ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2018.07.02>

更新日:<2018.07.02>

(C01) Mozilla

Firefox 61.0、ESR 60.1、ESR 52.9 リリース (2018/06/26)

Firefox 61.0 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、アクセス権限の昇格、情報漏洩を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 18 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。また、ESR として脆弱性を解決したバージョン ESR 60.1、ESR 52.9 がリリースされました。

(C08) アップル製品

SwiftNIO 1.8.0 リリース (2018/06/27)

イベント駆動型ネットワークアプリケーション向けフレームワークSwiftNIO 1.8.0 では、領域外メモリへの書き出し (out-of-bounds write: CWE-787) に起因する脆弱性 (CVE-2018-4281) を解決しています。

(I01) ヘルスケア製品

Medtronic の MyCareLink Patient Monitor (2018/06/28)

公共衛生・ヘルスケア分野で利用されているアイルランド Medtronic (medtronic.com) の心臓ペースメーカーの患者モニタ装置である MyCareLink Patient Monitor には、パスワードがハードコーディングされている問題 (CWE-259)(CVE-2018-8868)、装置上の任意のメモリを読み書きできるデバック機能が利用できる問題 (CVE-2018-8870) が存在します。

(S09) PHP

PHP 7.2.7、7.1.19 リリース (2018/06/25)

PHP 7.2.7、7.1.19 では、CLI Server、OpenSSL、SPL、Standard などのコンポーネントに存在する計 7 件、計 6 件の不具合を修正しています。

(S11) Samba

Samba 4.8.3 リリース (2018/06/26)

Samba 4.8.3 では、ldb モジュールに存在するメモリリークの修正、smbd、krb5 関連モジュールなどに存在する計 21 件の不具合を修正しています。セキュリティアップデートは含まれていません。

(S13) Tomcat

Tomcat 9.0.10、8.5.32 リリース (2018/06/25)

Tomcat 9.0.10、8.5.32 は、不具合の修正や改善を目的としたリリースです。ホスト検証の不具合の修正、IPv4/v6 クライアントを対象にアドレス範囲で要求可否を処理できるフィルタ、Windows 版バイナリを OpenSSL 1.0.2o と APR 1.6.3 に対応させるために、Tomcat Native 1.2.17 にアップデートするなどの強化を施しています。また、セキュリティアップデートとして、CORS(Cross-Origin Resource Sharing) フィルタのデフォルト設定がセキュアではないという脆弱性 (CVE-2018-8014) を解決しています。9.0.9 はリリースされていません。

(S16) VMware 製品

VMware セキュリティアップデート:VMSA-2018-0016 (2018/06/28)

VMware ESXi、Workstation、Fusion のシェーダトランスレータには、領域外のメモリ参照 (out-of-bounds read:CWE-125) に起因して情報漏洩やサービス不能攻撃を許してしまう脆弱性 (CVE-2018-6965、CVE-2018-6966、CVE-2018-6967) が存在します。

(S20) Red Hat

Red Hat (2018/07/02)

Red Hat 製品でサポートされている Firefox のセキュリティアップデート (RHSA-2018:2112、RHSA-2018:2113) がリリースされました。このアップデートでは、Firefox 60.1.0 ESR で解決した脆弱性に対応しています。

(S21) Web アプリケーションならびに CMS

Joomla! 3.8.10 リリース (2018/06/26)

Joomla! 3.8.10 は、3.8.9 で作り込んでしまった不具合 1 件の修正を目的としたリリースです。

Joomla! 3.8.9 リリース (2018/06/26)

Joomla! 3.8.9 では、PHP 5.3 の class_exists 機能を使用した検証が適切でないために、意図していないファイル読み込みを許してしまう脆弱性 (CVE-2018-12712)、クロスサイトスクリプティング問題 (CWE-79)(CVE-2018-12711) を解決しています。また、これらセキュリティ問題に加えて、タグインデックスの改善、フォルダ探索とファイルアップロード処理での不具合などを修正しています。


担当:寺田、大西/HIRT