ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2018.07.09>

更新日:<2018.07.09>

(C01) Mozilla

Firefox 61.0.1 リリース (2018/07/05)

Firefox 61.0.1 では、プリファレンス、ブックマーク関連などの不具合を修正しています。セキュリティアップデートは含まれていません。

Thunderbird 52.9 リリース (2018/07/03)

Thunderbird 52.9 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、情報漏洩を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 11 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。

(C08) アップル製品

BootCamp 6.4.0 用 WiFi 更新 (2018/07/05)

BootCamp 6.4.0 用 WiFi 更新 では、WPA2 プロトコルの KRACK (Key Reinstallation Attacks) 問題として報告された脆弱性 (CVE-2017-13077、CVE-2017-13078、CVE-2017-13080) に対応しています。

(I02) 制御システム製品

Rockwell Automation の Allen-Bradley Stratix (2018/07/03)

重要製造業、エネルギー、上下水道分野で利用されている米 Rockwell Automation (rockwellautomation.com) の産業オートメーション制御システム用のセキュリティアプライアンス Stratix 5950 には、SSL VPN 機能に存在するクライアント証明書の検証機構の迂回を許してしまう脆弱性 (CVE-2018-0227)、入力フロー処理、TLS 処理、アプリケーション層のインスペクション処理に存在するサービス不能攻撃を許してしまう脆弱性 (CVE-2018-0228、CVE-2018-0231、CVE-2018-0240) が存在します。この問題は、機器が使用している Cisco Adaptive Security Appliance に存在する脆弱性に起因しています。

(S04) DNS [BIND/NSD/Unbound/PowerDNS]

BIND 9.x での不具合 (2018/07/03)

BIND 9.x に、ゾーン転送処理の不具合により、ジャーナルファイルの破損やサービス不能攻撃を許してしまう問題が報告されました。なお、BIND を開発するインターネットシステムズコンソーシアム (ISC) では、この不具合の影響はセカンダリサーバのみで限定的な影響にとどまること、2018年 7月 4 日以降、不具合を修正した BIND をリリースしていくとしています。

(S13) Tomcat

Tomcat 8.0.53、7.0.90 リリース (2018/07/05)

Tomcat 8.0.53、7.0.90 は、不具合の修正や改善を目的としたリリースです。これらのバージョンでは、Windows 版バイナリを OpenSSL 1.0.2o と APR 1.6.3 に対応させるために、Tomcat Native 1.2.17 にアップデートするなどの強化を施しています。また、セキュリティアップデートとして、CORS(Cross-Origin Resource Sharing) フィルタのデフォルト設定がセキュアではないという脆弱性 (CVE-2018-8014) を解決しています。7.0.89 はリリースされていません。

(S19) Squid

Squid 4.1 リリース (2018/07/02)

Squid 4.1 がリリースされました。3.5 からの変更点は、RFC 6176 準拠 (SSLv2 の削除)、セキュアな ICAP サービス接続、GnuTLS の試行的なサポートなどです。また、cache_peer_domain ディレクティブ、ESI カスタムパーサなどの機能が削除されました。

(S21) Web アプリケーションならびに CMS

WordPress 4.9.7 リリース (2018/07/05)

WordPress 4.9.7 では、特定の権限を持つユーザがアップロードディレクトリ外のファイル削除を許してしまう脆弱性を解決しています。4.9.6 以前のバージョンが影響を受けます。そのほか、計 17 件の不具合の修正と改善が施されました。

Drupal 8.5.5 リリース (2018/07/04)

Drupal 8.5.5 は、不具合の修正や改善を目的としたリリースです。


担当:寺田、大西/HIRT