ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.03.04>

更新日:<2019.03.04>

(C01) Mozilla

Firefox 65.0.2、ESR 60.5.2 リリース (2019/02/28)

Firefox 65.0.2 では、記事購読時に発生する異常終了の不具合を修正しています。ESR 60.5.2 では、位置情報サービスでの不具合を修正しています。セキュリティアップデートは含まれていません。

Thunderbird 60.5.2 リリース (2019/02/25)

Thunderbird 60.5.2 では、MAPISendMail での UTF-8 サポート、MAPI インタフェース、S/MIME 証明書検証処理での不具合を修正しています。セキュリティアップデートは含まれていません。

(C10) Google Chrome

Google Chrome 72.0.3626.121 リリース (2019/03/01)

Chrome 72.0.3626.121 では、FileReader 処理に存在するメモリの解放後使用 (use-after-free: CWE-416) の脆弱性 (CVE-2019-5786) を解決しています。

(I02) 制御システム製品

PSI GridConnect の Telecontrol (2019/02/28)

エネルギー分野で利用されている独 PSI GridConnect (psigridconnect.com) の遠隔制御ステーション接続用 Telecontrol Gateway、スマートグリッド用遠隔制御装置 Smart Telecontrol Unit には、クロスサイトスクリプティング問題 (CWE-79)(CVE-2019-6528) が存在します。

Moxa の 産業用イーサネットスイッチ (2019/02/26)

重要製造業、エネルギー、輸送分野で利用されている台湾 MOXA (moxa.com) の産業用ラックマウントイーサネットスイッチ IKS、産業用イーサネット・スイッチ EDS には、情報漏洩、任意のコード実行、認証機構の迂回、不正アクセス、サービス不能攻撃を許してしまう脆弱性 (CVE-2019-6518、CVE-2019-6520、CVE-2019-6522、CVE-2019-6524、CVE-2019-6526、CVE-2019-6557、CVE-2019-6559、CVE-2019-6561、CVE-2019-6563、CVE-2019-6565) が存在します。報告されている脆弱性は、バッファオーバーフロー (CWE-120)、クロスサイトリクエストフォージェリ問題 (CWE-352)、クロスサイトスクリプティング問題 (CWE-79)、適切でないアクセス制御 (CWE-284)、ブルートフォース攻撃により認証機能の迂回を許してしまう問題 (CWE-307)、パスワードなどのアカウント情報が平文のまま格納されている問題 (CWE-256)、観測から予測可能 (CWE-341)、重要な情報を暗号化していない問題 (CWE-311)、領域外のメモリ参照 (out-of-bounds read: CWE-125)、適切でないリソース消費制限 (CWE-400) です。

(S01) シスコ製品

RV110W、RV130W、RV215W ルータ (2019/02/27)

RV110W、RV130W、RV215W ルータの管理インタフェースには、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-1663) が存在します。不正な HTTP アクセスにより、脆弱性の影響を受ける可能性があります。

Webex Meetings Desktop App (2019/02/27)

オンライン会議用 Webex Meetings Desktop App、Windows 版 Webex Productivity Tools には、ユーザ入力パラメタ検証が適切でないために、OS コマンドインジェクション問題 (CWE-78) に起因して任意のコマンド実行を許してしまう脆弱性 (CVE-2019-1674) が存在します。

(S04) DNS [BIND/NSD/Unbound/PowerDNS]

BIND 9.12.4、9.11.6 リリース (2019/02/28)

BIND 9.12.4、9.11.6 では、BIND 9.12.1-P2 で解決したサービス不能攻撃を許してしまう脆弱性 (CVE-2018-5737、CVE-2018-5736)、BIND 9.12.2-P1、9.11.4-P1 で解決したサービス不能攻撃を許してしまう脆弱性 (CVE-2018-5740)、BIND 9.12.3、9.11.5 で解決した特定の条件下でオープンリゾルバー状態を許してしまう脆弱性 (CVE-2018-5738)、BIND 9.12.3-P4、9.11.5-P4 で解決したサービス不能攻撃を許してしまう脆弱性 (CVE-2018-5744、CVE-2018-5745)、情報漏洩を許してしまう脆弱性 (CVE-2019-6465) に対応しています。いずれも、トラストアンカーの状況を調べる root key sentinel 機構のサポート、DNS COOKIE オプション処理が追加されました。

(S08) OpenSSL

OpenSSL 1.1.1b、1.0.2r リリース (2019/02/26)

OpenSSL 1.1.1b は、不具合の修正などを目的としたリリースで、TLSv1.3 ハンドシェイクメッセージの開始終了シグナルの変更、SCTP 上の DTLS 処理の不具合を修正しています。

OpenSSL 1.0.2r では、プロトコルエラーと 0 バイトレコードを用いたパディングオラクル攻撃により、暗号文の解読を許してしまう脆弱性 (CVE-2019-1559) を解決しています。

(S14) MySQL

MySQL 8.0.15 リリース (2019/02/01)

MySQL 8.0.15 では、IPv6 サポートが無効になっている場合、MySQL 8.0.14 のグループレプリケーションが機能しないという不具合を修正しています。

(S19) Squid

Squid 4.6 リリース (2019/02/19)

Squid 4.6 は、不具合の修正や改善を目的としたリリースです。IPv6 ループバックのバインディングエラーの検出処理、メモリリークの不具合などを修正しています。セキュリティアップデートは含まれていません。


担当:寺田、大西/HIRT