更新日:<2019.07.08>
情報技術分野で利用されているカナダ Quest (quest.com) のネットワークに接続されたデバイスの管理、セキュリティ維持、およびサービス提供に対応する KACE システム管理アプライアンスには、適切でない入力確認 (CWE-20) に起因して不正アクセスを許してしまう脆弱性 (CVE-2019-10973) が存在します。
多分野で利用されている仏 Schneider Electric (schneider-electric.com) の Modicon 製品には、適切でない異常や例外条件の確認 (CWE-754) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-6819) が存在します。不正な Modbus フレームを受信した場合に脆弱性を悪用される可能性があります。報告された脆弱性は、プロセスコントローラ Modicon Premium、Modicon Quantum、産業加工やインフラ用中型 PLC である Modicon M580、M340 に影響があります。
PHP 7.3.7、7.2.20 は、不具合の修正や改善を目的としたリリースです。7.3.7 では、Core、DOM、MySQLi、MySQLnd、Opcache、OpenSSL、phpdbg、Sockets、Sodium、Standard、Zip コンポーネントに存在する計 14 件の不具合、7.2.20 では、Core、DOM、MySQLi、Opcache、OpenSSL、Sockets、Standard、Zip コンポーネントに存在する計 10 件の不具合を修正しています。
Samba 4.9.11 では、バージョン ldb 1.4.7 に対応させました。4.9.10 では、不具合を修正するために db_module.h に LDAP_REFERRAL_SCHEME_OPAQUE を追加しましたが、ldb の更新に対応していませんでした。リリース時点で、セキュリティアップデートの報告はありません。
Samba 4.9.10 では、ctdb 関連、s3-lib、s3-smbd、s3-winbind、vfs 関連モジュールなどに存在する計 39 件の不具合を修正しています。リリース時点で、セキュリティアップデートの報告はありません。
Tomcat から Java Native Interface (JNI) 経由で Apache Portable Runtime (APR) を利用するためのライブラリである Tomcat Native 1.2.23 がリリースされました。このリリースでは、OpenSSL 1.1.1 以降を使用した際に TLS 鍵の記録、CRL ファイルあるいはパス処理で発生する異常終了の不具合を修正、Windows 版バイナリを APR 1.7.0 と OpenSSL 1.0.1c に対応させています。
Linux カーネルの TCP 選択確認応答 (SACK: TCP Selective Acknowledgement) には、整数オーバーフローに起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-11477)、TCP 再送キューに関連するリソース枯渇に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-11478) が存在します。
Red Hat 製品でサポートされている Firefox のセキュリティアップデート (RHSA-2019:1603、RHSA-2019:1604)(深刻度:緊急) がリリースされました。このアップデートでは、Firefox 60.7.1 ESR、60.7.2 ESR で解決した任意のコード実行を許してしまう脆弱性 (CVE-2019-11707、CVE-2019-11708) に対応しています。
Drupal 8.7.4 は、不具合の修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。
担当:寺田、大西/HIRT
