ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2018.10.15>

更新日:<2018.10.15>

(C02) アドビ システムズ製品

Adobe Flash Player 31.0.0.122 リリース (2018/10/09)

Adobe Flash Player 31.0.0.122 は、不具合の修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。

(C08) アップル製品

Windows 版 iCloud 7.7 リリース (2018/10/09)

Windows 版 iCloud 7.7 では、SQLite、WebKit コンポーネントに存在する計 19 件の脆弱性を解決しています。報告されている問題は、クロスサイトスクリプティング問題 (CWE-79)、メモリの解放後使用 (use-after-free:CWE-416) やメモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題などです。

iOS 12.0.1 リリース (2018/10/08)

iOS 12.0.1 では、VoiceOver、Quick Look コンポーネントに存在する情報漏洩許してしまう計 2 件の脆弱性 (CVE-2018-4380、CVE-2018-4379) を解決しています。

(C11) マイクロソフト製品

マイクロソフト 2018年10月の月例セキュリティアップデート (2018/10/09)

2018年10月の月例セキュリティアップデートでは 51 件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行 23 件、サービス不能 0 件、アクセス権限の昇格 11 件、なりすまし 0 件、情報漏洩 13 件、セキュリティ機構の迂回 4 件です。

(I02) 制御システム製品

Delta Electronics の Delta Industrial Automation TPEditor (2018/10/11)

重要製造業分野で利用されている台湾 Delta Electronics (deltaww.com) のプログラミングソフトウェア Delta Industrial Automation TPEditor には、スタックオーバーフロー (CWE-121)、領域外メモリへの書き出し (out-of-bounds write: CWE-787) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2018-17927、CVE-2018-17929) が存在します。

NUUO の CMS (2018/10/11)

商業施設、銀行・金融、政府施設、公共衛生・ヘルスケア、輸送分野で利用されている台湾 NUUO (nuuo.com) の 集中管理システム CMS には、ランダム性が十分ではないことに起因してセッション乗っ取りを許してしまう問題 (CVE-2018-17888)、古いソフトウェアコンポーネントを使用している問題 (CVE-2018-17890)、重要な資源に対する適切でないアクセス許可 (CWE-732) に起因して不正アクセスを許してしまう問題 (CVE-2018-17892)、資格情報がハードコーディングされている問題 (CWE-798)(CVE-2018-17894) が存在します。

NUUO の NVRmini2、NVRsolo (2018/10/11)

商業施設、銀行・金融、政府施設、公共衛生・ヘルスケア、輸送分野で利用されている台湾 NUUO (nuuo.com) のネットワークビデオレコーダ NVRMini2、NVRsolo には、スタックオーバーフロー (CWE-121) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2018-1149)、デバックコードの残存 (CWE-489) に起因して不正アクセスを許してしまう脆弱性 (CVE-2018-1150) が存在します。

富士電機の Energy Savings Estimator (2018/10/09)

重要製造業分野で利用されている富士電機 (fujielectric.com) の Energy Savings Estimator には、制御されていない検索パス問題 (CWE-427) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2018-14812) が存在します。

Hangzhou Xiongmai Technology の XMeye P2P Cloud Server (2018/10/09)

様々な分野で利用されている中国 Hangzhou Xiongmai Technology (xiongmaitech.com) のネットワークカメラのクラウド機能 XMeye P2P Cloud Server には、MAC アドレスを用いてクラウドに接続できる問題 (CVE-2018-17915)、文書化されていないデフォルトアカウント情報が存在する問題 (CVE-2018-17917)、重要な情報を暗号化していない問題 (CWE-311)(CVE-2018-17919) が存在します。

Siemens の SIMATIC S7-1500 (2018/10/09)

化学、重要製造業、エネルギー、農業・食料、上下水道分野で利用されている独 Siemens (siemens.com) のコントローラ製品である SIMATIC S7-1500、SIMATIC S7-1500 Software Controller、SIMATIC ET 200SP Open Controller には、適切でない入力確認 (CWE-20) に起因して、不正なパケットを受信した際に、サービス不能攻撃を許してしまう脆弱性 (CVE-2018-13805) が存在します。

Siemens の SIMATIC S7-1200 (2018/10/09)

化学、エネルギー、農業・食料、公共衛生・ヘルスケア、輸送、上下水道分野で利用されている独 Siemens (siemens.com) のコントローラ製品である SIMATIC S7-1200 には、クロスサイトリクエストフォージェリ問題 (CWE-352)(CVE-2018-13800) が存在します。

Siemens の RUGGEDCOM ROX II (2018/10/09)

エネルギー、公共衛生・ヘルスケア、輸送分野で利用されている独 Siemens (siemens.com) の RuggedCom ROX (Rugged Operating System On Linux) II を搭載した機器には、適切でない権限管理 (CWE-269) に起因して、ポート番号 22/TCP の SSH 経由でアクセス権限の昇格や任意の OS コマンド実行を許してしまう脆弱性 (CVE-2018-13801、CVE-2018-13802、) が存在します。

Siemens の SCALANCE W1750D (2018/10/09)

化学、エネルギー、農業・食料、公共衛生・ヘルスケア、輸送、上下水道分野で利用されている独 Siemens (siemens.com) の WLAN アクセスポイント SCALANCE W1750D には、TLS セッション鍵の取得を許してしまう脆弱性 (CVE-2017-13099) が存在します。

GE の iFIX (2018/10/09)

様々な分野で利用されている米 GE (ge.com) の 監視制御ソフトウェアである Proficy HMI/SCADA - iFIX には、ActiveX コントロールにバッファオーバーフローの問題 (CVE-2018-17925) が存在します。

(S09) PHP

PHP 7.2.11、7.1.23 リリース (2018/10/11)

PHP 7.2.11、7.1.23 では、Core、CURL、iconv、Opcache、POSIX、Reflection、Standard、Zlib コンポーネントに存在する計 13 件、計 11 件の不具合を修正しています。

(S11) Samba

Samba 4.8.6 リリース (2018/10/09)

Samba 4.8.6 では、krb5-samba、s3-smbd、s3-util、smbd モジュールに存在するメモリリークなど計 13 件の不具合を修正しています。セキュリティアップデートは含まれていません。

(S16) VMware 製品

VMware セキュリティアップデート:VMSA-2018-0025 (2018/10/09)

VMware ESXi、Workstation、Fusion の 3D レンダリングの陰影処理には、無限ループに起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2018-6977) が存在します。回避策として、3D アクセラレーション機能を無効化する方法が提示されています。

(S20) Red Hat

Red Hat (2018/10/08)

Red Hat 製品でサポートされている 分散ストレージソフトウェア Ceph Storage の CLI インタフェース ceph-iscsi-cli のセキュリティアップデート (RHSA-2018:2837、RHSA-2018:2838)(深刻度:緊急) がリリースされました。このアップデートでは、認証操作なしに、リモートから任意のコード実行を許してしまう脆弱性 (CVE-2018-14649) を解決しています。

(S21) Web アプリケーションならびに CMS

Joomla! 3.8.13 リリース (2018/10/09)

Joomla! 3.8.13 では、アクセス制御機構の迂回、クロスサイトリクエストフォージェリ問題 (CWE-352) など計 5 件の脆弱性 (CVE-2018-17855 〜 CVE-2018-17859) を解決しています。

(S23) SAP 製品

SAP Security Patch Day - October 2018 (2018/10/09)

11 件のセキュリティノートがリリースされています。該当する製品は、project "Gardener"、SAP Adaptive Server Enterprise (ASE)、SAP BusinessObjects BI Platform Servers、SAP BusinessObjects Business Intelligence Platform、SAP Data Services、SAP Fiori 1.0 for SAP ERP HCM、SAP Netweaver Application Server for ABAP、SAP Plant Connectivity です。報告されている脆弱性は、クロスサイトリクエストフォージェリ問題 (CWE-352)(CVE-2018-2474)、情報漏洩を許してしまう脆弱性 (CVE-2018-2471、CVE-2018-2469、CVE-2018-2468、CVE-2018-2467)、クロスサイトスクリプティング問題 (CWE-79)(CVE-2018-2470、CVE-2018-2472、CVE-2018-2466) などです。


担当:寺田、大西/HIRT