更新日:<2018.05.28>
公共衛生・ヘルスケア分野で利用されている米 BeaconMedaes (beaconmedaes.com) の医療用空気圧縮システム TotalAlert Scroll Medical Air Systems には、適切でないアクセス制御 (CWE-284)、十分でない資格情報保護 (CWE-522)、パスワードなどのアカウント情報が平文のまま格納されている問題 (CWE-256) に起因して、装置への不正アクセスを許してしまう脆弱性 (CVE-2018-7515、CVE-2018-7518、CVE-2018-7526) が存在します。
公共衛生・ヘルスケア分野で利用されている米 Becton, Dickinson and Company (bd.com) の 全自動検体塗布装置 Kiestra InoquIA には、安全でない操作であることをユーザに警告しない問題 (CWE-356) に起因して、データの喪失や破損を許してしまう脆弱性 (CVE-2018-10593、CVE-2018-10595) が存在します。
商業施設、エネルギー、農業・食料、政府施設、輸送、上下水道分野で利用されている仏 Schneider Electric (schneider-electric.com) のライセンス管理製品 Floating License Manager には、ヒープオーバーフロー (CWE-122)、メモリバッファ境界での適切でない操作制限 (CWE-119)、オープンリダイレクト問題 (CWE-601) に起因して、サービス不能攻撃、アクセス権限の昇格を伴う任意のコード実行や Web サイトの誘導を許してしまう脆弱性 (CVE-2016-10395、CVE-2016-2177、CVE-2017-5571) が存在します。
エネルギー分野で利用されているエストニア Martem (martem.ee) のデータコンセントレータ TELEM-GW6/GWM には、適切でないリソース消費制限 (CWE-400)、クロスサイトスクリプティング問題 (CWE-79)、重要な機能に対する認証の欠如 (CWE-306) に起因して、不正アクセス、サービス不能攻撃などを許してしまう脆弱性 (CVE-2018-10603、CVE-2018-10607、CVE-2018-10609) が存在します。
統合システム運用管理 JP1 でネットワーク管理機能を提供する JP1/Network Node Manager i には、セキュリティ機構の迂回、クロスサイトスクリプティング問題 (CWE-79)、URL リダイレクト問題を許してしまう脆弱性 (CVE-2017-8948) が存在します。
IT インフラの運用自動化や性能監視分析を行う Automation Director には、ストレージシステムのユーザ認証情報が漏洩してしまう脆弱性が存在します。
5月21日、Meltdown、Spectre から派生した CPU 脆弱性問題として、不正なシステムレジスタの参照 (CVE-2018-3640)、書込み前メモリの参照 (CVE-2018-3639) が報告されました。
PHP 7.2.6、7.1.18 では、FPM、intl、Opcache などのコンポーネントに存在する計 7 件、計 5 件の不具合を修正しています。
VMware Fusion には、署名チェックの迂回に起因してアクセス権限の昇格を許してしまう脆弱性 (CVE-2018-6962)、VMware Workstation、Fusion の RPC 処理には、NULL ポインタ参照 (NULL pointer dereference: CWE-476) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2018-6963) が存在します。
VMware vCenter Server、ESXi、Workstation、Fusion における Meltdown、Spectre から派生した CPU 脆弱性問題として、書込み前メモリの参照 (CVE-2018-3639) の影響を報告しています。
Joomla! 3.8.8 では、クロスサイトスクリプティング問題 (CWE-79)、アクセス制御機構の迂回、情報漏洩、リモートコード実行など、9 件の脆弱性を解決しています。また、これらセキュリティ問題に加えて、メールによるパスワード送信機能のデフォルト無効化、PHP 7.3 対応の改善などを施しています。
担当:寺田、大西/HIRT
