更新日:<2019.09.09>
Firefox 69.0 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、情報漏洩、セキュリティ機構の迂回を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 21 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。また、ESR として脆弱性を解決したバージョン ESR 68.1、ESR 60.9 をリリースしました。
重要製造業分野で利用されている米 Red Lion Controls (redlion.net) の HMI 用プログラミングソフトウェア Crimson には、メモリの解放後使用 (use-after-free: CWE-416)、メモリバッファ境界での適切でない操作制限 (CWE-119)、ポインタ問題 (CWE-465) に起因してサービス不能攻撃や任意のコード実行を許してしまう脆弱性 (CVE-2019-10978、CVE-2019-10984、CVE-2019-10996) が存在します。不正な入力ファイルを処理した際に、脆弱性を悪用される可能性があります。また、ファイルを暗号化する際に使用する鍵がハードコーディングされている問題 (CWE-321) に起因して設定ファイルへのアクセスなどを許してしまう脆弱性 (CVE-2019-10990) が存在します。
多分野で利用されている米 EZAutomation (ezautomation.net) の EZ PLC Editor には、メモリバッファ境界での適切でない操作制限 (CWE-119) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-13522) が存在します。不正なプロジェクトファイルを処理した際に、脆弱性を悪用される可能性があります。EZ PLC Editor は、EZPLC のプログラミングソフトウェアです。
多分野で利用されている米 EZAutomation (ezautomation.net) の EZ Touch Editor には、スタックオーバーフロー (CWE-121) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-13518) が存在します。不正なプロジェクトファイルを処理した際に、脆弱性を悪用される可能性があります。EZ Touch Editor は、EZTouch、EZTouch I/O、EZSoftHMI 製品のプログラミングソフトウェアです。
Hitachi Command Suite 製品および Hitachi Infrastructure Analytics Advisor には、サービス不能攻撃、情報漏洩を許してしまう脆弱性が存在します。
Samba 4.10.8、4.9.13 では、共有されたルートディレクトリに関して、キャッシュも含めて、アクセス制御機構が適切に機能しない脆弱性 (CVE-2019-10197) を解決しています。
WordPress 5.2.3 は、クロスサイトスクリプティング問題 (CWE-79)、オープンリダイレクト問題 (CWE-601)、WordPress の古いバージョンの jQuery アップデートなどのセキュリティ問題の解決、不具合の修正や改善を目的としたリリースで、計 29 件に対応しています。
Drupal 8.7.7 は、不具合の修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。
担当:寺田、大西/HIRT
