ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.06.24>

更新日:<2019.06.24>

(C01) Mozilla

Thunderbird 60.7.2 リリース (2019/06/20)

Thunderbird 60.7.2 では、型の取り違え (type confusion: CWE-843) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-11707)、型の取り違え (type confusion: CWE-843) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-11707) を解決しています。

Firefox 67.0.4、ESR 60.7.2 リリース (2019/06/20)

Firefox 67.0.4 では、サンドボックスの制限の迂回により任意のコード実行を許してしまう脆弱性 (CVE-2019-11708) を解決しています。また、ESR として脆弱性を解決したバージョン ESR 60.7.2 をリリースしました。

Firefox 67.0.3、ESR 60.7.1 リリース (2019/06/18)

Firefox 67.0.3 では、型の取り違え (type confusion: CWE-843) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-11707) を解決しています。

(C08) アップル製品

AirPort ベースステーションファームウェア・アップデート 7.8.1 リリース (2019/06/20)

AirMac ベースステーションファームウェア・アップデート 7.8.1 では、計 8 件の脆弱性 (CVE-2018-6918、CVE-2019-7291、CVE-2019-8572、CVE-2019-8575、CVE-2019-8578、CVE-2019-8580、CVE-2019-8581、CVE-2019-8588) を解決しています。対象となった脆弱性は、NULL ポインタ参照 (NULL pointer dereference:CWE-476)、メモリの解放後使用 (use-after-free:CWE-416) に起因して任意のコード実行やサービス不能攻撃を許してしまう問題です。

(C10) Google Chrome

Google Chrome 75.0.3770.100 リリース (2019/06/18)

Chrome 75.0.3770.100 は、安定性、性能、セキュリティの改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。

(S01) シスコ製品

SD-WAN Solution (2019/06/19)

WAN インフラストラクチャの管理と運用を提供する Cisco SD-WAN Solution には、適切でない許可、権限、アクセス制御 (CWE-264) に起因してアクセス権限の昇格を許してしまう脆弱性 (CVE-2019-1625) が存在します。

DNA Center Authentication (2019/06/19)

Digital Network Architecture (DNA) Center には、他の領域へのリソースの漏洩 (誤った領域へのリソース開示 : CWE-668) に起因して認証機構の迂回を許してしまう脆弱性 (CVE-2019-1848) が存在します。

(S04) DNS [BIND/NSD/Unbound/PowerDNS]

PowerDNS Authoritative Server 4.0.8、4.1.10 リリース (2019/06/21)

DNS コンテンツサーバ (権威 DNS サーバ) である PowerDNS Authoritative Server 4.0.8、4.1.10 では、不正なゾーンレコード、不正な NOFITY パケットを受信した際に発生するサービス不能攻撃を許してしまう脆弱性 (CVE-2019-10162、CVE-2019-10163) を解決しています。

BIND 9.14.3、9.12.4-P2、9.11.8 リリース (2019/06/19)

BIND 9.14.3、9.12.4-P2、9.11.8 では、サービス不能攻撃を許してしまう脆弱性を解決しています。報告されている脆弱性は、多数のパケットを破棄する際に引き起こされる競合状態に起因して named が異常終了してしまうしまう問題 (CVE-2019-6471) です。BIND 9.11 以降のすべての系列が、この脆弱性の影響を受けます。

(S11) Samba

Samba 4.10.5、4.9.9 リリース (2019/06/19)

Samba 4.10.5、4.9.9 では、Samba AD DC の DNS レコードやゾーン管理を担う DNS management server 機能に存在するサービス不能攻撃を許してしまう脆弱性 (CVE-2019-12435)、LDAP サーバのページ検索機能に存在するサービス不能攻撃を許してしまう脆弱性 (CVE-2019-12436) を解決しています。いずれも、NULL ポインタ参照 (NULL pointer dereference: CWE-476) に起因する問題です。

(S15) PostgreSQL

PostgreSQL 11.4、10.9、9.6.14、9.5.18、9.4.23 リリース (2019/06/20)

PostgreSQL 11.4、10.9 では、パスワード設定変更処理に存在するスタックオーバーフロー (CWE-121) に起因して任意のコード実行やサービス不能攻撃を許してしまう脆弱性 (CVE-2019-10164) を解決しています。PostgreSQL 9.6.14、9.5.18、9.4.23 は、不具合の修正と改善を目的としたリリースです。

(S21) Web アプリケーションならびに CMS

WordPress 5.2.2 リリース (2019/06/18)

WordPress 5.2.2 では、サイトヘルス機能の改善と 13 件の不具合を修正しています。

Drupal 8.6.17 リリース (2019/06/17)

Drupal 8.6.17 は、不具合の修正や改善を目的としたリリースで、Symfony を 3.4.25 にアップデートし、不具合の回避策を元に戻しています。Symfony 3.4.25 は Drupal の遅延セッション処理に影響する変更を元に戻しています。リリース時点で、セキュリティアップデートの報告はありません。


担当:寺田、大西/HIRT