ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2018.06.11>

更新日:<2018.06.11>

(C01) Mozilla

Firefox 60.0.2、ESR 60.0.2、ESR 52.8.1 リリース (2018/06/06)

Firefox 60.0.2 では、2 次元コンピュータグラフィックス Skia ライブラリに存在するヒープオーバーフローに起因して、サービス不能攻撃を許してしまう脆弱性 (CVE-2018-6126) を解決しています。また、ESR として脆弱性を解決したバージョン ESR 60.0.2、ESR 52.8.1 がリリースされました。

(C02) アドビ システムズ製品

Adobe Flash Player 30.0.0.113 リリース (2018/06/07)

Adobe Flash Player 30.0.0.113 では、型の取り違え (type confusion: CWE-843)、整数オーバーフロー (CWE-190)、領域外のメモリ参照 (out-of-bounds read: CWE-125)、スタックオーバーフロー (CWE-121)に起因して任意のコード実行を許してしまう問題 (CVE-2018-4945、CVE-2018-5000 〜 CVE-2018-5002) を解決しています。

(C10) Google Chrome

Google Chrome 67.0.3396.79 リリース (2018/06/06)

Chrome 67.0.3396.79 では、適切でないCSP(Content Security Policy) ヘッダ処理の脆弱性 (CVE-2018-6148) を解決しています。

(I01) ヘルスケア製品

Philips の IntelliVue 生体情報モニタ、Avalon 分娩監視装置 (2018/06/05)

公共衛生・ヘルスケア分野で利用されているオランダ Philips (philips.com) の IntelliVue 生体情報モニタ、Avalon 分娩監視装置には、適切でない認証 (CWE-287)、スタックオーバーフロー (CWE-121) に起因して、情報漏洩やサービス不能攻撃を許してしまう脆弱性 (CVE-2018-10597、CVE-2018-10599、CVE-2018-10601) が存在します。

(I02) 制御システム製品

Rockwell Automation の RSLinx Classic、FactoryTalk Linx Gateway (2018/06/07)

重要製造業、エネルギー、上下水道分野などで利用されている米 Rockwell Automation (rockwellautomation.com) の プラントフロアのデバイスに接続する通信サーバ RSLinx Classic、FactoryTalk Linx で収集した情報を外部に配信する FactoryTalk Linx Gateway には、引用符で囲まれていないプログラムパス (CWE-428) に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2018-10619) が存在します。

ABB の IP Gateway (2018/06/05)

エネルギー分野で利用されているスイス ABB (abb.com) の IP Gateway には、適切でない認証 (CWE-287)、クロスサイトリクエストフォージェリ問題 (CWE-352)、パスワードなどのアカウント情報が平文のまま格納されている問題 (CWE-256) に起因して、管理者権限での不正操作を許してしまう脆弱性 (CVE-2017-7906、CVE-2017-7931、CVE-2017-7933) が存在します。IP Gateway は、ABB-Welcome ホームオートメーション機器と IP ネットワークとを仲介する製品です。

(S00) 日立製品

Cosminexus HTTP Server (2018/06/08)

Cosminexus HTTP Server には、OpenSSL 1.1.0h、1.0.2o で解決した ASN.1 データ処理に存在するサービス不能攻撃を許してしまう脆弱性 (CVE-2018-0739) が存在します。

Cosminexus HTTP Server、Hitachi Web Server (2018/06/08)

Cosminexus HTTP Server、Hitachi Web Server には、Apache httpd 2.4.33 で解決したサービス不能攻撃を許してしまう脆弱性 (CVE-2018-1301)、FilesMatch において認証を迂回を許してしまう脆弱性 (CVE-2017-15715) が存在します。

(S01) シスコ製品

Prime Collaboration Provisioning (2018/06/06)

ネットワーク管理製品である Cisco Prime Collaboration のプロビジョニングには、Java RMI への不正アクセス、SQL インジェクション問題 (CWE-89)、パスワードリセットや復元などの適切でないパスワード管理、アクセス制御機構の迂回に起因して、アクセス権限の昇格を伴う不正アクセスを許してしまう脆弱性 (CVE-2018-0317 〜 CVE-2018-0322) が存在します。

Network Services Orchestrator (2018/06/06)

物理と仮想両方のネットワークでサービスをプロビジョニングする Network Services Orchestrator の CLI 処理には、管理者権限で、任意のシェルコマンド実行を許してしまう脆弱性 (CVE-2018-0274) が存在します。

IP Phone 6800、7800、8800 シリーズ (2018/06/06)

IP Phone 6800、7800、8800 シリーズの SIP 処理には、サービス不能攻撃を許してしまう脆弱性 (CVE-2018-0316) が存在します。不正な SIP パケットを受信した場合に影響を受ける可能性があります。

コラボレーション製品のシステムログファイル処理 (2018/06/06)

コラボレーション製品のシステムログ処理には、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-6779) が存在します。この問題は、システムログのファイルサイズ上限が設定されていないことに起因しています。

Meeting Server (2018/06/06)

ビデオ会議システムである Meeting Server には、情報漏洩を許してしまう脆弱性 (CVE-2018-0263) が存在します。この問題は、適切でないデフォルト設定に起因して、内部用のインタフェースに、外部インタフェースからアクセスできてしまうことによるものです。

ASA (Adaptive Security Appliances)(2018/06/06)

セキュリティアプライアンスである ASA (Adaptive Security Appliances) の HTTP URL 処理には、入力検証が適切でないために、不正な HTTP アクセスによりサービス不能攻撃を許してしまう脆弱性 (CVE-2018-0296) が存在します。

(S21) Web アプリケーションならびに CMS

Drupal 8.5.4 リリース (2018/06/06)

Drupal 8.5.4 は、不具合の修正や改善を目的としたリリースです。


担当:寺田、大西/HIRT