジセット、ウィジェット、ビジュアルエディタ、PHP 7.2 互換など計 34 件の修正と改善が施されました。セキュリティアップデートは含まれていません。

WordPress 4.9.2 リリース (2018/01/16)

WordPress 4.9.2 では、MediaElement ライブラリの Flash フォールバックファイル内に存在するクロスサイトスクリプティング問題 (CWE-79) を解決しています。

Joomla! 3.8.5 リリース (2018/02/06)

Joomla! 3.8.5 は、不具合の修正や改善を目的としたリリースです。

Joomla! 3.8.4 リリース (2018/01/30)

Joomla! 3.8.4 では、4 件のクロスサイトスクリプティング問題 (CVE-2018-6376、CVE-2018-6377、CVE-2018-6379、CVE-2018-6380) を解決しています。また、これらセキュリティ問題に加えて、100 件以上の不具合を修正しています。


担当:寺田、大西/HIRT