ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.04.08>

更新日:<2019.04.08>

(C10) Google Chrome

Google Chrome 73.0.3683.103 リリース (2019/04/04)

Chrome 73.0.3683.103 は、安定性、性能、セキュリティの改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。

(I02) 制御システム製品

Rockwell Automation の Allen-Bradley Stratix (2019/04/04)

重要製造業、エネルギー、上下水道分野で利用されている米 Rockwell Automation (rockwellautomation.com) の産業オートメーション制御システム用のセキュリティアプライアンス Stratix 5950 には、適切でない入力確認 (CWE-20) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2018-0472) が存在します。

Rockwell Automation の Allen-Bradley Stratix (2019/04/04)

重要製造業、エネルギー、上下水道分野で利用されている米 Rockwell Automation (rockwellautomation.com) の産業用イーサネットスイッチ Stratix、ArmorStratix には、OSPFv3、HTTP、PTPPrecision Time Protocol)、Cisco discovery protocol パケット処理に関するリソース管理エラー (CWE-399) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2018-0466、CVE-2018-0470、CVE-2018-0473、CVE-2018-15373)、IPv6 パケット処理に関する適切でない入力確認 (CWE-20) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2018-0467) が存在します。

Rockwell Automation の Allen-Bradley Stratix (2019/04/04)

重要製造業、エネルギー、上下水道分野で利用されている米 Rockwell Automation (rockwellautomation.com) の産業用イーサネットスイッチ Stratix、ArmorStratix に同梱している Cisco Network Plug and Play agent には、適切でないリソース消費制限 (CWE-400) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2018-15377) が存在します。不正なデータを受信した場合に影響を受ける可能性があります。

オムロンの CX-Programmer (2019/04/04)

重要製造業分野で利用されているオムロン (omron.co.jp) のオムロン PLC 用のプログラミング/設定用ソフトウェア製品である CX-Programmer には、メモリの解放後使用 (use-after-free: CWE-416) に起因してアプリケーションの権限で任意のコード実行を許してしまう脆弱性 (CVE-2019-6556) が存在します。

Advantech の Webaccess (2019/04/02)

重要製造業、エネルギー、上下水道分野で利用されている台湾 Advantech (advantech.com) のリモート制御および管理機能を提供する Advantech Webaccess HMI/SCADA 製品には、コマンドインジェクション問題 (CWE-77)、スタックオーバーフロー (CWE-121) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-6550、CVE-2019-6552)、適切でないアクセス制御 (CWE-284) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-6554) が存在します。

(S03) Apache HTTP サーバ

Apache httpd 2.4.39 リリース (2019/04/01)

Apache httpd 2.4.39 では、複数の脆弱性を解決しています。報告されている脆弱性は、モジュールのスクリプトからのアクセス権限昇格を許してしまう脆弱性 (CVE-2019-0211)、mod_auth_digest のユーザ資格情報のチェック処理に存在する競合 (race condition: CWE-362) に起因してアクセス制御の迂回を許してしまう脆弱性 (CVE-2019-0217)、mod_ssl の TLSv1.3 クライアント証明書処理の不具合によりアクセス制御の迂回を許してしまう脆弱性 (CVE-2019-0215)、mod_http2 の H2Upgrade 処理の不具合、メモリの解放後使用 (use-after-free: CWE-416) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-0197、CVE-2019-0196)、URL に複数の連続した "/" を含んでいる場合、LocationMatch と RewriteRule ディレクティブでの処理とそのほかの処理で取扱いが異なるという問題 (CVE-2019-0220) です。

(S09) PHP

PHP 7.3.4、7.2.17、7.1.28 リリース (2019/04/04)

PHP 7.3.4、7.2.17、7.1.28 では、EXIF コンポーネントに存在するヒープオーバーフロー (CWE-122) の脆弱性を解決しています。また、7.3.4 では、Apache2Handler、Bcmath、CLI Server、COM、Core、EXIF、FPM、GD、MySQLi、Opcache、PCRE、Phar、phpdbg、sodium、Standard コンポーネントに存在する計 23 件の不具合を修正し、7.2.17 では、Bcmath、COM、Core、Date、EXIF、FPM、GD、MySQLi、Opcache、phpdbg、sodium、Standard コンポーネントに存在する計 21 件の不具合を修正しています。

(S10) Ruby

Ruby 2.4.6 リリース (2019/04/01)

Ruby 2.4.6 では、エスケープシーケンスを用いたインジェクション、ディレクトリ削除を許してしまう問題など、RubyGems に存在する複数の脆弱性 (CVE-2019-8320 〜 CVE-2019-8325) に対応しています。また、安定性のさらなる向上を目的として、20 件ほどの不具合を修正しています。

(S11) Samba

Samba 4.8.10 リリース (2019/04/04)

Samba 4.8.10 では、Samba AD DC の LDAP 検索処理に存在するサービス不能攻撃を許してしまう脆弱性 (CVE-2019-3824) を解決しています。このほか、ctdb、s3-lib、s3-smbd、s3-vfs、s3-waf、s4-librpcモジュールなど計 30 件の不具合を修正しています。

Samba 4.10.1 リリース (2019/04/03)

Samba 4.10.1 では、ctdb関連、s3-client、s3-lib、s3-utils、s3-waf、s4-librpc、s4-messagingモジュールなど計 18 件の不具合を修正しています。リリース時点で、セキュリティアップデートの報告はありません。

(S21) Web アプリケーションならびに CMS

WordPress における PHP バージョンの前提条件 (2019/04/01)

WordPress 5.2 以降、PHP バージョンの前提条件を PHP 5.6.20 以降とすることをアナウンスしました。


担当:寺田、大西/HIRT