ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.03.11>

更新日:<2019.03.11>

(C01) Mozilla

Thunderbird 60.5.3 リリース (2019/03/05)

Thunderbird 60.5.3 では、Windows 版 60.5.2 で導入した Send to > Mail recipient 処理での不具合を修正しています。セキュリティアップデートは含まれていません。

(I02) 制御システム製品

Rockwell Automation の RSLinx Classic (2019/03/05)

重要製造業、エネルギー、上下水道分野で利用されている米 Rockwell Automation (rockwellautomation.com) の プラントフロアのデバイスに接続する通信サーバ RSLinx Classic には、スタックオーバーフロー (CWE-121) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-6553) が存在します。

(S01) シスコ製品

FXOS と NX-OS ソフトウェア (2019/03/06)

Cisco FXOS と NX-OS ソフトウェアのセキュリティアップデートがリリースされました。このセキュリティアップデートでは、任意のコード実行、サービス不能攻撃、アクセス権限の昇格、なりすまし、情報漏洩、セキュリティ機構の迂回を許してしまう 25 件のセキュリティアドバイザリに含まれる計 26 件の脆弱性 (CVE-2019-1591、CVE-2019-1593、CVE-2019-1594、CVE-2019-1596 〜 CVE-2019-1618) を解決しています。

(S08) OpenSSL

OpenSSL 1.1.1、1.1.0 の脆弱性 (2019/03/06)

OpenSSL 1.1.1、1.1.0 で実装されている認証付き暗号 ChaCha20-Poly1305 には、同じ nonce 値の再利用を許してしまう脆弱性 (CVE-2019-1543) が存在します。この問題は、本来 12 バイト長の nonce 値を、16 バイト長の nonce 値として設定できてしまうことに起因しています (4 バイト分は無視されるため、同じ nonce 値が発生する可能性がある)。ただし、深刻度は低いことから、アドバイザリ公開に合わせたセキュリティアップデートはありません。

(S09) PHP

PHP 7.3.3、7.2.16、7.1.27 リリース (2019/03/07)

PHP 7.3.3、7.2.16、7.1.27 では、Core、EXIF、PHAR、SPL などのコンポーネントに存在する計 22 件、11 件、8 件の不具合を修正しています。不具合の中には、NULL ポインタ参照 (NULL pointer dereference:CWE-476)、バッファオーバーフロー (CWE-120)、型の取り違え (type confusion:CWE-843) が含まれています。

(S20) Red Hat

Red Hat (2019/03/11)

Red Hat 製品でサポートされている Java (java-1.7.1-ibm、java-1.8.0-ibm) のセキュリティアップデート (RHSA-2019:0469、RHSA-2019:0472 〜 RHSA-2019:0474)(深刻度:緊急) がリリースされました。このアップデートでは、1 月の Critical Patch Update で報告され、Java SE 7 Update 211、Java SE 8 Update 201 で解決した脆弱性に対応しています。また、IBM JDK が同梱している Eclipse OpenJ9 に存在するバッファオーバーフロー、JIT コンパイラの適切でない検証に起因する脆弱性 (CVE-2018-12547、CVE-2018-12549) を解決しています。

(S21) Web アプリケーションならびに CMS

ColdFusion 2018 Update 3 リリース (2019/03/01)

ColdFusion 2018 Update 3 では、ファイルアップロード制限の迂回に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-7816) を解決しています。また、これら脆弱性を解決する ColdFusion 2016 Update 10、ColdFusion 11 Update 18 がリリースされました。

(S22) NTP

NTP 4.2.8p13 リリース (2019/03/07)

NTP 4.2.8p13 では、ntpd に存在するサービス不能攻撃を許してしまう脆弱性 (CVE-2019-8936) を解決しています。認証された mode 6 形式の不正なパケットを受信した場合に脆弱性を悪用される可能性があります。また、17 件の不具合の修正、1 件の改善を施しています。


担当:寺田、大西/HIRT