ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.05.27>

更新日:<2019.05.27>

(C01) Mozilla

Thunderbird 60.7 リリース (2019/05/21)

Thunderbird 60.7 では、任意のコード実行、サービス不能攻撃、情報漏洩、セキュリティ機能の迂回を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 16 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。

Firefox 67.0、ESR 60.7 リリース (2019/05/21)

Firefox 67.0 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、情報漏洩、なりすまし、セキュリティ機構の迂回を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 21 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。また、ESR として脆弱性を解決したバージョン ESR 60.7 をリリースしました。

(C08) アップル製品

Windows 版 iTunes 12.9.5 リリース (2019/05/24)

Windows 版 iTunes 12.9.5 では、SQLite、WebKit コンポーネントに存在する計 25 件の脆弱性 (CVE-2019-8583、CVE-2019-8584、CVE-2019-8586、CVE-2019-8587、CVE-2019-8594 〜 CVE-2019-8598 他) を解決しています。対象となった脆弱性は、アクセス権限昇格、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題などです。

Windows 版 iCloud 7.12 リリース (2019/05/24)

Windows 版 iCloud 7.12 では、SQLite、WebKit コンポーネントに存在する計 25 件の脆弱性 (CVE-2019-8583、CVE-2019-8584、CVE-2019-8586、CVE-2019-8587、CVE-2019-8594 〜 CVE-2019-8598 他) を解決しています。対象となった脆弱性は、アクセス権限昇格、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題などです。

iOS 12.3.1 リリース (2019/05/24)

iOS 12.3.1 は不具合の修正や改善を目的としたリリースです。リリース時点で、CVE 番号が割り当てられたセキュリティアップデートの報告はありません。

(C10) Google Chrome

Google Chrome 74.0.3729.169 リリース (2019/05/21)

Chrome 74.0.3729.169 は、安定性、性能、セキュリティの改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。

(I02) 制御システム製品

三菱電機の MELSEC-Q シリーズイーサネットインタフェースモジュール (2019/05/21)

重要製造業分野などで利用されている三菱電機 (mitsubishielectric.com) の MELSEC-Q シリーズイーサネットインタフェースモジュールには、適切でないリソース消費制限 (CWE-400) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-10977) が存在します。FTP サービスに対する不正なパケットを受信した場合に脆弱性を悪用される可能性があります。

Computrols の CBAS Web (2019/05/21)

商業施設、政府施設、公共衛生・ヘルスケア分野で利用されている Computrols (computrols.com) の空調、照明管理するポータルサイト CBAS Web には、情報漏洩、コード実行、コマンド実行、不正アクセスなどを許してしまう 9 件の脆弱性 (CVE-2019-10846 〜 CVE-2019-10855) が存在します。報告されている脆弱性は、クロスサイトリクエストフォージェリ問題 (CWE-352)、セキュリティ関連の処理に対するレスポンスの違いに起因する情報漏洩 (CWE-203)、クロスサイトスクリプティング問題 (CWE-79)、コマンドインジェクション問題 (CWE-77)、暗号化に使用する鍵がハードコーディングされている問題 (CWE-321)、ソースコードからの情報漏洩 (CWE-540)、SQL インジェクション問題 (CWE-89)、代替経路やチャネルによる認証機構の迂回 (CWE-288)、強度を持った暗号化方式で保護していない問題 (CWE-326) です。

(S11) Samba

Samba 4.10.4 リリース (2019/05/22)

Samba 4.10.4 では、ctdb 関連、s3-smbd、smb2 関連、vfs 関連、winbind モジュールなど計 38 件の不具合を修正しています。リリース時点で、セキュリティアップデートの報告はありません。

(S21) Web アプリケーションならびに CMS

Drupal 8.7.2 リリース (2019/05/23)

Drupal 8.7.2 は、不具合の修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。

WordPress 5.2.1 リリース (2019/05/21)

WordPress 5.2.1 では、ブロックエディタ、アクセシビリティ、国際化、サイトヘルス機能の改善と 33 件の不具合を修正しています。


担当:寺田、大西/HIRT