チェックしておきたい脆弱性情報 ＜2019.02.04＞

Thunderbird 60.5 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、アクセス権限の昇格、を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 4 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。

• Security vulnerabilities fixed in Thunderbird 60.5

Firefox 65.0 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、アクセス権限の昇格、セキュリティ機構の迂回を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 7 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。また、ESR として脆弱性を解決したバージョン ESR 60.5 がリリースされました。

• Security vulnerabilities fixed in Firefox 65
• Security vulnerabilities fixed in Firefox ESR 60.5

バージョン 72 がリリースされました。Chrome 72.0.3626.81 では、メモリの解放後使用 (use-after-free: CWE-416)、型の取り違え (type confusion: CWE-843)、ヒープオーバーフロー (CWE-122)、スタックオーバーフロー (CWE-121)、ポリシー適用が十分でない問題など、計 58 件の脆弱性 (CVE-2019-5754 〜 CVE-2019-5783 他) を解決しています。

• Stable Channel Update for Desktop (72.0.3626.81)

公共衛生・ヘルスケア分野で利用されている米 Becton, Dickinson and Company (bd.com) のフローサイトメーター (臨床検査用高性能アナライザー) FACSLyric には、適切でないアクセス制御 (CWE-284) に起因して管理者レベル機能への不正アクセスを許してしまう脆弱性 (CVE-2019-6517) が存在します。

• ICSMA-19-029-02: BD FACSLyric

公共衛生・ヘルスケア分野で利用されている米 Stryker (stryker.com) の WPA2 プロトコルを使用可能な iBed 無線機能の付いた医療用ベッドには、KRACK (Key Reinstallation Attacks) 問題で報告された暗号化処理における Nonce や鍵ペアの再利用 (CWE-323) の脆弱性 (CVE-2017-13077 〜 CVE-2017-13082、CVE-2017-13086 〜 CVE-2017-13088) が存在します。悪用された場合、暗号化された通信からの情報漏洩やデータの改ざんを許してしまう可能性があります。

• ICSMA-19-029-01: Stryker Medical Beds

商業施設、政府施設、公共衛生・ヘルスケア、上下水道分野で利用されている米 IDenticard (identicard.com) のビル向けセキュリティシステム PremiSys には、資格情報がハードコーディングされている問題 (CWE-798)、パスワードがハードコーディングされている問題 (CWE-259)、強度を持った暗号化方式で保護していない問題 (CWE-326) に起因して不正アクセスや情報漏洩などを許してしまう複数の脆弱性 (CVE-2019-3906 〜 CVE-2019-3908) が存在します。

• ICSA-19-031-02: IDenticard PremiSys

輸送分野で利用されている仏 Schneider Electric (schneider-electric.com) の EV 充電器 EVLink Parking には、資格情報がハードコーディングされている問題 (CWE-798)、コードインジェクション問題 (CWE-94)、SQL インジェクション問題 (CWE-89) に起因して不正アクセスや任意のコード実行などを許してしまう複数の脆弱性 (CVE-2018-7800 〜 CVE-2018-7802) が存在します。

• ICSA-19-031-01: Schneider Electric EVLink Parking

化学、重要製造業、エネルギー、農業・食料、上下水道分野で利用されている英 AVEVA (aveva.com) の産業オートメーションシステムの構築基盤 Wonderware System Platform には、十分でない資格情報保護 (CWE-522) に起因して ArchestrA Network のユーザアカウント漏洩を許してしまう脆弱性 (CVE-2019-6525) が存在します。

• ICSA-19-029-03: AVEVA Wonderware System Platform

重要製造業分野で利用されている三菱電機の MELSEC-Q シリーズ PLC には、適切でないリソース消費制限 (CWE-400) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-6535) が存在します。ポート番号 5007 の不正なパケットを受信した際に、影響を受ける可能性があります。

• ICSA-19-029-02: Mitsubishi Electric MELSEC-Q Series PLCs

重要製造業、エネルギー、農業・食料分野で利用されている横河電機 (yokogawa.co.jp) のライセンスマネージャサービスには、適切でないアップロートファイル制限 (CWE-434) に起因して任意のファイル作成／上書きを許してしまう脆弱性 (CVE-2019-5909) が存在します。悪用された場合、任意のコード実行を許してしまう可能性があります。

• ICSA-19-029-01: Yokogawa License Manager Service
• YSAR-19-0001: 横河製品のライセンスマネージャーサービスにアクセス制御の脆弱性

Ruby 2.6.1 は、不具合の修正や改善を目的としたリリースです。セキュリティアップデートは含まれていません。

• Ruby 2.6.1 リリース

Red Hat 製品でサポートされている Firefox のセキュリティアップデート (RHSA-2019:0218、RHSA-2019:0219))(深刻度：緊急) がリリースされました。このアップデートでは、Firefox 60.5 ESR で解決した脆弱性に対応しています。

• Red Hat Security Advisories

• HIRT-PUB
• 活動参考資料
• CSIRTメモ