更新日:<2019.07.01>
公共衛生・ヘルスケア分野で利用されているアイルランド Medtronic (medtronic.com) の MiniMed 508、MiniMed Paradigm シリーズのインスリンポンプには、無線通信に関して、適切でないアクセス制御 (CWE-284) に起因して情報漏洩、機器の設定変更などの不正アクセスを許してしまう脆弱性 (CVE-2018-10634、CVE-2018-14781) が存在します。
重要製造業、エネルギー、上下水道分野で利用されている台湾 Advantech (advantech.com) のリモート制御および管理機能を提供する Advantech Webaccess HMI/SCADA 製品には、ディレクトリトラバーサル問題 (CWE-22) に起因してファイル削除を許してしまう脆弱性 (CVE-2019-10985)、スタックオーバーフロー (CWE-121)、ヒープオーバーフロー (CWE-122)、領域外メモリへの書き出し (out-of-bounds write: CWE-787)、信頼できないポインタの参照 (CWE-822) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-10991、CVE-2019-10989、CVE-2019-10987、CVE-2019-10993)、領域外のメモリ参照 (out-of-bounds read: CWE-125) に起因して情報漏洩を許してしまう脆弱性 (CVE-2019-10983) が存在します。
重要製造業分野で利用されている独 SICK (sick.com) の単一コンポーネントとしてのロジックユニットである MSC800 には、資格情報がハードコーディングされている問題 (CWE-798) に起因して不正アクセスなどを許してしまう脆弱性 (CVE-2019-10979) が存在します。
重要製造業分野で利用されているスイス ABB (abb.com) の タッチスクリーン CP62x/CP63x HMI には、資格情報がハードコーディングされている問題 (CWE-798) に起因して不正アクセスなどを許してしまう脆弱性 (CVE-2019-7225) が存在します。
重要製造業分野で利用されているスイス ABB (abb.com) の タッチスクリーン CP65x/CP66x/CP67x HMI には、資格情報がハードコーディングされている問題 (CWE-798) に起因して不正アクセスなどを許してしまう脆弱性 (CVE-2019-10995) が存在します。
化学、重要製造業、ダム、エネルギー、農業・食料、上下水道分野で利用されているスイス ABB (abb.com) の Panel Builder には、不正アクセス、任意のコード実行、サービス不能攻撃、情報漏洩などを許してしまう複数の脆弱性 (CVE-2019-7225 〜 CVE-2019-7232) が存在します。報告されている脆弱性は、資格情報がハードコーディングされている問題 (CWE-798)、適切でない認証 (CWE-287)、相対的ディレクトリトラバーサル問題 (CWE-23)、適切でない入力確認 (CWE-20)、スタックオーバーフロー (CWE-121) です。Panel Builder は、オペレータパネルを作成するためのエンジニアリングツールです。
データセンタ基盤の稼働性、信頼性を管理する Cisco Data Center の Network Manager には、適切でないアクセス許可、権限、制御 (CWE-264) に起因して認証機構の迂回と内部サービスへのアクセスを許してしまう脆弱性 (CVE-2019-1848)、Web 管理インタフェースから任意のファイルアップロードと任意のコード実行を許してしまう脆弱性 (CVE-2019-1620) が存在します。
Red Hat 製品でサポートされている Adobe Flash プラグイン (RHSA-2019:1476) のセキュリティアップデート (深刻度:緊急) がリリースされました。これらのアップデートでは、Adobe Flash Player 32.0.0.207 で解決した脆弱性に対応しています。
担当:寺田、大西/HIRT
