ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.04.15>

更新日:<2019.04.15>

(C01) Mozilla

Firefox 66.0.3 リリース (2019/04/10)

Firefox 66.0.3 では、Windows 10 でのアドレスバーの不具合を修正しています。リリース時点で、セキュリティアップデートの報告はありません。

(C02) アドビ システムズ製品

Acrobat Reader DC / Acrobat Reader 2017:APSB19-17 (2019/04/09)

Acrobat Reader DC ならびに Acrobat DC (2019.010.20099 / 2015.006.30493)、Acrobat Reader 2017 ならびに Acrobat 2017 (2017.011.30138) では、計 21 件の脆弱性 (CVE-2019-7061、CVE-2019-7088、CVE-2019-7109 〜 CVE-2019-7125、CVE-2019-7127、CVE-2019-7128) を解決しています。対象となった脆弱性は、領域外メモリへの書き出し (out-of-bounds write: CWE-787)、型の取り違え (type confusion: CWE-843)、メモリの解放後使用 (use-after-free: CWE-416)、ヒープオーバーフロー (CWE-122) に起因して任意のコード実行を許してしまう問題、領域外のメモリ参照 (out-of-bounds read: CWE-125)に起因して情報漏洩を許してしまう問題です。

Adobe Flash Player 32.0.0.171 リリース (2019/04/09)

Adobe Flash Player 32.0.0.171、Edge/IE 11 版 (32.0.0.171) では、領域外のメモリ参照 (out-of-bounds read: CWE-125) 起因して情報漏洩を許してしまう脆弱性 (CVE-2019-7108)、メモリの解放後使用 (use-after-free: CWE-416) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-7096)を解決しています。

Adobe Shockwave Player 12.3.5.205 リリース (2019/04/09)

Adobe Shockwave Player 12.3.5.205 では、メモリ破損に起因して任意のコード実行を許してしまう 7 研の脆弱性 (CVE-2019-7098 〜 CVE-2019-7104) を解決しています。

(C08) アップル製品

tvOS 12.2.1 リリース (2019/04/10)

tvOS 12.2.1 は不具合の修正や改善を目的としたリリースです。リリース時点で、CVE 番号が割り当てられたセキュリティアップデートの報告はありません。

(C11) マイクロソフト製品

マイクロソフト 2019年 4月のセキュリティ更新プログラム (2019/04/09)

2019年 4月のセキュリティ更新プログラムでは 76 件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行 34 件、サービス不能 1 件、アクセス権限の昇格 13 件、なりすまし 12 件、情報漏洩 13 件、セキュリティ機構の迂回 1 件です。

(I02) 制御システム製品

Siemens の産業用製品 (2019/04/09)

商業施設、重要製造業、エネルギー、農業・食料、上下水道分野で利用されている独 Siemens (siemens.com) の産業用製品に同梱されている Web サーバには、領域外のメモリ参照 (out-of-bounds read: CWE-125) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-6568) が存在します。影響を受ける製品は、CP、SIAMTIC、SIMOCODE、SINAMICS、SITOP、TIM などです。

Siemens の RUGGEDCOM ROX II (2019/04/09)

エネルギー、公共衛生・ヘルスケア、輸送分野で利用されている独 Siemens (siemens.com) の RuggedCom ROX (Rugged Operating System On Linux) II を搭載した機器には、任意のコード実行、なりすましを許してしまう脆弱性 (CVE-2018-5379、CVE-2018-5380、CVE-2018-5381) が存在します。この問題は、Quagga BGP 処理に、メモリの 2 重解放 (double free: CWE-415)、領域外のメモリ参照 (out-of-bounds read: CWE-125)、適切でないリソース消費制限 (CWE-400) に起因する脆弱性が存在することによるものです。不正な BGP UPDATE、BGP OPEN メッセージを受信した際に、影響を受ける可能性があります。

Siemens の SINEMA Remote Connect (2019/04/09)

農業・食料、化学、重要製造業、エネルギー、上下水道分野で利用されている独 Siemens (siemens.com) のリモートネットワーク用管理プラットフォーム SINEMA Remote Connect には、HTTP クライアント curl、HTTP クライアントライブラリ libcurl のバッファサイズの算出誤り (CWE-131)、スタックオーバーフロー (CWE-121)、領域外のメモリ参照 (out-of-bounds read: CWE-125) に起因して機器への不正アクセスを許してしまう脆弱性 (CVE-2018-14618、CVE-2018-16890、CVE-2019-3822)、権限管理不備 (CWE-280) に起因して機器への不正アクセスを許してしまう脆弱性 (CVE-2019-6570) が存在します。

Siemens の OPC UA 機能を持つ産業用製品 (2019/04/09)

化学、重要製造業、エネルギー、農業・食料、上下水道分野で利用されている独 Siemens (siemens.com) の OPC UA 機能を持つ産業用製品には、例外を捕捉できない問題 (CWE-248) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-6575) が存在します。ポート番号 4840/TCP の不正なパケットを受信した際に、OPC 通信機能がサービス不能状態に陥ったり、装置が異常終了したりする可能性があります。

Siemens の Spectrum Power (2019/04/09)

化学、重要製造業、エネルギー、農業・食料、上下水道、エネルギー分野で利用されている独 Siemens (siemens.com) のエネルギー管理プラットフォーム製品 Spectrum Power には、不正な URL アクセスにより、コマンドインジェクション問題 (CWE-77) に起因して管理者権限でのコマンド実行を許してしまう脆弱性 (CVE-2019-6579) が存在します。

Siemens の SIMOCODE pro V EIP (2019/04/09)

化学、重要製造業、エネルギー、農業・食料、上下水道分野で利用されている独 Siemens (siemens.com) の低電圧モータの管理と制御をする SIMOCODE pro V EIP には、適切でないリソース消費制限 (CWE-400) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2017-12741) が存在します。ポート番号 161/UDP の不正なパケットを受信した際に、影響を受ける可能性があります。

(S00) 日立製品

JP1/Network Node Manager i (2019/04/10)

統合システム運用管理 JP1 でネットワーク管理機能を提供する JP1/Network Node Manager i には、Apache Tomcat 8.0.39、7.0.73、6.0.48 で解決した情報漏洩を許してしまう脆弱性 (CVE-2016-6816)、8.0.44、7.0.78 で解決したセキュリティ制限の迂回を許してしまう脆弱性 (CVE-2017-5664) が存在します。

日立ディスクアレイシステム SVP (2019/03/27)

日立ディスクアレイシステム SVP には、マイクロソフト 2019年 3月の月例セキュリティアップデートで解決した脆弱性の影響はありません。

(S11) Samba

Samba 4.10.2、4.9.6、4.8.11 リリース (2019/04/08)

Samba 4.10.2、4.9.6、4.8.11 では、2 件の脆弱性を解決しています。報告されている脆弱性は、新しい Samba AD DC を作成する際に、プライベートディレクトリ内に誰でも書き込み可能な状態が発生する問題 (CVE-2019-3870)、レジストリファイルを Samba 共有外の書き込み権限がある任意の場所に作成することを許してしまう問題 (CVE-2019-3880) です。

(S13) Tomcat

Tomcat 8.5.40、7.0.94 リリース (2019/04/12)

Tomcat 8.5.40、7.0.94 では、Windows 環境下で任意のコード実行を許してしまう脆弱性 (CVE-2019-0232) を解決しています。この問題は、enableCmdLineArguments を有効としている場合に、CGI Servlet が影響を受けます。また、これらのバージョンでは、JSP コンパイラに Java 11 のサポートを追加、NIO2 の改善などを施しています。

Tomcat 9.0.16、8.5.38 での脆弱性対策 (2019/03/25)

3月25日、Tomcat 9.0.16、8.5.38 で解決した脆弱性情報が掲載されました。報告された脆弱性は、HTTP/2 の実装におけるサービス不能攻撃を許してしまう脆弱性 (CVE-2019-0199) です。読み書きをしないストリームをオープンした状態で維持できることに起因しています。

(S16) VMware 製品

VMware セキュリティアップデート:VMSA-2019-0006 (2019/04/11)

VMware ESXi、Workstation、Fusion には、3D グラフィックス機能を有効にしている場合、領域外のメモリ参照 (out-of-bounds read: CWE-125) に起因してサービス不能攻撃や情報漏洩を許してしまう脆弱性 (CVE-2019-5516、CVE-2019-5517、CVE-2019-5520) が存在します。

(S20) Red Hat

Red Hat (2019/04/18)

Red Hat 製品でサポートされている Adobe Flash プラグイン (RHSA-2019:0737) のセキュリティアップデート (深刻度:緊急) がリリースされました。このアップデートでは、Adobe Flash Player 32.0.0.171 で解決した脆弱性に対応しています。

(S21) Web アプリケーションならびに CMS

Joomla! 3.9.5 リリース (2019/04/09)

Joomla! 3.9.5 では、ディレクトリトラバーサル問題 (CWE-22)(CVE-2019-10945)、適切でないアクセス制御 (CWE-284) に起因する脆弱性 (CVE-2019-10946)、クロスサイトスクリプティング問題 (CWE-79) を解決しています。このほか、計 20 件以上の不具合の修正や改善などを施しています。

Drupal 8.6.14 リリース (2019/04/08)

Drupal 8.6.14 は、不具合の修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。

(S23) SAP 製品

SAP Security Patch Day - April 2019 (2019/04/09)

6 件のセキュリティノートがリリースされています。該当する製品は、SAP Crystal Reports for Visual Studio、SAP NetWeaver Process Integration、SAP BASIS、SAP HANA です。報告されている脆弱性 (CVE-2019-0278、CVE-2019-0279、CVE-2019-0282 〜 CVE-2019-0285) は、情報漏洩、適切でない認可検証、外部に置かれたファイルを呼び出す XXE (Xml eXternal Entity) 問題 (CWE-611) などです。


担当:寺田、大西/HIRT