ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.04.29>

更新日:<2019.04.29>

(C10) Google Chrome

Google Chrome 74.0.3729.108 リリース (2019/04/23)

バージョン 74 がリリースされました。Chrome 74.0.3729.108 では、メモリの解放後使用 (use-after-free: CWE-416)、ヒープオーバーフロー (CWE-122)、整数オーバーフロー (CWE-190)、領域外のメモリ参照 (out-of-bounds read: CWE-125)、セキュリティ機構の迂回、なりすまし、情報漏洩を許してしまう問題など、計 39 件の脆弱性 (CVE-2019-5805 〜 CVE-2019-5823 他) を解決しています。

(I01) ヘルスケア製品

富士フイルムのデジタル X 線画像診断システム FCR シリーズ (2019/04/23)

富士フイルムのデジタル X 線画像診断システム FCR シリーズには、TCP パケット処理の適切でないリソース消費制限 (CWE-400) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-10948)、telnet サービスの適切でないアクセス制御 (CWE-284) に起因して不正アクセスを適切でないアクセス制御 (CWE-284) に起因して不正アクセスを許してしまう脆弱性 (CVE-2019-10950) が存在します。

(I02) 制御システム製品

Rockwell Automation の MicroLogix、ControlLogix (2019/04/23)

重要製造業分野で利用されている米 Rockwell Automation (rockwellautomation.com) の MicroLogix 1400 コントローラ、1769 CompactLogix 5370 コントローラには、オープンリダイレクト問題 (CWE-601) に起因して Web サイトの誘導を許してしまう脆弱性 (CVE-2019-10955) が存在します。MicroLogix は、ネットワーク通信機能を備えた小型の PLC (Programmable Logic Controller) です。1756 ControlLogix は、開発環境を備えた制御エンジンを搭載したプログラマブルコントローラ製品です。

(S00) 日立製品

Cosminexus 製品 (2019/04/24)

Cosminexus Developer's Kit for Java、Hitachi Developer's Kit for Java を構成部品として使用している Cosminexus 製品には、複数の脆弱性 (CVE-2019-2602、CVE-2019-2684、CVE-2019-2697、CVE-2019-2698) が存在します。脆弱性は、Java SE 8 Update 211 で解決したライブラリ、RMI、2D に存在する問題です。

日立ディスクアレイシステム SVP (2019/04/22)

日立ディスクアレイシステムは、マイクロソフト 2019年 4月の月例セキュリティアップデートで解決した脆弱性のうち、Windows の TCP/IP スタックに存在する情報漏洩を許してしまう脆弱性 (CVE-2019-0688) の影響を受ける可能性があります。この問題は、IP フラグメント処理に関するものです。

(S02) オラクル製品

Oracle WebLogic Server (2019/04/26)

Oracle WebLogic Server には、信頼できないデータのデシリアル化 (CWE-502) に起因して認証操作なくリモートからの任意のコード実行を許してしまう脆弱性 (CVE-2019-2725) が存在します。

(S04) DNS [BIND/NSD/Unbound/PowerDNS]

BIND 9.14.1、9.12.4-P1、9.11.6-P1 リリース (2019/04/24)

BIND 9.14.1、9.12.4-P1、9.11.6-P1 では、サービス不能攻撃を許してしまう脆弱性を解決しています。報告されている脆弱性は、TCP での同時接続数を制限する機能の実装上の不具合により、設定値を超える TCP 接続を受け入れてしまうために、ファイル記述子が過度に消費されてしまう問題 (CVE-2018-5743)、問い合わせた名前が存在しなかった場合に代替情報を返す nxdomain-redirect 機能の不具合により、named が異常終了してしまうしまう問題 (CVE-2019-6467) です。

(S14) MySQL

MySQL 8.0.16、5.7.26、5.6.44 リリース (2019/04/25)

MySQL 8.0.16、5.7.26、5.6.44 では、InnoDB Storage Engine、レプリケーション処理などに存在する不具合を修正し、リンクしている OpenSSL ライブラリ のバージョンを 1.0.2r にアップデートしています。また、MySQL 8.0.16 では、--skip-grant-tables オプションを指定しない場合の動作変更、TLS v1.3 サポート、認証プラグインのデフォルト設定を mysql_native_password から caching_sha2_password に変更しています。


担当:寺田、大西/HIRT