ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2018.12.03>

更新日:<2018.12.03>

(C01) Mozilla

Thunderbird 60.3.2 リリース (2018/11/30)

Thunderbird 60.3.2 では、Mac 版での AppleDouble 形式の添付ファイル送信、アドレスブックやメッセージのエスクポート、日付表示、本文の検索やフィルタなどでの不具合を修正しています。セキュリティアップデートは含まれていません。

(C08) アップル製品

Windows 版 iCloud 7.8.1 リリース (2018/11/27)

Windows 版 iCloud 7.8.1 は不具合の修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。

(I02) 制御システム製品

INVT Electric の VT-Designer (2018/11/29)

商業施設、重要製造業、エネルギー、情報技術、輸送分野で利用されている中国 INVT Electric(invt.com) の HMI ビルダ VT-Designer には、信頼できないデータのデシリアライゼーション (CWE-502)、ヒープオーバーフロー (CWE-122) に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2018-18983、CVE-2018-18987) が存在します。

AVEVA の Vijeo Citect、Citect SCADA (2018/11/27)

商業施設、重要製造業、エネルギー分野で利用されている英 AVEVA(aveva.com) の FA、BA 分野の監視・管理システム向け製品である Vijeo Citect、Citect SCADA には、制御されていない検索パス問題 (CWE-427) に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2018-7799) が存在します。

(S01) シスコ製品

Prime License Manager (2018/11/28)

ライセンス管理製品であるPrime License Manager には、SQL インジェクション問題 (CWE-89) に起因して、データベースの不正操作や postgres ユーザ権限でのシェルアクセスを許してしまう脆弱性 (CVE-2018-15441) が存在します。

(S04) DNS [BIND/NSD/Unbound/PowerDNS]

PowerDNS Recursor 4.1.8 リリース (2018/11/28)

キャッシュ DNS サーバである Recursor 4.1.8 では、不正な DNS 要求を受信した場合に、サービス不能攻撃を許してしまう脆弱性 (CVE-2018-16855) を解決しています。この問題は、不正な DNS 要求を処理する際に、領域外のメモリ参照 (out-of-bounds read: CWE-125) が発生し、異常終了する可能性があるというものです。

(S11) Samba

Samba 4.9.3、4.8.7、4.7.12 リリース (2018/11/27)

Samba 4.9.3、4.8.7、4.7.12 では、サービス不能攻撃を許してしまう問題、パスワードのロックアウト処理にかかわる問題、計 6 件の脆弱性を解決しています。報告されている脆弱性は、Active Directory に関連してサービス不能攻撃を許してしまう問題 (CVE-2018-14629、CVE-2018-16841、CVE-2018-16851、CVE-2018-16852、CVE-2018-16853)、間違ったパスワードもデフォルトでは 30 分記憶してしまうために、パスワードのロックアウト処理が効果的に機能しない可能性があるという問題 (CVE-2018-16857) です。

(S20) Red Hat

Red Hat (2018/12/02)

Red Hat 製品でサポートされている Java (java-1.7.1-ibm) のセキュリティアップデート (RHSA-2018:3671, RHSA-2018:3672)(深刻度:緊急) がリリースされました。このアップデートでは、10 月の Critical Patch Update で報告され、Java SE 7 Update 201 で解決した脆弱性に対応しています。


担当:寺田、大西/HIRT