更新日:<2018.07.23>
7 月の Critical Patch Update で報告された脆弱性 8 件のうち、認証操作なしでリモートからの攻撃を許してしまう脆弱性の件数は 8 件です。このうち、Java SE 8 Update 181 には、Java DB、ライブラリ、JavaFX、Windows DLL、Concurrency、Deployment、セキュリティ、JSSE などに関する計 7 件のセキュリティアップデートが含まれています。このアップデートでは、Java DB の削除、LDAPS 接続でのエンドポイント識別の有効化、スタックウォーキングの改善、Garbage First Garbage Collector 中の JVM クラッシュの修正などが施されました。Java SE 8 Update 181 には、セキュリティアップデートに加えて複数バグの修正が含まれています。また、6 件の脆弱性を解決する Java SE 10.0.2 がリリースされました。
重要製造業、エネルギー、輸送分野で利用されている台湾 MOXA (moxa.com) の NPort 5210、5230、5232 シリーズには、適切でないリソース消費制限 (CWE-400) に起因して、サービス不能攻撃を許してしまう脆弱性 (CVE-2018-10632) が存在します。NPort シリーズはシリアルと Modbus/TCP 接続、シリアルとイーサネット接続などの接続機器です。
商業施設、重要製造業、情報技術分野で利用されている米 Echelon (echelon.com) の SmartServer、i.LON には、情報漏洩 (CWE-200)、認証機構の迂回、パスワードなどのアカウント情報が平文のまま格納されている問題 (CWE-256)、重要な情報を平文のまま転送している問題 (CWE-319)、計 4 件の脆弱性 (CVE-2018-10627、CVE-2018-8851、CVE-2018-8855、CVE-2018-8859) が存在します。脆弱性を悪用された場合、任意のコード実行を許してしまう可能性があります。SmartServer は、コントローラ兼ルータ兼スマートエネルギーマネージャ製品で、i.LON は、LONWORKS ベースの機器を LAN などに接続する製品です。
重要製造業、エネルギー、農業・食料、化学、上下水道分野で利用されている英 AVEVA(aveva.com) の InTouch には、スタックオーバーフロー (CWE-121) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2018-10628) が存在します。InTouch は、Wonderware が供給している SCADA システム用 HMI (Human Machine Interface) パッケージです。
商業施設、重要製造業、エネルギー、輸送、上下水道分野で利用されている英 AVEVA(aveva.com) の HMI SCADA ソフトウェア InduSoft Web Studio、InTouch Machine Edition には、スタックオーバーフロー (CWE-121) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2018-10620) が存在します。
通信、重要製造業、情報技術で利用されている独 PEPPERL+FUCHS/ecom instruments(pepperl-fuchs.com) の 産業用端末である VisuNet RM、VisuNet PC、Box Thin Client には、適切でない認証 (CWE-287) に起因して不正アクセスを許してしまう脆弱性 (CVE-2018-0886) が存在します。
商業施設、重要製造業、エネルギー、輸送分野で利用されている独 WAGO (wago.com) の HMI 表示端末である e!DISPLAY Web-Based-Management には、クロスサイトスクリプティング問題 (CWE-79)、適切でないアップロートファイル制限 (CWE-434)、重要な資源に対する適切でないアクセス許可 (CWE-732) に起因して、ファイル改ざんを許してしまう脆弱性 (CVE-2018-12981) が存在します。
化学、重要製造業、エネルギー、ダム、上下水道、農業・食料分野で利用されているスイス ABB (abb.com) の Panel Builder には、適切でない入力確認 (CWE-20) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2018-10616) が存在します。Panel Builder は、オペレータパネルを作成するためのエンジニアリングツールです。
Nexus 9000 シリーズ Fabric Switches の Application-Centric Infrastructure モードには、サービス不能攻撃を許してしまう脆弱性 (CVE-2018-0372) が存在します。不正な DHCPv6 パケットを受信した場合に影響を受ける可能性があります。
各種ネットワークでのポリシー制御とサービス管理をする Policy Suite には、複数の脆弱性が存在します。Cluster Manager には資格情報がハードコーディングされている問題 (CWE-798)(CVE-2018-0375)、Policy Builder、OSGi インタフェースには、不正アクセスを許してしまう問題 (CVE-2018-0374、CVE-2018-0376、CVE-2018-0377)、SD-WAN ソリューションには、コマンドインジェクション、任意のコード実行、サービス不能攻撃、任意のファイル上書き問題 (CVE-2018-0347、CVE-2018-0350、CVE-2018-0348、CVE-2018-0351、CVE-2018-0345、CVE-2018-0346、CVE-2018-0349) が報告されています。
WebEx Network Recording Player の ARF/WRF ファイル処理には、メモリバッファ境界での適切でない操作制限 (CWE-119) に起因して、任意のコード実行やサービス不能攻撃を許してしまう脆弱性 (CVE-2018-0379) が存在します。
Oracle Critical Patch Update Advisory - July 2018 には、Database Server 系 4 件、Fusion Middleware 系 44 件、Applications 系 49 件、仮想化系 12 件、MySQL 系 31 件、Java SE 系 8 件、計 334 件のセキュリティアップデートが含まれています。認証操作なくリモートからの攻撃を許してしまう脆弱性の件数は計 205 件となっています。
Apache httpd 2.4.34 では、mod_md(Managed Domain)、mod_http2 モジュールに存在する不正な HTTP 要求を処理した際に発生するサービス不能攻撃を許してしまう問題 (CVE-2018-8011、CVE-2018-1333)を解決しています。
PHP 7.2.8、7.1.20、7.0.31、5.6.37 では、Exif コンポーネントに存在するヒープオーバーフロー 問題 (CWE-122) を解決しています。また、Core、Date、Win32 などのコンポーネントに存在する計 19 件、15 件、3 件、3 件の不具合を修正しています。
Squid 3.5.28 は、不具合の修正や改善を目的としたリリースです。クライアントコネクションがない場合のログ取得、ステータスコード 206(Partial Content) 以外での Content-Range の無視などの処理を修正しています。セキュリティアップデートは含まれていません。
担当:寺田、大西/HIRT
