ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2018.08.06>

更新日:<2018.08.06>

(C10) Google Chrome

Google Chrome 68.0.3440.84 リリース (2018/07/31)

Chrome 68.0.3440.84 は、安定性、性能、セキュリティの改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。

(I02) 制御システム製品

AVEVA の Wonderware License Server (2018/07/31)

化学、重要製造業、エネルギー、農業・食料、上下水道分野で利用されている英 AVEVA(aveva.com) の Wonderware License Server には、メモリバッファ境界での適切でない操作制限 (CWE-119) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2015-8277) が存在します。License Server は、Wonderware が供給しているライセンス管理製品です。

AVEVA の InTouch Access Anywhere (2018/07/31)

化学、重要製造業、エネルギー、農業・食料、上下水道分野で利用されている英 AVEVA(aveva.com) の InTouch Access Anywhere には、クロスサイトスクリプティング問題 (CWE-79)(CVE-2015-9251) が存在します。InTouch Access Anywhere は、Wonderware が供給している Web ブラウザによる監視画面の表示や操作を可能にする Web HMI 製品です。

WECON の LeviStudioU (2018/07/31)

重要製造業、エネルギー、上下水道分野で利用されている中国 WECON (we-con.com.cn) の HMI プログラミングソフトウェアである LeviStudioU のプロジェクトファイル処理には、スタックオーバーフロー (CWE-121)、ヒープオーバーフロー (CWE-122) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2018-10602、CVE-2018-10606) が存在します。

Johnson Controls の Metasys、BCPro (2018/07/31)

重要製造業分野で利用されているアイルランド Johnson Controls (johnsoncontrols.com) の Metasys、BCPro の HTTP 処理には、エラーメッセージからの情報漏洩 (CWE-209) を許してしまう脆弱性 (CVE-2018-10624) が存在します。Metasys、BCPro は、エネルギーマネジメント機能を兼ね備えたビルオートメーションシステム製品です。

Davolink の DVW (2018/07/31)

情報技術分野で利用されている韓国 Davolink (davolink.co.kr) のネットワークスイッチ DVW-3200N には、強度を持ったパスワードハッシュで保護していない問題 (CWE-916) に起因して、装置のパスワードの入手を許してしまう脆弱性 (CVE-2018-10618) が存在します。

(S00) 日立製品

Hitachi Command Suite 製品、Hitachi Infrastructure Analytics Advisor (2018/07/27)

Hitachi Command Suite 製品および Hitachi Infrastructure Analytics Advisor には、複数の脆弱性が存在します。脆弱性は、Java SE 8 Update 181 で解決した ライブラリ、Concurrency、JSSE に存在する問題です。

Cosminexus 製品 (2018/07/27)

Cosminexus Developer's Kit for Java、Hitachi Developer's Kit for Java を構成部品として使用している Cosminexus 製品には、複数の脆弱性が存在します。脆弱性は、Java SE 8 Update 181 で解決した ライブラリ、Concurrency、JSSE に存在する問題です。

(S01) シスコ製品

Prime Collaboration Provisioning (2018/08/01)

ネットワーク管理製品である Cisco Prime Collaboration のプロビジョニングには、機器の制御やサービス不能攻撃を許してしまう脆弱性 (CVE-2018-0391) が存在します。この問題は、パスワード変更の検証が適切でないことから、特定の管理者権限アカウントのパスワードを変更されてしまう可能性があることに起因します。

(S04) DNS [BIND/NSD/Unbound/PowerDNS]

NSD 4.1.23 リリース (2018/08/01)

DNS コンテンツサーバ (権威 DNS サーバ) の一つである NSD (Name Server Daemon) のバージョン 4.1.23 では、タイミング攻撃により TSIG(Transaction Signature) 秘密鍵の漏洩を許してしまう脆弱性を解決しています。

(S19) Squid

Squid 4.2 リリース (2018/08/05)

Squid 4.2 は、不具合の修正や改善を目的としたリリースです。長い URL のログ出力、ミリ秒のログフォーマット使用時の不具合などを修正しています。セキュリティアップデートは含まれていません。

(S21) Web アプリケーションならびに CMS

WordPress 4.9.8 リリース (2018/08/03)

WordPress 4.9.8 は、不具合の修正や改善を目的としたリリースで、プライバシー関連など計 46 件の修正と改善が施されました。セキュリティアップデートは含まれていません。

Drupal 8.5.6 リリース (2018/08/01)

Drupal は、PHP 上で動作するアプリケーションフレームワーク Symfony ライブラリを使用しています。Drupal 8.5.6 では、Symfony ライブラリで解決した HTTP ヘッダ処理の脆弱性 (CVE-2018-14773) に対応しています。

Joomla! 3.8.11 リリース (2018/07/31)

Joomla! 3.8.11 は、不具合の修正や改善を目的としたリリースです。


担当:寺田、大西/HIRT