ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.08.26>

更新日:<2019.08.26>

(I02) 制御システム製品

Zebra の 産業用プリンタ (2019/08/20)

重要製造業分野で利用されている米 Zebra(zebra.com) の産業用プリンタには、十分でない資格情報保護 (CWE-522) に起因してパスコードの漏洩を許してしまう脆弱性 (CVE-2019-10960) が存在します。この問題は、不正なパケットをプリンタのポートで受信した場合に、フロントパネルのパスコードを含む情報を返信するというものです。

(S00) 日立製品

日立ディスクアレイシステム SVP (2019/08/20)

日立ディスクアレイシステムには、マイクロソフト 2019年 7月の月例セキュリティアップデートで解決した脆弱性の影響はありません。

(S01) シスコ製品

UCS Director、UCS Director Express (2019/08/21)

Cisco UCS シリーズサーバを管理する Integrated Management Controller Supervisor、Cisco SDN 統合インフラストラクチャ管理ツールである UCS Director、Cisco UCS Director Express には、不正アクセスを許してしまう複数の脆弱性 (CVE-2019-1937、CVE-2019-1974、CVE-2019-1935、CVE-2019-1938) が存在します。報告されている脆弱性は、不正な要求を受信した際に認証機構の迂回を許してしまう問題 (CWE-287)、文書化されていない資格情報である SCP ユーザアカウント (scpuser) がハードコーディングされている問題 (CWE-798) です。

(S04) DNS [BIND/NSD/Unbound/PowerDNS]

NSD 4.2.2 リリース (2019/08/19)

DNS コンテンツサーバ (権威 DNS サーバ) の一つである NSD (Name Server Daemon) のバージョン 4.2.2 では、dname_concatenate 関数に存在するスタックオーバーフロー (CWE-121) の脆弱性 (CVE-2019-13207) を解決しています。

(S11) Samba

Samba 4.10.7 リリース (2019/08/22)

Samba 4.10.7 では、ctdb、netcmd、samba-tool 関連モジュールなどに存在する計 17 件の不具合を修正しています。リリース時点で、セキュリティアップデートの報告はありません。

(S13) Tomcat

Tomcat 8.5.45 リリース (2019/08/21)

Tomcat 8.5.45 は、不具合の修正や改善を目的としたリリースです。このリリースでは、HTTP/2 向けのオーバーヘッド保護機構の拡張、Windows インストーラのセキュリティ改善、500 番の応答ではなく 400 番の応答を返送するよう、無効な HTTP 要求に対する応答処理の改善などを施しています。リリース時点で、セキュリティアップデートの報告はありません。8.5.44 はリリースされていません。

Tomcat 9.0.24 リリース (2019/08/17)

Tomcat 9.0.24 は、不具合の修正や改善を目的としたリリースです。このリリースでは、JIT コンパイラ Graal ネイティブイメージサポートの拡張、HTTP/2 向けのオーバーヘッド保護機構の拡張、Windows インストーラのセキュリティ改善などを施しています。リリース時点で、セキュリティアップデートの報告はありません。9.0.23 はリリースされていません。

(S18) Struts

S2-057 の影響範囲の訂正 (2019/08/12)

2018年 8月に報告された S2-057、不正な HTTP 要求を受信した場合に、任意のコード実行を許してしまう脆弱性 (CVE-2018-11776) の影響範囲が、S2-057 の Struts 2.0.4 〜 2.3.34、Struts 2.5.0 〜 2.5.16 から、S2-058 では Struts 2.0.0 〜 2.5.12 に訂正されました。


担当:寺田、大西/HIRT