ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2018.11.26>

更新日:<2018.11.26>

(C01) Mozilla

Thunderbird 60.3.1 リリース (2018/11/15)

Thunderbird 60.3.1 では、UTF-8 での認証パスワードエンコード、空の IMAP パスワード入力時の異常終了あるいはハングアップなどの不具合を修正しています。セキュリティアップデートは含まれていません。

Firefox 63.0.3 リリース (2018/11/15)

Firefox 63.0.3 では、WebGL を使用したゲーム、映像データダウンロードに伴う HTTP 応答のスロットリング関連での不具合を修正しています。セキュリティアップデートは含まれていません。

(C02) アドビ システムズ製品

Adobe Flash Player 31.0.0.153 リリース (2018/11/20)

Adobe Flash Player 31.0.0.153 は、型の取り違え (type confusion: CWE-843) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2018-15981) を解決しています。

(C10) Google Chrome

Google Chrome 70.0.3538.110 リリース (2018/11/19)

Chrome 70.0.3538.110 では、メモリの解放後使用 (use-after-free: CWE-416) に起因する脆弱性 (CVE-2018-17479) を解決しています。

(I02) 制御システム製品

Schneider Electric の Modicon M221 (2018/11/20)

商業施設分野で利用されている仏 Schneider Electric (schneider-electric.com) の産業加工やインフラ用 PLC (Programmable Logic Contoller) である Modicon M221 PLC には、十分ではないデータ真正性の確認 (CWE-345) に起因して、リモートから装置設定の改ざんを許してしまう脆弱性 (CVE-2018-7798) が存在します。

Teledyne DALSA の Sherlock (2018/11/20)

重要製造業分野で利用されているカナダ Teledyne DALSA(teledyne.com) の自動検査アプリケーション向けマシンビジョン製品 Sherlock には、スタックオーバーフロー (CWE-121) に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2018-17930) が存在します。

(S08) OpenSSL

OpenSSL 1.1.1a、1.1.0j、1.0.2q リリース (2018/11/20)

OpenSSL 1.1.1a、1.1.0j、1.0.2q では、10 月29日に報告された ECDSA 署名アルゴリズムに対するサイドチャネル攻撃を許してしまう脆弱性 (CVE-2018-0735)、DSA 署名アルゴリズムに対するサイドチャネル攻撃を許してしまう脆弱性 (CVE-2018-0734)、11月12日に報告された ECC スカラー乗算処理にサイドチャネル攻撃を許してしまう脆弱性 (CVE-2018-5407) を解決しています。

(S16) VMware 製品

VMware セキュリティアップデート:VMSA-2018-0030 (2018/11/22)

VMware Workstation、Fusion には、整数オーバーフロー (CWE-190) に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2018-6983) が存在します。

VMware セキュリティアップデート:VMSA-2018-0029 (2018/11/20)

vSphere Data Protection (VDP) には、任意のコード実行、オープンリダイレクト問題 (CWE-601)、コマンドインジェクション問題 (CWE-77)、情報漏洩を許してしまう脆弱性 (CVE-2018-11066、CVE-2018-11067、CVE-2018-11076、CVE-2018-11077) が存在します。

(S20) Red Hat

Red Hat (2018/11/26)

Red Hat 製品でサポートされている Adobe Flash プラグイン (RHSA-2018:3644) のセキュリティアップデート (深刻度:緊急) がリリースされました。このアップデートでは、Adobe Flash Player 31.0.0.153 で解決した脆弱性に対応しています。


担当:寺田、大西/HIRT