ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.07.29>

更新日:<2019.07.29>

(C08) アップル製品

Windows 版 iCloud 10.6 リリース (2019/07/22)

Windows 版 iCloud 10.6 では、libxslt、WebKit コンポーネントに存在する計 23 件の脆弱性 (CVE-2019-13118、CVE-2019-8644、CVE-2019-8649、CVE-2019-8658、CVE-2019-8666、CVE-2019-8669、CVE-2019-8671 〜 CVE-2019-8673 他) を解決しています。対象となった脆弱性は、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題などです。

Windows 版 iCloud 7.13 リリース (2019/07/22)

Windows 版 iCloud 7.13 では、libxslt、WebKit コンポーネントに存在する計 23 件の脆弱性 (CVE-2019-13118、CVE-2019-8644、CVE-2019-8649、CVE-2019-8658、CVE-2019-8666、CVE-2019-8669、CVE-2019-8671 〜 CVE-2019-8673 他) を解決しています。対象となった脆弱性は、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題などです。

Windows 版 iTunes 12.9.6 リリース (2019/07/22)

Windows 版 iTunes 12.9.6 では、libxslt、WebKit コンポーネントに存在する計 23 件の脆弱性 (CVE-2019-13118、CVE-2019-8644、CVE-2019-8649、CVE-2019-8658、CVE-2019-8666、CVE-2019-8669、CVE-2019-8671 〜 CVE-2019-8673 他) を解決しています。対象となった脆弱性は、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題などです。

iOS 12.4 リリース (2019/07/22)

iOS 12.4 では、Core Data、FaceTime、Found in Apps、Foundation、Game Center、Heimdal、libxslt、Messages、MobileInstallation、Profiles、Quick Look、Siri、テレフォニィ、UIFoundation、Wallet、WebKit コンポーネントに存在する計 36 件の脆弱性 (CVE-2018-16860、CVE-2019-13118、CVE-2019-8641、CVE-2019-8644、CVE-2019-8646 〜 CVE-2019-8649、CVE-2019-8657、CVE-2019-8658 他) を解決しています。対象となった脆弱性は、サービス不能攻撃、メモリの解放後使用 (use-after-free:CWE-416)、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題です。

iOS 10.3.4 リリース (2019/07/22)

iOS 10.3.4 は不具合の修正や改善を目的としたリリースです。リリース時点で、CVE 番号が割り当てられたセキュリティアップデートの報告はありません。

iOS 9.3.6 リリース (2019/07/22)

iOS 9.3.6 は不具合の修正や改善を目的としたリリースです。リリース時点で、CVE 番号が割り当てられたセキュリティアップデートの報告はありません。

tvOS 12.4 リリース (2019/07/22)

tvOS 12.4 では、Core Data、Foundation、Game Center、Heimdal、libxslt、MobileInstallation、Profiles、Quick Look、Siri、UIFoundation、WebKit コンポーネントに存在する計 31 件の脆弱性 (CVE-2018-16860、CVE-2019-13118、CVE-2019-8641、CVE-2019-8644、CVE-2019-8646、CVE-2019-8647、CVE-2019-8649 他) を解決しています。対象となった脆弱性は、サービス不能攻撃、メモリの解放後使用 (use-after-free:CWE-416)、メモリ破損 (memory corruption:CWE-119)、に起因して任意のコード実行を許してしまう問題です。

Apple TV ソフトウェア 7.3.1 リリース (2019/07/22)

Apple TV ソフトウェア 7.3.1 は不具合の修正や改善を目的としたリリースです。リリース時点で、CVE 番号が割り当てられたセキュリティアップデートの報告はありません。

Safari 12.1.2 リリース (2019/07/22)

Safari 12.1.2 では、Safari、WebKit コンポーネントに存在する計 23 件の脆弱性 (CVE-2019-8644、CVE-2019-8649、CVE-2019-8658、CVE-2019-8666、CVE-2019-8669 〜 CVE-2019-8673、CVE-2019-8676 〜 CVE-2019-8681 他) を解決しています。対象となった脆弱性は、なりすまし、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題です。

macOS Mojave 10.14.6 リリース (2019/07/22)

macOS Mojave 10.14.6、セキュリティアップデート 2019-004 High Sierra、セキュリティアップデート 2019-004 Sierra では、AppleGraphicsControl、autofs、Bluetooth、Carbon Core、Classroom、Core Data、Disk Management、FaceTime、Found in Apps、Foundation、Game Center、Grapher、グラフィックドライバ、Heimdal、IOAcceleratorFamily、libxslt、Quick Look、Safari、セキュ リティ、Siri、Time Machine、UIFoundation、WebKit コンポーネントに存在する計 42 件の脆弱性 (CVE-2018-16860、CVE-2019-13118、CVE-2019-8641、CVE-2019-8644、CVE-2019-8646、CVE-2019-8648、CVE-2019-8649、CVE-2019-8656 〜 CVE-2019-8658 他) を解決しています。対象となった脆弱性は、サービス不能攻撃、メモリの解放後使用 (use-after-free:CWE-416)、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題です。

watchOS 5.3 リリース (2019/07/22)

watchOS 5.3 では、Core Data、Digital Touch、FaceTime、Foundation、Heimdal、libxslt、Messages、MobileInstallation、Quick Look、Siri、UIFoundation、Wallet、WebKit コンポーネントに存在する計 22 件の脆弱性 (CVE-2018-16860、CVE-2019-13118、CVE-2019-8624、CVE-2019-8641、CVE-2019-8646 〜 CVE-2019-8648、CVE-2019-8657 〜 CVE-2019-8660 他) を解決しています。対象となった脆弱性は、サービス不能攻撃、メモリの解放後使用 (use-after-free:CWE-416)、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題です。

(I02) 制御システム製品

NREL の EnergyPlus (2019/07/23)

エネルギー分野で利用されている米 NREL (National Renewable Energy Laboratory)(nrel.gov) の建物全体のエネルギーシミュレーションプログラム EnergyPlus には、スタックオーバーフロー (CWE-121) に起因して任意のコード実行を許してしまう複数の脆弱性 (CVE-2019-10974) が存在します。

三菱電機の FR Configurator2 (2019/07/23)

重要製造業分野などで利用されている三菱電機 (mitsubishielectric.com) の FR Configurator2 には、外部に置かれたファイルを呼び出す XXE (Xml eXternal Entity) 問題 (CWE-611) に起因して情報漏洩を許してしまう脆弱性 (CVE-2019-10976)、適切でないリソース消費制限 (CWE-400) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-10972) が存在します。FR Configurator2 は、インバータの立上げからメンテナンスまで設定できるソフトウェア製品です。

(S00) 日立製品

Hitachi Command Suite 製品、Hitachi Infrastructure Analytics Advisor (2019/07/26)

Hitachi Command Suite 製品および Hitachi Infrastructure Analytics Advisor には、複数の脆弱性 (CVE-2019-7317、CVE-2019-2762、CVE-2019-2769、CVE-2019-2745、CVE-2019-2816、CVE-2019-2842、CVE-2019-2786、CVE-2019-2766) が存在します。脆弱性は、Java SE 8 Update 221 で解決した AWT (libpng)、ユーティリティ、セキュリティ、ネットワーク、JCE に存在する問題です。

Cosminexus 製品 (2019/07/26)

Cosminexus Developer's Kit for Java、Hitachi Developer's Kit for Java を構成部品として使用している Cosminexus 製品には、複数の脆弱性 (CVE-2019-7317、CVE-2019-2762、CVE-2019-2769、CVE-2019-2745、CVE-2019-2816、CVE-2019-2842、CVE-2019-2786、CVE-2019-2766) が存在します。脆弱性は、Java SE 8 Update 221 で解決した AWT (libpng)、ユーティリティ、セキュリティ、ネットワーク、JCE に存在する問題です。

(S14) MySQL

MySQL 8.0.17、5.7.27、5.6.45 リリース (2019/07/22)

MySQL 8.0.17、5.7.27、5.6.45 では、InnoDB Storage Engine、レプリケーション処理などに存在する不具合を修正しています。また、Microsoft Windows 環境では、MySQL 名前付きパイプを使用した接続の制限についての警告メッセージをサポートし、keyring_aws プラグインでは、OpenSSL 1.1 で動作する最新の AWS SDK にアップデートするなどの改善を施しています。


担当:寺田、大西/HIRT