ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.07.08>

更新日:<2019.07.08>

(I02) 制御システム製品

Quest の KACE システム管理アプライアンス (2019/07/02)

情報技術分野で利用されているカナダ Quest (quest.com) のネットワークに接続されたデバイスの管理、セキュリティ維持、およびサービス提供に対応する KACE システム管理アプライアンスには、適切でない入力確認 (CWE-20) に起因して不正アクセスを許してしまう脆弱性 (CVE-2019-10973) が存在します。

Schneider Electric の Modicon 製品 (2019/07/02)

多分野で利用されている仏 Schneider Electric (schneider-electric.com) の Modicon 製品には、適切でない異常や例外条件の確認 (CWE-754) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-6819) が存在します。不正な Modbus フレームを受信した場合に脆弱性を悪用される可能性があります。報告された脆弱性は、プロセスコントローラ Modicon Premium、Modicon Quantum、産業加工やインフラ用中型 PLC である Modicon M580、M340 に影響があります。

(S09) PHP

PHP 7.3.7、7.2.20 リリース (2019/07/04)

PHP 7.3.7、7.2.20 は、不具合の修正や改善を目的としたリリースです。7.3.7 では、Core、DOM、MySQLi、MySQLnd、Opcache、OpenSSL、phpdbg、Sockets、Sodium、Standard、Zip コンポーネントに存在する計 14 件の不具合、7.2.20 では、Core、DOM、MySQLi、Opcache、OpenSSL、Sockets、Standard、Zip コンポーネントに存在する計 10 件の不具合を修正しています。

(S11) Samba

Samba 4.9.11 リリース (2019/07/03)

Samba 4.9.11 では、バージョン ldb 1.4.7 に対応させました。4.9.10 では、不具合を修正するために db_module.h に LDAP_REFERRAL_SCHEME_OPAQUE を追加しましたが、ldb の更新に対応していませんでした。リリース時点で、セキュリティアップデートの報告はありません。

Samba 4.9.10 リリース (2019/07/02)

Samba 4.9.10 では、ctdb 関連、s3-lib、s3-smbd、s3-winbind、vfs 関連モジュールなどに存在する計 39 件の不具合を修正しています。リリース時点で、セキュリティアップデートの報告はありません。

(S13) Tomcat

Tomcat Native 1.2.23 リリース (2019/07/02)

Tomcat から Java Native Interface (JNI) 経由で Apache Portable Runtime (APR) を利用するためのライブラリである Tomcat Native 1.2.23 がリリースされました。このリリースでは、OpenSSL 1.1.1 以降を使用した際に TLS 鍵の記録、CRL ファイルあるいはパス処理で発生する異常終了の不具合を修正、Windows 版バイナリを APR 1.7.0 と OpenSSL 1.0.1c に対応させています。

(S16) VMware 製品

VMware セキュリティアップデート:VMSA-2019-0010 (2019/07/02)

Linux カーネルの TCP 選択確認応答 (SACK: TCP Selective Acknowledgement) には、整数オーバーフローに起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-11477)、TCP 再送キューに関連するリソース枯渇に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-11478) が存在します。

(S20) Red Hat

Red Hat (2019/07/01)

Red Hat 製品でサポートされている Firefox のセキュリティアップデート (RHSA-2019:1603、RHSA-2019:1604)(深刻度:緊急) がリリースされました。このアップデートでは、Firefox 60.7.1 ESR、60.7.2 ESR で解決した任意のコード実行を許してしまう脆弱性 (CVE-2019-11707、CVE-2019-11708) に対応しています。

(S21) Web アプリケーションならびに CMS

Drupal 8.7.4 リリース (2019/07/04)

Drupal 8.7.4 は、不具合の修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。


担当:寺田、大西/HIRT