更新日:<2019.07.15>
Firefox 68.0 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、情報漏洩、なりすまし、セキュリティ機構の迂回を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 21 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。また、ESR として脆弱性を解決したバージョン ESR 60.8 をリリースしました。
Thunderbird 60.8 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、情報漏洩、なりすまし、セキュリティ機構の迂回を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 9 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。
2019年 7月のセキュリティ更新プログラムでは 81 件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行 29 件、サービス不能 4 件、アクセス権限の昇格 20 件、なりすまし 6 件、情報漏洩 18 件、セキュリティ機構の迂回 3 件です。
公共衛生・ヘルスケア分野で利用されているオランダ Philips (philips.com) のホルター心電図レポート作成 Holter 2010 Plus には、廃止された機能の使用 (CWE-477) に起因して指定外のシステムオプションを有効にできる脆弱性 (CVE-2019-10968) が存在します。
公共衛生・ヘルスケア分野で利用されている米 GE (gehealthcare.com) の全身用麻酔装置 Aestiva、Aespire、Carestation には、適切でない認証 (CWE-287) に起因して不正アクセスを許してしまう脆弱性 (CVE-2019-10966) が存在します。TCP/IP ネットワーク用にシリアルデバイスが接続されている場合に影響を受けます。
エネルギー分野で利用されている仏 Schneider Electric (schneider-electric.com) のライセンス管理製品 Floating License Manager には、適切でない入力確認 (CWE-20)、メモリバッファ境界での適切でない操作制限 (CWE-119) に起因してサービス不能攻撃や任意のコード実行を許してしまう脆弱性 (CVE-2018-20031 〜 CVE-2018-20034) が存在します。
商業施設、重要製造業、エネルギー分野で利用されている仏 Schneider Electric (schneider-electric.com) のオブジェクト指向型でマウス操作が可能な SCADA システムの IGSS (Interactive Graphical SCADA System) には、領域外メモリへの書き出し (out-of-bounds write: CWE-787) に起因してサービス不能攻撃や任意のコード実行を許してしまう脆弱性 (CVE-2019-6827) が存在します。
エネルギー分野で利用されている英 AVEVA(aveva.com) の FA、BA 分野の監視・管理システム向け製品である Vijeo Citect、Citect SCADA で使用している Floating License Manager には、適切でない入力確認 (CWE-20)、メモリバッファ境界での適切でない操作制限 (CWE-119) に起因してサービス不能攻撃や任意のコード実行を許してしまう脆弱性 (CVE-2018-20031 〜 CVE-2018-20034) が存在します。
重要製造業、農業・食料、輸送分野で利用されている独 Siemens (siemens.com) の RFID システム RF615R、RF68XR には、適切でない入力確認 (CWE-20)、暗号の問題 (CWE-310) に起因して暗号通信の復号、情報漏洩をを許してしまう脆弱性 (CVE-2011-3389、CVE-2016-6329、CVE-2013-0169) が存在します。
化学、重要製造業、エネルギー、農業・食料、上下水道分野で利用されている独 Siemens (siemens.com) の TIA Administrator ライセンスの TIA ポータルには、適切でないアクセス制御 (CWE-284) に起因して認証なしでアプリケーションコマンドの実行などを許してしまう脆弱性 (CVE-2019-10915) が存在します。
化学、重要製造業、エネルギー、農業・食料、上下水道分野で利用されている独 Siemens (siemens.com) の SCADA システム用 HMI (Human Machine Interface) 製品である SIMATIC WinCC、ならびにプロセスコントロールシステムのためのソフトウェアである SIMATIC PCS 7 には、適切でないアップロートファイル制限 (CWE-434) に起因して任意の ASPX コードのアップロードを許してしまう脆弱性 (CVE-2019-10935) が存在します。
重要製造業分野で利用されている台湾 Delta Electronics (deltaww.com) のスクリーン表示のカスタマイズやセットアップを支援する CNCSoft、スクリーン表示を編集する ScreenEditor には、ヒープオーバーフロー (CWE-122)、領域外のメモリ参照 (out-of-bounds read: CWE-125) に起因して任意のコード実行や情報漏洩を許してしまう脆弱性 (CVE-2019-10982、CVE-2019-10992) が存在します。
エネルギー分野で利用されている独 Siemens (siemens.com) の SIPROTEC 5、DIGSI 5 には、適切でない入力確認 (CWE-20) に起因してファイルのアップロード、ダウンロードや削除などを許してしまう脆弱性 (CVE-2019-10930)、サービス不能攻撃を許してしまう脆弱性 (CVE-2019-10931) が存在します。いずれも、ポート番号 443/TCP で不正なパケットを受信した場合に脆弱性を悪用される可能性があります。SIPROTEC 5 は、エネルギー分野で利用されている保護リレー製品です。DIGSI 5 は、SIPROTEC 機器のユーザインタフェースを提供する PC プログラムです。
エネルギー分野で利用されている独 Siemens (siemens.com) のエネルギー管理プラットフォーム製品 Spectrum Power には、クロスサイトスクリプティング問題 (CWE-79)(CVE-2019-10933) が存在します。
重要製造業分野で利用されている仏 Schneider Electric (schneider-electric.com) のラダープログラム用プログラミングソフトウェア Zelio Soft 2 には、メモリの解放後使用 (use-after-free: CWE-416) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-6822) が存在します。不正な Zelio Soft 2 プロジェクトファイルを処理した際に、脆弱性の影響を受ける可能性があります。
重要製造業、農業・食料、輸送、上下水道分野などで利用されている米 Rockwell Automation (rockwellautomation.com) の グラフィックターミナル PanelView 5510 には、適切でないアクセス制御 (CWE-284) に起因してアクセス権限の昇格を伴う不正アクセスを許してしまう脆弱性 (CVE-2019-10970) が存在します。
化学、重要製造業、エネルギー分野で利用されている米 Emerson (emerson.com) の分散型制御システム (DCS) には、資格情報がハードコーディングされている問題 (CWE-798) に起因して管理者権限ので不正アクセスを許してしまう脆弱性 (CVE-2018-11691) が存在します。
IT インフラの性能監視分析を行う Hitachi Infrastructure Analytics Advisor、サーバ管理用ソフトウェア Hitachi Compute Systems Manager には、複数の脆弱性 (CVE-2018-14720、CVE-2018-19360、CVE-2018-19361、CVE-2018-19362) が存在します。
Cosminexus Component Container を構成部品として使用している Cosminexus 製品には、脆弱性 (CVE-2013-3827) が存在します。
DNS コンテンツサーバ (権威 DNS サーバ) の一つである NSD (Name Server Daemon) のバージョン 4.2.1 は、不具合の修正と改善を目的としたリリースで、tls、tls6 用の統計カウンタ、nsd.conf でのバッファサイズの設定などの改善を施しています。セキュリティアップデートは含まれていません。
Samba 4.10.6 では、バージョン ldb 1.5.5 に対応させ、ctdb、dsdb、ldb 関連モジュールなどに存在する計 29 件の不具合を修正しています。リリース時点で、セキュリティアップデートの報告はありません。
Tomcat 9.0.22、8.5.43 は、不具合の修正や改善を目的としたリリースです。9.0.22 では、CDI 2、JAX-RS をサポートするためのオプションモジュールの追加、OpenSSL 1.1.1c でビルドした Windows 版バイナリの Tomcat Native を 1.2.23 にアップデート、Eclipse JDT Compiler 4.12 にアップデートするなどを施しています。8.5.43 では、バッキング XML ファイルが変更された場合にソースファイルを再ロードする UserDatabase 機能の追加、OpenSSL 1.1.1c でビルドした Windows 版バイナリの Tomcat Native を 1.2.23 にアップデートするなどを施しています。
VMware ESXi へのログイン試行を複数回失敗すると、hostd サービスが応答しなくなることに起因して管理機能に対するサービス不能攻撃を許してしまう脆弱性 (CVE-2019-5528) が存在します。
Squid 4.8 では、cachemgr.cgi に存在するサービス不能攻撃、クロスサイトスクリプティング問題 (CWE-79) を許してしまう脆弱性 (CVE-2019-12854、CVE-2019-13345)、HTTP Digest 認証処理に存在するサービス不能攻撃を許してしまう脆弱性 (CVE-2019-12529、CVE-2019-12525)、HTTP Basic 認証処理に存在するサービス不能攻撃を許してしまう脆弱性 (CVE-2019-12527) を解決しています。影響を受けるバージョンは、Squid 2.x、Squid3.x 〜 3.5.28、Squid 4.x 〜 4.7 です。
Red Hat 製品でサポートされている Firefox のセキュリティアップデート (RHSA-2019:1696)(深刻度:緊急) がリリースされました。このアップデートでは、Firefox 60.7.1 ESR、60.7.2 ESR で解決した任意のコード実行を許してしまう脆弱性 (CVE-2019-11707、CVE-2019-11708) に対応しています。
Joomla! 3.9.10 では 3.9.9 で作り込まれてしまった不具合を修正しています。不具合は、多言語 Web サイトのテンプレートスタイルに関するものです。リリース時点で、セキュリティアップデートの報告はありません。
Joomla! 3.9.9 では、フォームのフィルタ属性処理に存在する任意のコード実行を許してしまう脆弱性を解決しています。Joomla 3.9.7 〜 3.9.8 が影響を受けます。このほか、計 30 件以上の不具合の修正や改善などを施しています。
担当:寺田、大西/HIRT
