ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.02.25>

更新日:<2019.02.25>

(C02) アドビ システムズ製品

Acrobat Reader DC / Acrobat Reader 2017:APSB19-13 (2019/02/21)

Acrobat Reader DC ならびに Acrobat DC (2019.010.20098 / 2015.006.30482)、Acrobat Reader 2017 ならびに Acrobat 2017 (2017.011.30127) では、情報漏洩を許してしまう脆弱性 (CVE-2019-7815) を解決しています。

(C10) Google Chrome

Google Chrome 72.0.3626.119 リリース (2019/02/21)

Chrome 72.0.3626.119 は、安定性、性能、セキュリティの改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。

(I02) 制御システム製品

Rockwell Automation の Allen-Bradley PowerMonitor (2019/02/19)

エネルギー分野で利用されている米 Rockwell Automation (rockwellautomation.com) のエネルギー制御を行うためのコンパクトな電力モニタである PowerMonitor 1000には、クロスサイトスクリプティング問題 (CWE-79)(CVE-2018-19615)、代替経路やチャネルによる認証機構の迂回 (CWE-288) に起因して不正アクセスを許してしまう脆弱性 (CVE-2018-19616) が存在します。

Horner Automation の Cscape (2019/02/19)

重要製造業分野で利用されている米 Horner Automation (heapg.com または、horner-apg.com) の PLC 用グラフィカルラダーダイアグラムプログラミング制御パッケージ Cscape には、適切でない入力確認 (CWE-20) に起因して情報漏洩や任意のコード実行を許してしまう脆弱性 (CVE-2019-6555) が存在します。

Delta Electronics の CNCSoft (2019/02/19)

重要製造業分野で利用されている台湾 Delta Electronics (deltaww.com) のスクリーン表示のカスタマイズやセットアップを支援する CNCSoft には、領域外のメモリ参照 (out-of-bounds read: CWE-125) に起因して情報漏洩やサービス不能攻撃を許してしまう脆弱性 (CVE-2019-6547) が存在します。

Intel の Data Center Manager SDK (2019/02/19)

情報技術分野で利用されている米 Intel の Data、Center Manager SDK には、アクセス権限の昇格、情報漏洩、サービス不能攻撃を許してしまう複数の脆弱性 (CVE-2019-0102 〜 CVE-2019-0112) が存在します。報告されている脆弱性は、適切でない認証 (CWE-287)、保護メカニズムの不具合 (CWE-693)、適切でない許可 (CWE-275)、鍵管理のエラー (CWE-320)、不十分な制御フローの管理 (CWE-691) です。

(S00) 日立製品

JP1/Base (2019/02/22)

JP1/Base には、サービス不能攻撃を許してしまう脆弱性が存在します。

(S01) シスコ製品

Prime Infrastructure (2019/02/20)

有線と無線 LAN 統合管理を実現する Prime Infrastructure の Identity Services Engine には、SSL トンネルを確立する際に、サーバ証明書の検証が適切でないために中間者攻撃を許してしまう脆弱性 (CVE-2019-1659) が存在します。

Prime Collaboration Assurance (2019/02/20)

総合的なビデオと音声サービスの保証および管理システムである Prime Collaboration Assurance の Quality of Voice Reporting サービスには、適切でない認証 (CWE-287) に起因して不正アクセスを許してしまう脆弱性 (CVE-2019-1662) が存在します。

Network Convergence System (2019/02/20)

データセンタ相互接続を支援する Network Convergence System 1000 シリーズの TFTP サービスには、ディレクトリトラバーサル問題 (CWE-22) に起因して情報漏洩を許してしまう脆弱性 (CVE-2019-1681) が存在します。

HyperFlex (2019/02/20)

マルチクラウドプラットフォーム HyperFlex には、入力データの検証が適切でないために、OS コマンドインジェクション問題 (CWE-78) に起因して管理者権限でコマンド実行を許してしまう脆弱性 (CVE-2018-15380) と、HyperFlex の Hxterm サービスに、適切でない認証 (CWE-287) に起因してアクセス権限の昇格を許してしまう脆弱性 (CVE-2019-1664) が存在します。

(S04) DNS [BIND/NSD/Unbound/PowerDNS]

BIND 9.12.3-P4、9.11.5-P4 リリース (2019/02/22)

BIND 9.12.3-P4、9.11.5-P4 では、EDNS オプション処理におけるメモリリークに起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2018-5744)、更新により置き換わった DNSSEC鍵のアルゴリズムをサポートしていなかった場合にサービス不能攻撃を許してしまう脆弱性 (CVE-2018-5745)、DLZ (Dynamically Loadable Zones) を利用しているゾーンが書き込み可能であった場合にゾーン転送のアクセス制限が適切でないことに起因して情報漏洩を許してしまう脆弱性 (CVE-2019-6465) を解決しています。

(S13) Tomcat

Tomcat 7.0.93 リリース (2019/02/21)

Tomcat 7.0.93 は、不具合の修正や改善を目的としたリリースです。OpenSSL 実装で TLS サポートを有効にした NIO、NIO2 コネクタでのメモリリークを解決するため、OpenSSL 1.1.1a と APR 1.6.5 でビルドした Windows 版バイナリの Tomcat Native を 1.2.21 にアップデートするなどの強化を施しています。

(S21) Web アプリケーションならびに CMS

WordPress 5.1 リリース (2019/02/21)

WordPress 5.1 では、安全性と速度を考慮したサイトヘルス機能、ブロックエディタのパフォーマンスの向上などの改善が施されました。

Drupal 8.6.10、8.5.11 リリース (2019/02/20)

Drupal 8.6.10、8.5.11 では、RESTful Web サービス、JSON:API などの Web サービスモジュールが有効な場合に発生する任意のコード実行を許してしまう脆弱性 (CVE-2019-6340) を解決しています。

Joomla! 3.9.3 リリース (2019/02/12)

Joomla! 3.9.3 では、クロスサイトスクリプティング問題 (CWE-79)(CVE-2019-7740 〜 CVE-2019-7742、CVE-2019-7744)、phar:// アクセスに起因する脆弱性 (CVE-2019-7743)、警告に関する不具合 (CVE-2019-7739) を解決しています。


担当:寺田、大西/HIRT