ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.06.10>

更新日:<2019.06.10>

(C01) Mozilla

Firefox 67.0.1 リリース (2019/06/04)

Firefox 67.0.1 では、強固なプライバシー保護を提供する Enhanced Tracking Protection (ETP) がデフォルトの設定となりました。リリース時点で、セキュリティアップデートの報告はありません。

(C10) Google Chrome

Google Chrome 75.0.3770.80 リリース (2019/06/04)

バージョン 75 がリリースされました。Chrome 75.0.3770.80 では、メモリの解放後使用 (use-after-free: CWE-416)、ヒープオーバーフロー (CWE-122)、領域外のメモリ参照 (out-of-bounds read: CWE-125)、セキュリティ機構の迂回、なりすまし、情報漏洩を許してしまう問題など、計 47 件の脆弱性 (CVE-2019-5828 〜 CVE-2019-5840 他) を解決しています。

(I02) 制御システム製品

パナソニックの Control FPWIN Pro (2019/06/06)

商業施設、重要製造業、農業・食料分野で利用されているパナソニック (panasonic.com) の PLC 用プログラミングソフトウェア Control FPWIN Pro には、ヒープオーバーフロー (CWE-122)、型の取り違え (type confusion: CWE-843) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-6530、CVE-2019-6532) が存在します。

Optergy の Proton Enterprise Building Management System (2019/06/06)

商業施設、政府施設分野で利用されている米 Optergy (optergy.com) の ビル管理システム Proton Enterprise Building Management System には、クロスサイトリクエストフォージェリ問題 (CWE-352)、適切でないアップロートファイル制限 (CWE-434)、オープンリダイレクト問題 (CWE-601)、システム権限を利用できる文書化されていない機能 (CWE-912)、危険なメソッドや機能の公開 (CWE-749)、資格情報がハードコーディングされている問題 (CWE-798) に起因して任意のコード実行や不正アクセスなどを許してしまう計 7 件の脆弱性 (CVE-2019-7272 〜 CVE-2019-7279) が存在します。

Geutebrck の G-Cam、G-Code (2019/06/04)

商業施設、エネルギー、銀行・金融、政府施設、公共衛生・ヘルスケア、輸送分野で利用されている独 Geutebrck(geutebrueck.com) の監視カメラ G-Cam、エンコーダ製品 G-Code には、OS コマンドインジェクション問題 (CWE-78)、クロスサイトスクリプティング問題 (CWE-79) に起因して任意のコード実行などを許してしまう脆弱性 (CVE-2019-10956、CVE-2019-10957、CVE-2019-10958) が存在します。

Phoenix Contact Software の PLCNext AXC F 2152 (2019/06/04)

通信、重要製造業、情報技術分野で利用されている独 Phoenix Contact Software (phoenixcontact.com) のイーサネットモジュール FL NAT SMN、FL NAT SMCS の Web インタフェースには、適切でないアクセス制御 (CWE-284) に起因して機器の設定変更などの不正アクセスを許してしまう脆弱性 (CVE-2019-9744) が存在します。

Phoenix Contact Software の PLCNext AXC F 2152 (2019/06/04)

商業施設分野で利用されている独 Phoenix Contact Software (phoenixcontact.com) の Axioline I/O 機器用のコントローラ製品である PLCNext AXC F 2152 には、鍵管理のエラー (CWE-320)、適切でないアクセス制御 (CWE-284)、中間者攻撃問題 (CWE-300) に起因してパスワードの解読、認証機構の迂回、サービス不能攻撃、不正アクセスなどを許してしまう脆弱性 (CVE-2018-7559、CVE-2019-10997、CVE-2019-10998) が存在します。

(S01) シスコ製品

Industrial Network Director (2019/06/05)

ネットワークとデバイスの可視性と制御を向上させる管理製品である Cisco Industrial Network Director には、適切でない入力確認 (CWE-20) に起因して管理者権限で任意のコード実行を許してしまう脆弱性 (CVE-2019-1861) が存在します。

Unified Communications Manager (2019/06/05)

セッション管理プラットフォームである Cisco Unified Communications Manager の IM & Presence サービス、TelePresence Video Communication サーバ、Cisco Expressway スイートには、メモリ操作に関する適切でない入力確認 (CWE-20) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-1845) が存在します。不正な XMPP(Extensible Messaging and Presence Protocol) パケットを受信した場合に影響を受ける可能性があります。

(S13) Tomcat

Tomcat 9.0.21、8.5.42 リリース (2019/06/07)

Tomcat 9.0.21、8.5.42 は、不具合の修正や改善を目的としたリリースです。これらのバージョンでは、HTTP/2 の改善と安定性向上のための修正、same-site cookie 属性のサポート、ソートディレクトリリスティングのオプション追加などを施しています。

Tomcat 9.0.19、8.5.40 での脆弱性対策 (2019/05/17)

5月17日、Tomcat 9.0.19、8.5.40 で解決した脆弱性情報が掲載されました。報告された脆弱性は、クロスサイトスクリプティング問題 (CWE-79)(CVE-2019-0221) です。

(S16) VMware 製品

VMware セキュリティアップデート:VMSA-2019-0009 (2019/06/06)

Windows 版 VMware Tools の vm3dmp ドライバには、領域外のメモリ参照 (out-of-bounds read: CWE-125) に起因する脆弱性 (CVE-2019-5522) が存在します。VMware Workstation の Advanced Linux Sound Architecture には、メモリの解放後使用 (use-after-free: CWE-416) に起因する脆弱性 (CVE-2019-5525) が存在します。

(S21) Web アプリケーションならびに CMS

Drupal 8.7.3 リリース (2019/06/05)

Drupal 8.7.3 は、不具合の修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。


担当:寺田、大西/HIRT