ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2018.11.05>

更新日:<2018.11.05>

(C01) Mozilla

Firefox 63.0.1 リリース (2018/10/31)

Firefox 63.0.1 では、スニペット、印刷プレビュー、ダイアログ表示での不具合を修正しています。セキュリティアップデートは含まれていません。

Thunderbird 60.3 リリース (2018/10/31)

Thunderbird 60.3 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、情報漏洩を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 3 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。

(C08) アップル製品

Safari 12.0.1 リリース (2018/10/30)

Safari 12.0.1 では、Safari Reader、WebKit コンポーネントに存在する計 12 件の脆弱性 (CVE-2018-4372 〜 CVE-2018-4378 他) を解決しています。対象となった脆弱性は、サービス不能攻撃、メモリ破損に起因して任意のコード実行を許してしまう問題などです。

Windows 版 iCloud 7.8 リリース (2018/10/30)

Windows 版 iCloud 7.8 では、CoreCrypto、Safari Reader、WebKit コンポーネントに存在する計 13 件の脆弱性 (CVE-2018-4372 〜 CVE-2018-4378 他) を解決しています。対象となった脆弱性は、サービス不能攻撃、メモリ破損に起因して任意のコード実行を許してしまう問題などです。

iTunes 12.9.1 リリース (2018/10/30)

iTunes 12.9.1 では、CoreCrypto、ICU、Safari Reader、WebKit コンポーネントに存在する計 14 件の脆弱性を解決しています。対象となった脆弱性は、サービス不能攻撃、メモリ破損に起因して任意のコード実行を許してしまう問題などです。

watchOS 5.1 リリース (2018/10/30)

watchOS 5.1 では、AppleAVD、Certificate Signing、CoreCrypto、ICU、IPSec、カーネル、NetworkExtension、Safari Reader、セキュリティ、WebKit、WiFi、コンポーネントに存在する計 21 件の脆弱性を解決しています。対象となった脆弱性は、アクセス権限昇格、サービス不能攻撃、メモリ破損に起因して任意のコード実行を許してしまう問題などです。

iOS 12.1 リリース (2018/10/30)

iOS 12.1 では、AppleAVD、Certificate Signing、CommonCrypto、Contacts、CoreCrypto、FaceTime、グラフィックドライバ、iBooks、ICU、IOHIDFamily、IPSec、カーネル、Messages、NetworkExtension、Notes、Safari Reader、セキュリティ、VoiceOver、WebKit、WiFi コンポーネントに存在する計 31 件の脆弱性 (CVE-2018-4371 〜 CVE-2018-4378 他) を解決しています。対象となった脆弱性は、なりすまし、サービス不能攻撃、メモリ破損に起因して任意のコード実行を許してしまう問題などです。

tvOS 12.1 リリース (2018/10/30)

tvOS 12.1 では、Certificate Signing、CoreCrypto、ICU、IPSec、カーネル、NetworkExtension、セキュリティ、WebKit、WiFi コンポーネントに存在する計 15 件の脆弱性 (CVE-2018-4371、CVE-2018-4372、CVE-2018-4378 他) を解決しています。対象となった脆弱性は、サービス不能攻撃、メモリ破損に起因して任意のコード実行を許してしまう問題などです。

macOS Mojave 10.14.1 リリース (2018/10/30)

macOS Mojave 10.14.1、セキュリティアップデート 2018-001 High Sierra、セキュリティアップデート 2018-005 Sierra では、afpserver、AppleGraphicsControl、APR、ATS、Calendar、CFNetwork、CoreAnimation、CoreCrypto、CoreFoundation、CUPS、Dictionary、Dock、dyld、EFI、Foundation、Grand Central Dispatch、Heimdal、Hypervisor、iBooks、ICU、Intel Graphics Driver、IOGraphics、IOHIDFamily、IOKit、IOUserEthernet、IPSec、カーネル、LaunchServices、Login Window、メール、mDNSOffloadUserClient、MediaRemote、Microcode、NetworkExtension、Perl、Quick Look、Ruby、セキュリティ、Spotlight、Symptom Framework、Terminal、WiFi コンポーネントに存在する計 71 件の脆弱性を解決しています。対象となった脆弱性は、なりすまし、アクセス権限昇格、情報漏洩、サービス不能攻撃、メモリ破損に起因して任意のコード実行を許してしまう問題などです。

(I02) 制御システム製品

Fr. Sauter の CASE Suite (2018/11/01)

重要製造業分野などで利用されているスイス Fr. 独 Sauter (sauter-controls.com) の ビル管理用 CASE Suite には、外部に置かれたファイルを呼び出す XXE (Xml eXternal Entity) 問題 (CWE-611) に起因して、情報漏洩を許してしまう脆弱性 (CVE-2018-17912) が存在します。

Circontrol の CirCarLife (2018/11/01)

輸送分野で利用されているスペイン Circontrol (circontrol.com) の 電気自動車用充電システムである CirCarLife には、代替経路やチャネルによる認証機構の迂回 (CWE-288)、十分に保護されていない資格情報 (CWE-522) に起因して、不正アクセスや情報漏洩を許してしまう脆弱性 (CVE-2018-17918、CVE-2018-17922) が存在します。

Schneider Electric のソフトウェアアップデート (2018/11/01)

商業施設、重要製造業、エネルギー分野で利用されている仏 Schneider Electric (schneider-electric.com) の製品に制御されていない検索パス問題 (CWE-427) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2018-7799) が存在します。影響を受ける製品は、AltivarProcessATV、Blue、CompactNSX、Ecoreach、EcoStruxure Modicon Builder、Lexium、Schneider Electric License Manager、Schneider Electric SQL Gateway、SoMachine Basic、SoMove などです。

AVEVA の InduSoft Web Studio、InTouch Edge HMI (2018/11/01)

商業施設、重要製造業、エネルギー、輸送、上下水道分野で利用されている英 AVEVA(aveva.com) の HMI SCADA ソフトウェア InduSoft Web Studio、InTouch Machine Edition には、スタックオーバーフロー (CWE-121)、設定ファイル内に空のパスワード (CWE-258) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2018-17914、CVE-2018-17916) が存在します。

PEPPERL+FUCHS/ecom instruments の CT50-Ex (2018/10/30)

通信、重要製造業、情報技術分野で利用されている独 PEPPERL+FUCHS/ecom instruments(pepperl-fuchs.com) の ハンドヘルドコンピュータ CT50-Ex には、適切でない権限の管理 (CWE-269) に起因してアクセス権限の昇格などを許してしまう脆弱性 (CVE-2018-14825) が存在します。

(S01) シスコ製品

ASA (Adaptive Security Appliances)(2018/10/31)

セキュリティアプライアンスである ASA (Adaptive Security Appliances)、FTD (Firepower Threat Defense) の SIP トラフィック処理が適切でないために、サービス不能攻撃を許してしまう脆弱性 (CVE-2018-15454) 存在します。

(S08) OpenSSL

OpenSSL 1.1.1、1.1.0、1.0.2 の脆弱性 (2018/10/29)

OpenSSL 1.1.1、1.1.0、1.0.2 の DSA 署名アルゴリズムに対するサイドチャネル攻撃を許してしまう脆弱性 (CVE-2018-0734) が報告されました。ただし、深刻度は低いことから、アドバイザリ公開に合わせたセキュリティアップデートはありません。

OpenSSL 1.1.1、1.1.0 の脆弱性 (2018/10/29)

OpenSSL 1.1.1、1.1.0 の ECDSA 署名アルゴリズムに対するサイドチャネル攻撃を許してしまう脆弱性 ((CVE-2018-0735) が報告されました。ただし、深刻度は低いことから、アドバイザリ公開に合わせたセキュリティアップデートはありません。

(S20) Red Hat

Red Hat (2018/11/05)

Red Hat 製品でサポートされている SSH2 プロトコルを実装した Python モジュールである python-paramiko のセキュリティアップデート (RHSA-2018:3347、RHSA-2018:3406)(深刻度:緊急) がリリースされました。このアップデートでは、モジュールに存在する認証機構の迂回を許してしまう脆弱性 (CVE-2018-1000805) を解決しています。

(S21) Web アプリケーションならびに CMS

Joomla! 3.9.0 リリース (2018/10/30)

Joomla! 3.9.0 は、不具合の修正や改善を目的としたリリースです。特に、GDPR とプライバシー規制に対応するため、ユーザの同意の収集と管理、ユーザ情報リクエストの管理など、プライバシツールスイートの強化が施されました。


担当:寺田、大西/HIRT