ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2018.02.26>

更新日:<2018.02.26>

(C01) Mozilla

Firefox 58.0.2 リリース (2018/02/07)

Firefox 58.0.2 では、署名検証の不具合、印刷中に発生するタブ操作での異常終了、Hotmail や Outlook ウェブメールでのリンククリックの不具合などを修正しています。

(C08) アップル製品

tvOS 11.2.6 リリース (2018/02/19)

tvOS 11.2.6 では、CoreText コンポーネントに存在するメモリ破損 (memory corruption:CWE-119) の脆弱性 (CVE-2018-4124) を解決しています。

watchOS 4.2.3 リリース (2018/02/19)

watchOS 4.2.3 では、CoreText コンポーネントに存在するメモリ破損 (memory corruption:CWE-119) の脆弱性 (CVE-2018-4124) を解決しています。

iOS 11.2.6 リリース (2018/02/19)

iOS 11.2.6 では、CoreText コンポーネントに存在するメモリ破損 (memory corruption:CWE-119) の脆弱性 (CVE-2018-4124) を解決しています。

macOS High Sierra 10.13.3 追加アップデート (2018/02/19)

macOS High Sierra 10.13.3 追加アップデートでは、CoreText コンポーネントに存在するメモリ破損 (memory corruption:CWE-119) の脆弱性 (CVE-2018-4124) を解決しています。

(C10) Google Chrome

Google Chrome 64.0.3282.186 リリース (2018/02/22)

Chrome 64.0.3282.186 は、安定性、性能、セキュリティの改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。

(I02) 制御システム製品

ABB の netCADOPS Web Application (2018/02/20)

重要製造業、エネルギー分野で利用されているスイス ABB (abb.com) の電気配電管理システム netCADOPS ウェブアプリケーションには、パスワード処理に脆弱性が存在します。悪用された場合、データベースの情報漏洩を許してしまう可能性があります。

(S00) 日立製品

日立ディスクアレイシステム SVP (2018/02/23)

日立ディスクアレイシステム SVP には、マイクロソフト 2018年 2月の月例セキュリティアップデートで解決した脆弱性の影響はありません。

日立ディスクアレイシステム (2018/02/22)

日立ディスクアレイシステムには、ディスクアレイ装置の冗長コントローラが異常停止するというサービス不能攻撃を許してしまう脆弱性が存在します。不正な SSL パケットを受信した場合に脆弱性の影響を受ける可能性があります。

(S01) シスコ製品

Unified Communications Domain Manager (2018/02/21)

Cisco Unified Communications Domain Manager には、任意のコード実行などを許してしまう脆弱性 (CVE-2018-0124) が存在します。この脆弱性は、アプリケーション設定の際に生成される鍵に起因する問題です。

Elastic Services Controller Service Portal (2018/02/21)

仮想化ネットワーク機能向けのライフサイクル管理プラットフォーム Cisco Elastic Services Controller Service Portal には、認証機構の迂回、不正アクセスを許してしまう脆弱性 (CVE-2018-0121、CVE-2018-0130) が存在します。認証機構の迂回は、管理者のパスワード認証の際に空パスワードを受け入れてしまう問題です。不正アクセスを許してしまう脆弱性は、固定なデフォルトの資格情報が存在することに起因する問題です。

Unified Customer Voice Portal (2018/02/21)

固定ネットワークとモバイルネットワークにおける音声、ビデオ、データ、モバイルなどのアプリケーション統合を可能にする Cisco Unified Customer Voice Portal の Interactive Voice Response 管理コネクションインタフェースには、TCP パケット処理が適切でないことに起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2018-0139) が存在します。この問題は、Interactive Voice Response 通信が新たに TCP コネクション確立要求を受信すると、その通信が終了してしまう可能性があります。

(S10) Ruby

RubyGems 2.7.6 リリース (2018/02/17)

Ruby の標準添付ライブラリである RubyGems 2.7.6 では、ディレクトリトラバーサル問題 (CWE-22)、クロスサイトスクリプティング問題 (CWE-79) など、複数の脆弱性を解決しています。

(S13) Tomcat

Tomcat 9.0.5、8.5.28、8.0.50、7.0.85 での脆弱性対策 (2018/02/23)

2月23日、Tomcat 9.0.5、8.5.28、8.0.50、7.0.85 で解決した脆弱性情報が掲載されました。報告された脆弱性は、サーブレットや URL パターンに対するセキュリティ制約が適切に設定されないために、情報漏洩やアクセス制御機構の迂回を許してしまう問題 (CVE-2018-1305、CVE-2018-1304) です。

(S21) Web アプリケーションならびに CMS

Drupal 8.4.5、7.57 リリース (2018/02/21)

Drupal 8.4.5 では、バージョン 7 ならびに 8 に影響を与える複数の脆弱性を解決しています。報告されている脆弱性は、クロスサイトスクリプティング問題 (CWE-79)、アクセス制御機構の迂回により情報漏洩を許してしまう問題などです。


担当:寺田、大西/HIRT