更新日:<2018.04.16>
Adobe Flash Player 29.0.0.140 では、メモリの解放後使用 (use-after-free: CWE-416)、領域外メモリへの書き出し (out-of-bounds write: CWE-787) に起因して任意のコード実行を許してしまう問題 (CVE-2018-4932、CVE-2018-4935、CVE-2018-4937)、領域外のメモリ参照 (out-of-bounds read: CWE-125) などに起因して情報漏洩を許してしまう問題 (CVE-2018-4933、CVE-2018-4934、CVE-2018-4936) を解決しています。
2018年 4月の月例セキュリティアップデートでは 67 件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行 32 件、サービス不能 4 件、アクセス権限の昇格 7 件、なりすまし 0 件、情報漏洩 21 件、セキュリティ機構の迂回 3 件です。
重要製造業、エネルギー、農業・食料分野などで利用されている横河電機 (yokogawa.co.jp) の統合生産制御システム CENTUM、OPC インタフェースパッケージ Exaopc には、適切でないアクセス許可、権限、制御 (CWE-264) に起因して誤ったアラームの生成やアラーム表示のブロックなどを許してしまう複数の脆弱性 (CVE-2018-8838) が存在します。
重要製造業分野で利用されているオムロン (omron.co.jp) の FA 統合ツールパッケージである CX-One には、プロジェクトファイル処理に、スタックオーバーフロー (CWE-121)、ヒープオーバーフロー (CWE-122)、型の取り違え (type confusion: CWE-843) に起因して任意のコード実行を許してしまう複数の脆弱性 (CVE-2018-7514、CVE-2018-7530、CVE-2018-8834) が存在します。
商業施設、防衛産業基盤、政府施設、原子炉・核物質・核廃棄物分野で利用されている米 ATI Systems (atisystem.com) の緊急通知システムには、適切でない認証 (CWE-287)、重要な情報を暗号化していない問題 (CWE-311) に起因して不正な無線により誤った発報を許してしまう脆弱性 (CVE-2018-8862、CVE-2018-8864) が存在します。
Tomcat 9.0.7、8.5.30 は、不具合の修正や改善を目的としたリリースで、ログの維持期間を指定する maxDays 属性の追加、サーバからのプッシュストリームを開始する HTTP/2 PUSH_PROMISE に関するプロトコル処理不具合の修正、OpenSSL エンジンでの SSL セッション処理の改善などを施しています。リリース時点で、セキュリティアップデートの報告はありません。
Tomcat 8.5.29 は、不具合の修正や改善を目的としたリリースで、TLS の安定性の改善などを施しています。リリース時点で、セキュリティアップデートの報告はありません。
vRealize Automation には、DOM(Document Object Model) 型のクロスサイトスクリプティング問題 (CWE-79)(CVE-2018-6958)、セッションハイジャックを許してしまう脆弱性 (CVE-2018-6959) が存在します。
Red Hat 製品でサポートされている Adobe Flash プラグイン (RHSA-2018:1119)、SSH2 接続用の Python モジュールである python-paramiko (RHSA-2018:1124, RHSA-2018:1125) のセキュリティアップデート (深刻度:緊急) がリリースされました。Adobe Flash プラグインでは、Adobe Flash Player 29.0.0.140 で解決した脆弱性に対応しています。python-paramiko では、transport.py に存在する認証機構の迂回を許してしまう脆弱性 (CVE-2018-7750) を解決しています。
担当:寺田、大西/HIRT
