ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.08.19>

更新日:<2019.08.19>

(C01) Mozilla

Firefox 68.0.2、ESR 68.0.2 リリース (2019/08/14)

Firefox 68.0.2 では、マスターパスワードなしで保存したパスワードのコピーを許してしまう脆弱性 (CVE-2019-11733) を解決しています。また、ESR として脆弱性を解決したバージョン ESR 68.0.2 をリリースしました。

(C02) アドビ システムズ製品

Acrobat Reader DC / Acrobat Reader 2017:APSB19-41 (2019/08/13)

Acrobat Reader DC ならびに Acrobat DC (2019.012.20036 / 2015.006.30499)、Acrobat Reader 2017 ならびに Acrobat 2017 (2017.011.30144) では、計 76 件の脆弱性 (CVE-2019-7832、CVE-2019-7965、CVE-2019-8002 〜 CVE-2019-8061、CVE-2019-8077、CVE-2019-8094 〜 CVE-2019-8106) を解決しています。対象となった脆弱性は、領域外メモリへの書き出し (out-of-bounds write: CWE-787)、コマンドインジェクション問題 (CWE-77)、メモリの解放後使用 (use-after-free: CWE-416)、ヒープオーバーフロー (CWE-122)、メモリの 2 重解放 (double free: CWE-415)、型の取り違え (type confusion: CWE-843) などに起因して任意のコード実行を許してしまう問題、領域外のメモリ参照 (out-of-bounds read: CWE-125)、整数オーバーフロー (CWE-190) など に起因して情報漏洩を許してしまう問題です。

(C08) アップル製品

SwiftNIO HTTP/2 1.5.0 リリース (2019/08/13)

イベント駆動型ネットワークアプリケーション向けフレームワーク SwiftNIO HTTP/2 1.5.0 では、適切でないリソース消費制限 (CWE-400) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-9512、CVE-2019-9514 〜 CVE-2019-9516、CVE-2019-9518) を解決しています。

(C11) マイクロソフト製品

マイクロソフト 2019年 8月のセキュリティ更新プログラム (2019/08/13)

2019年 8月のセキュリティ更新プログラムでは 96 件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行 36 件、サービス不能 15 件、アクセス権限の昇格 25 件、なりすまし 2 件、情報漏洩 14 件、セキュリティ機構の迂回 2 件です。

(I02) 制御システム製品

三菱電機の smartRTU、INEA の ME-RTU (2019/08/13)

三菱電機の smartRTU、スロベニア INEA (inea.si) の ME-RTU に関する注意喚起が発行されました。これらの製品には、OS コマンドインジェクション問題 (CWE-78)、適切でないアクセス制御 (CWE-284)、クロスサイトスクリプティング問題 (CWE-79)、暗号化に使用する鍵がハードコーディングされている問題 (CWE-321)、資格情報がハードコーディングされている問題 (CWE-798)、パスワードなどのアカウント情報が平文のまま格納されている問題 (CWE-256)、適切でないデフォルトアクセス許可 (CWE-276) に起因して任意のコード実行、情報漏洩などを許してしまう脆弱性が存在します。smartRTU、ME-RTU は、イーサネットリモートターミナルユニット製品です。

Siemens の中電圧用 SINAMICS 製品 (2019/08/15)

化学、商業施設、重要製造業、エネルギー、農業・食料、公共衛生・ヘルスケア、輸送、上下水道分野などで利用されている独 Siemens (siemens.com) の 中電圧用コンバータ SINAMICS 製品 GH150、GL150、SL150、SM150 などには、適切でないリソース消費制限 (CWE-400) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-6568) が存在します。

Siemens の SCALANCE 製品 (2019/08/15)

化学、重要製造業、エネルギー、農業・食料、上下水道分野などで利用されている独 Siemens (siemens.com) の産業用イーサネットスイッチ SCALANCE 製品 には、認証された攻撃者がポート番号 22/TCP にアクセスできる場合、適切でないコーディング基準の遵守 (CWE-710) に起因してサービス不能攻撃や任意のコード実行を許してしまう脆弱性 (CVE-2019-10927、CVE-2019-10928) が存在します。

富士電機の Alpha5 Smart (2019/08/15)

商業施設、重要製造業分野で利用されている富士電機 (fujielectric.com) の高性能・汎用サーボシステム Alpha5 Smart のローダには、スタックオーバーフロー (CWE-121) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-13520) が存在します。

Johnson Controls の Metasys (2019/08/15)

重要製造業分野で利用されているアイルランド Johnson Controls (johnsoncontrols.com) の Metasys の ADS/ADX サーバ、NAE/NIE/NCE エンジンでは、暗号化処理における Nonce、鍵ペアの再利用 (CWE-323) に起因して RSA 鍵の復号を許してしまう脆弱性 (CVE-2019-7593)、RC2 については暗号化に使用する鍵がハードコーディングされている問題 (CWE-321)(CVE-2019-7594) が存在します。Metasys は、エネルギーマネジメント機能を兼ね備えたビルオートメーションシステム製品です。

Siemens の SCALANCE X スイッチ (2019/08/13)

化学、重要製造業、エネルギー、農業・食料、上下水道分野で利用されている独 Siemens (siemens.com) の産業用イーサネットスイッチ SCALANCE X200 には、適切でないリソース消費制限 (CWE-400) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-10942) が存在します。

OSIsoft の PI Web API (2019/08/13)

化学、重要製造業、エネルギー、農業・食料、政府施設、公共衛生・ヘルスケア、情報技術、上下水道分野で利用されている米 OSIsoft (osisoft.com) の PI Web API には、ログファイルからの情報漏洩 (CWE-532)、保護メカニズムの不具合 (CWE-693) に起因するクロスサイトリクエストフォージェリ問題 (CVE-2019-13515、CVE-2019-13516) が存在します。PI Web API は、PI 製品からのデータ収集や書き込みなどを提供する Web サービス API 製品で、さまざまな分野で利用されています。

Delta Electronics の Delta Industrial Automation DOPSoft (2019/08/13)

重要製造業分野で利用されている台湾 Delta Electronics (deltaww.com) の編集ソフトウェア Delta Industrial Automation DOPSoft には、領域外のメモリ参照 (out-of-bounds read: CWE-125)、メモリの解放後使用 (use-after-free: CWE-416) に起因して任意のコード実行、サービス不能攻撃、情報漏洩を許してしまう脆弱性 (CVE-2019-13513、CVE-2019-13514) が存在します。

(S03) Apache HTTP サーバ

Apache httpd 2.4.41 リリース (2019/08/14)

Apache httpd 2.4.41 では、モジュールに存在する 6 件の脆弱性を解決しています。報告されている脆弱性は、mod_proxy のエラーページに存在するクロスサイトスクリプティング問題 (CWE-79)(CVE-2019-10092)、mod_rewrite に存在するオープンリダイレクト問題 (CWE-601)(CVE-2019-10098)、mod_http2 に存在するコネクション終了処理中に解放後メモリを参照する問題 (CVE-2019-10082)、プッシュ処理中のメモリ破損 (CVE-2019-10081)、mod_remoteip に存在するスタックオーバーフロー (CWE-121) と NULL ポインタ参照 (NULL pointer dereference: CWE-476)(CVE-2019-10097) です。なお、バージョン 2.4.40 はリリースされていません。

(S21) Web アプリケーションならびに CMS

Joomla! 3.9.11 リリース (2019/08/13)

Joomla! 3.9.11 では、com_contact のアクセス制御に起因して無効化されたフォームからのメール送信を許してしまう脆弱性 (CVE-2019-15028) を解決しています。Joomla 1.6.2 〜 3.9.10 が影響を受けます。

(S23) SAP 製品

SAP Security Patch Day - August 2019 (2019/08/13)

12 件のセキュリティノートがリリースされています。該当する製品は、SAP Business Objects Business Intelligence Platform、SAP Commerce Cloud、SAP Enable Now、SAP Gateway、SAP HANA Database、SAP Kernel、SAP NetWeaver Application Server for Java、SAP NetWeaver Process Integration、SAP NetWeaver UDDI Server です。報告されている脆弱は、任意のコード実行 (CVE-2019-0351)、サービス不能攻撃を許してしまう脆弱性 (CVE-2019-0350)、コードインジェクション問題 (CWE-94)(CVE-2019-0344)、情報漏洩 (CVE-2019-0333、CVE-2019-0338)、クロスサイトスクリプティング問題 (CWE-79)(CVE-2019-0334、CVE-2019-0337) などです。


担当:寺田、大西/HIRT