ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2018.06.18>

更新日:<2018.06.18>

(C08) アップル製品

Xcode 9.4.1 リリース (2018/06/13)

Xcode 9.4.1 では、Git コンポーネントに存在する任意のコードの実行を許可する脆弱性 (CVE-2018-11235、CVE-2018-11233) を解決しています。

(C10) Google Chrome

Google Chrome 67.0.3396.87 リリース (2018/06/12)

Chrome 67.0.3396.87 では、領域外メモリへの書き出し (out-of-bounds write: CWE-787) の脆弱性 (CVE-2018-6149) を解決しています。

(C11) マイクロソフト製品

マイクロソフト 2018年 6月の月例セキュリティアップデート (2018/06/12)

2018年 6月の月例セキュリティアップデートでは 53 件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行 18 件、サービス不能 4 件、アクセス権限の昇格 13 件、なりすまし 0 件、情報漏洩 8 件、セキュリティ機構の迂回 9 件です。

(I01) ヘルスケア製品

Philips の IntelliVue 脳波検査システム Xltek NeuroWork (2018/06/14)

公共衛生・ヘルスケア分野で利用されている米 Natus(natus.com) の 脳波検査システム Xltek NeuroWorks には、スタックオーバーフロー (CWE-121)、領域外のメモリ参照 (out-of-bounds read: CWE-125) に起因して、任意のコード実行、サービス不能攻撃を許してしまう 8 件の脆弱性 (CVE-2017-2852、CVE-2017-2853 他) が存在します。

(I02) 制御システム製品

Siemens の ネットワーク製品 (2018/06/14)

化学、エネルギー、農業・食料、公共衛生・ヘルスケア、輸送、上下水道分野などで利用されている独 Siemens (siemens.com) の産業用イーサネットスイッチ SCALANCE X、そのほかネットワーク製品 RUGGEDCOM WiMAX、RFID などの DHCP クライアント処理には、適切でないアクセス許可、権限、制御 (CWE-264) に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2018-4833) が存在します。不正な DHCP 応答パケットを受信した際に影響を受ける可能性があります。

Siemens の SCALANCE X スイッチ (2018/06/12)

化学、エネルギー、農業・食料、公共衛生・ヘルスケア、輸送、上下水道分野などで利用されている独 Siemens (siemens.com) の産業用イーサネットスイッチ SCALANCE X には、クロスサイトスクリプティング問題 (CWE-79)(CVE-2018-4842、CVE-2018-4848) が存在します。

Schneider Electric の U.motion Builder (2018/06/12)

ダム、商業施設、重要製造業、エネルギー分野で利用されている仏 Schneider Electric (schneider-electric.com) の U.motion Builder には、スタックオーバーフロー (CWE-121)、OS コマンドインジェクション (CWE-78)、クロスサイトスクリプティング問題 (CWE-79)、HTTP 要求処理での適切でない入力確認 (CWE-20) に起因して、任意のコード実行、情報漏洩、認証機構の迂回を許してしまう脆弱性 (CVE-2018-7784、CVE-2018-7785、CVE-2018-7786、CVE-2018-7787) が存在します。U.motion Builder は、U.motion デバイス用のプログラムを作成するための製品です。

(S04) DNS [BIND/NSD/Unbound/PowerDNS]

BIND 9.x での脆弱性 (2018/06/12)

BIND 9.x には、アクセス制御機構のデフォルト設定に不具合があり、特定の条件下でオープンリゾルバー状態を許してしまう脆弱性 (CVE-2018-5738) が報告されました。設定変更での対処が可能です。BIND 9.12.0 〜 9.12.1-P2、9.11.3、9.10.7、9.9.12 が、この脆弱性の影響を受けます。

(S08) OpenSSL

OpenSSL 1.1.0、1.0.2 の脆弱性 (2018/06/12)

OpenSSL 1.1.0、1.0.2 の DH を使用した TLS ハンドシェーク処理に、サービス不能攻撃を許してしまう脆弱性が報告されました。この問題は、大きな素数を使用することで計算機資源の浪費を発生させるものです。ただし、深刻度は低いことから、アドバイザリ公開に合わせたセキュリティアップデートはありません。

(S16) VMware 製品

VMware セキュリティアップデート:VMSA-2018-0015 (2018/06/11)

VMware AirWatch Agent のリアルタイムファイルマネジャ機能に、任意のコード実行を許してしまう脆弱性 (CVE-2018-6968) が存在します。

(S20) Red Hat

Red Hat (2018/06/17)

Red Hat 製品でサポートされている Adobe Flash プラグイン (RHSA-2018:1827) のセキュリティアップデートがリリースされました。このアップデートでは、Adobe Flash Player 30.0.0.113 で解決した脆弱性に対応しています。

(S23) SAP 製品

SAP Security Patch Day - June 2018 (2018/06/12)

5 件のセキュリティノートがリリースされています。該当する製品は、SAP Business One、SAP Internet Sales3、SAP UI5 です。報告されている脆弱性は、クロスサイトスクリプティング問題 (CWE-79)(CVE-2018-2424)、情報漏洩 (CVE-2018-2425、CVE-2018-2428)、サービス不能攻撃を許してしまう脆弱性 (CVE-2014-0050) などです。


担当:寺田、大西/HIRT