ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.06.17>

更新日:<2019.06.17>

(C01) Mozilla

Thunderbird 60.7.1 リリース (2019/06/13)

Thunderbird 60.7.1 では、スタックオーバーフロー (CWE-121)、ヒープオーバーフロー (CWE-122)、型の取り違え (type confusion: CWE-843) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-11703 〜 CVE-2019-11706) を解決しています。

Firefox 67.0.2 リリース (2019/06/11)

Firefox 67.0.2 では、IE 固有の動作 IE.HTTP: に起因してローカルファイルの参照を許してしまう脆弱性 (CVE-CVE-2019-11702) を解決しています。また、JavaScript エラー、プロキシ認証のダイアログボックスが繰り返しポップアップする問題などの不具合を修正しています。

(C08) アップル製品

Windows 版 iCloud 4.10 リリース (2019/06/11)

Windows 版 iCloud 4.10 では、SQLite、WebKit コンポーネントに存在する計 25 件の脆弱性 (CVE-2019-6237、CVE-2019-8571、CVE-2019-8577、CVE-2019-8583、CVE-2019-8584、CVE-2019-8586、CVE-2019-8587、CVE-2019-8594 〜 CVE-2019-8600 他) を解決しています。対象となった脆弱性は、アクセス権限昇格、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題などです。

iOS 12.3.2 リリース (2019/06/10)

iOS 12.3.2 は不具合の修正や改善を目的としたリリースです。リリース時点で、CVE 番号が割り当てられたセキュリティアップデートの報告はありません。

(C10) Google Chrome

Google Chrome 75.0.3770.90 リリース (2019/06/13)

Chrome 75.0.3770.90 では、メモリの解放後使用 (use-after-free: CWE-416) に起因する脆弱性 (CVE-2019-5842) などを解決しています。

(C11) マイクロソフト製品

マイクロソフト 2019年 6月のセキュリティ更新プログラム (2019/06/11)

2019年 6月のセキュリティ更新プログラムでは 93 件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行 32 件、サービス不能 7 件、アクセス権限の昇格 24 件、なりすまし 5 件、情報漏洩 19 件、セキュリティ機構の迂回 3 件です。

(I01) ヘルスケア製品

Becton, Dickinson and Company の Alaris Gateway Workstation (2019/06/13)

公共衛生・ヘルスケア分野で利用されている米 Becton, Dickinson and Company (bd.com) の点滴データを病院内の中央臨床情報システムと統合する Alaris Gateway Workstation には、Web インタフェースに適切でないアクセス制御 (CWE-284) に起因して不正アクセスを許してしまう脆弱性 (CVE-2019-10959)、適切でないアップロートファイル制限 (CWE-434) に起因してファームウェアの改ざんなどを許してしまう脆弱性 (CVE-2019-10962) が存在します。

DICOM 規格の医療機器 (2019/06/11)

公共衛生・ヘルスケア分野で利用されている DICOM (Digital Imaging and COmmunications in Medicine) の脆弱性 (CVE-2019-11687) に関する注意喚起が報告されています。DICOM は、CT、MRI や CR などで撮影した医用画像フォーマットとそれらを扱う医用画像機器間の通信プロトコルの標準規格です。報告によれば、DICOM 仕様の医療画像にマルウェアのような実行コードの埋込みが可能であるというものです。

(I02) 制御システム製品

WAGO の産業用イーサネットスイッチ (2019/06/13)

商業施設分野で利用されている独 WAGO (wago.com) の産業用イーサネットスイッチ 852-303、852-1305、852-1505 には、資格情報がハードコーディングされている問題 (CWE-798)、暗号化に使用する鍵がハードコーディングされている問題 (CWE-321) に起因して不正アクセスを許してしまう脆弱性 (CVE-2019-12549、CVE-2019-12550) が存在します。

Johnson Controls の exacqVision Enterprise System Manager (2019/06/11)

重要製造業分野で利用されている米 Johnson Controls (johnsoncontrols.com) のビデオ監視 exacqVision Enterprise System Manager には、適切でない認可 (CWE-285) に起因してアクセス権限の昇格を許してしまう脆弱性 (CVE-2019-7588) が存在します。

Siemens の SCALANCE X スイッチ (2019/06/11)

化学、エネルギー、農業・食料、上下水道分野で利用されている独 Siemens (siemens.com) の産業用イーサネットスイッチ SCALANCE X の Web インタフェースには、サービス不能攻撃を許してしまう脆弱性 (CVE-2018-13807) が存在します。不正なパケットを Web サーバが稼働するポート番号 443/TCP で受信した場合に脆弱性の影響を受ける可能性があります。

Siemens の LOGO!8 (2019/06/11)

商業施設、輸送分野で利用されている独 Siemens (siemens.com) の PLC LOGO!8 には、ポート番号 10005/TCP 経由でメモリバッファ境界での適切でない操作制限 (CWE-119) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-10925)、セッションの固定化 (CWE-384) に起因して不正アクセスを許してしまう脆弱性 (CVE-2019-10926、) が存在します。

Siemens の 固定光学リーダ製品 (2019/06/11)

重要製造業分野で利用されている独 Siemens (siemens.com) の固定光学リーダ SIMATIC Ident 製品 MV420、MV440 には、適切でない権限の管理 (CWE-269)、重要な情報を平文のまま転送している問題 (CWE-319) に起因してアクセス権限の昇格や情報漏洩を許してしまう脆弱性 (CVE-2019-10925、CVE-2019-10926) が存在します。

Siemens のビデオ監視システム (2019/06/11)

重要製造業、商業施設分野で利用されている独 Siemens (siemens.com) のビデオ監視システム Siveillance VMS には、適切でない認可 (CWE-285)、適切でないユーザ管理 (CWE-286)、認可の欠落 (CWE-862) に起因してポート番号 80/TCP 経由で機器やユーザ設定の変更を許してしまう脆弱性 (CVE-2019-6580、CVE-2019-6581、CVE-2019-6582) が存在します。

(S01) シスコ製品

IOS XE ソフトウェア (2019/06/12)

Cisco IOS XE ソフトウェアの Web インタフェースには、クロスサイトリクエストフォージェリ問題 (CWE-352)(CVE-2019-1904) が存在します。

(S04) DNS [BIND/NSD/Unbound/PowerDNS]

NSD 4.2.0 リリース (2019/06/11)

DNS コンテンツサーバ (権威 DNS サーバ) の一つである NSD (Name Server Daemon) のバージョン 4.2.0 は、不具合の修正と改善を目的としたリリースで、RFC4892 (Requirements for a Mechanism Identifying a Name Server Instance) のセキュリティ項目を考慮したとしています。セキュリティアップデートは含まれていません。

(S21) Web アプリケーションならびに CMS

Joomla! 3.9.8 リリース (2019/06/11)

Joomla! 3.9.8 では、3.9.7 で作り込まれてしまった不具合を修正しています。不具合は、フランス語版ヘルプサーバ削除に関するものです。リリース時点で、セキュリティアップデートの報告はありません。

Joomla! 3.9.7 リリース (2019/06/11)

Joomla! 3.9.7 では、CSV インジェクション、クロスサイトスクリプティング問題 (CWE-79)、更新サーバ URL の操作を許してしまう脆弱性 (CVE-2019-12764 〜 CVE-2019-12766) を解決しています。このほか、計 40 件以上の不具合の修正や改善などを施しています。

ColdFusion 2018 Update 4 リリース (2019/06/11)

ColdFusion 2018 Update 4 では、適切でないアップロートファイル制限 (CWE-434)、コマンドインジェクション問題 (CWE-77)、信頼できないデータのデシリアル化 (CWE-502) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-7838、CVE-2019-7839、CVE-2019-7840) を解決しています。また、これら脆弱性を解決する ColdFusion 2016 Update 11、ColdFusion 11 Update 19 がリリースされました。

(S23) SAP 製品

SAP Security Patch Day - June 2019 (2019/06/11)

11 件のセキュリティノートがリリースされています。該当する製品は、SAP NetWeaver AS ABAP Platform、SAP Work Manager、SAP Inventory Manager、SAP BusinessObjects Business Intelligence Platform、SAP E-Commerce、SAP HANA Extended Application Services、SAP NetWeaver Process Integration、SAP R/3 Enterprise Application、Solution Manager です。報告されている脆弱は、サービス不能攻撃を許してしまう脆弱性 (CVE-2019-0314)、コードインジェクション問題 (CWE-94)(CVE-2019-0304、CVE-2019-0308)、クリックジャッキング問題 (CVE-2019-0305)、情報漏洩 (CVE-2019-0306、CVE-2019-0307、CVE-2019-0312、CVE-2019-0315)、クロスサイトスクリプティング問題 (CWE-79)(CVE-2019-0303、CVE-2019-0311、CVE-2019-0316) です。


担当:寺田、大西/HIRT