ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2018.05.07>

更新日:<2018.05.07>

(C01) Mozilla

Firefox 59.0.3、ESR 52.7.4 リリース (2018/04/30)

Firefox 59.0.3、ESR 52.7.4 では、Windows 10 との互換性に関する不具合を修正しています。セキュリティアップデートは含まれていません。

Firefox 59.0.2、ESR 52.7.3 リリース (2018/03/26)

Firefox 59.0.2、ESR 52.7.3 では、メモリの解放後使用 (use-after-free: CWE-416) に起因して、サービス不能攻撃を許してしまう脆弱性 (CVE-2018-5148) を解決しています。

(C08) アップル製品

Ubuntu 14.04 版 Swift 4.1.1 リリース (2018/05/04)

Apple Watch 向けのアプリケーション開発言語である Ubuntu 14.04 版 Swift 4.1.1 では、任意のコード実行やアクセス権限の昇格を許してしまう脆弱性 (CVE-2018-4220) を解決しています。

(C11) マイクロソフト製品

マイクロソフト 定例外セキュリティアップデート (2017/05/02)

Docker Engine から Hyper-V Host Compute Service Library を呼び出すモジュールである Windows Host Compute Service Shim (hcsshim) には、任意のコード実行を許してしまう脆弱性が存在します。5月 2日、定例外で hcsshim の脆弱性 (CVE-2018-8115) を解決したバージョン 0.6.10 がリリースされました。

(I01) ヘルスケア製品

Philips の CT (2018/05/04)

公共衛生・ヘルスケア分野で利用されているオランダ Philips (philips.com) のコンピュータ断層撮影装置 Brilliance Computed Tomography には、誤った領域へのリソース開示 (CWE-668)、必要以上に高い権限でのプログラム実行 (CWE-250)、資格情報がハードコーディングされている問題 (CWE-798) に起因して、アクセス権限の昇格や不正アクセスを許してしまう脆弱性 (CVE-2018-8853、CVE-2018-8857、CVE-2018-8861) が存在します。

(I02) 制御システム製品

Lantech の IDS 2102 (2018/05/03)

重要製造業分野で利用されている台湾 Lantech (lantechcom.tw) の RS232/422/485 ポートと LAN との変換アダプタである IDS 2102 には、適切でない入力確認 (CWE-20)、スタックオーバーフロー (CWE-121) に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2018-8865、CVE-2018-8869) が存在します。

(S01) シスコ製品

WebEx Network Recording Player (2018/05/02)

WebEx Network Recording Player の ARF(Advanced Recording Format) ファイル処理には、任意のコード実行を許してしまう脆弱性 (CVE-2018-0264) が存在します。

Prime File Upload Servlet (2018/05/02)

データセンタ基盤の稼働性、信頼性を管理する Cisco Prime Data Center の Network Manager Server、有線と無線 LAN 統合管理を実現する Prime Infrastructure の Prime File Upload Servlet には、ディレクトリトラバーサル問題 (CWE-22) に起因して、任意のファイルアップロードと任意のコード実行を許してしまう脆弱性 (CVE-2018-0258) が存在します。

Secure Access Control System (2018/05/02)

アクセス制御管理製品である Cisco Secure Access Control System のレポートコンポーネントの AMF (Action Message Format) プロトコル処理には、適切でない入力確認 (CWE-20) に起因して、任意のコマンド実行を可能にしてしまう脆弱性 (CVE-2018-0253) が存在します。

Wireless LAN Controller (2018/05/02)

Wireless LAN Controller の IPv4 パケットの パケット再組立ての際に、リソース管理の問題 (CWE-399) に起因して、サービス不能攻撃を許してしまう脆弱性 (CVE-2018-0252) が存在します。

ミーティングサーバ (2018/05/02)

ミーティングサーバには、不正アクセスや情報漏洩を許してしまう脆弱性 (CVE-2018-0262) が存在します。この問題は、適切でないデフォルト設定に起因して、内部用のインタフェースに、外部インタフェースからアクセスできてしまうことによるものです。

Aironet シリーズ (2018/05/02)

Cisco Aironet 1810/1830/1850 シリーズの PPTP 処理には、適切でない入力確認 (CWE-20) に起因して、サービス不能攻撃を許してしまう脆弱性 (CVE-2018-0234) が存在します。また、Cisco Aironet 1800/2800/3800 シリーズの SSH 接続には、Cisco Mobility Express controller 用のデフォルトユーザアカウントの作成に関連して、管理者権限での不正アクセスを許してしまう脆弱性 (CVE-2018-0226) が存在します。

(S13) Tomcat

Tomcat 9.0.8、8.5.31 リリース (2018/05/03)

Tomcat 9.0.8、8.5.31 は、不具合の修正や改善を目的としたリリースです。RFC 7230、RFC 3986 に準拠しないユーザエージェントを想定した構成オプションの実装、複数ホスト /Web アプリケーションでのクロールする場合に CrawlerSessionManagerValve の有効化、Java 11 EA 用のアノテーションスキャンニング処理の追加などを施しています。リリース時点で、セキュリティアップデートの報告はありません。


担当:寺田、大西/HIRT