ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.09.09>

更新日:<2019.09.09>

(C01) Mozilla

Firefox 69.0、ESR 68.1、ESR 60.9 リリース (2019/09/03)

Firefox 69.0 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、情報漏洩、セキュリティ機構の迂回を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 21 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。また、ESR として脆弱性を解決したバージョン ESR 68.1、ESR 60.9 をリリースしました。

(I02) 制御システム製品

Red Lion Controls の Crimson (2019/09/05)

重要製造業分野で利用されている米 Red Lion Controls (redlion.net) の HMI 用プログラミングソフトウェア Crimson には、メモリの解放後使用 (use-after-free: CWE-416)、メモリバッファ境界での適切でない操作制限 (CWE-119)、ポインタ問題 (CWE-465) に起因してサービス不能攻撃や任意のコード実行を許してしまう脆弱性 (CVE-2019-10978、CVE-2019-10984、CVE-2019-10996) が存在します。不正な入力ファイルを処理した際に、脆弱性を悪用される可能性があります。また、ファイルを暗号化する際に使用する鍵がハードコーディングされている問題 (CWE-321) に起因して設定ファイルへのアクセスなどを許してしまう脆弱性 (CVE-2019-10990) が存在します。

EZAutomation の EZ PLC Editor (2019/09/03)

多分野で利用されている米 EZAutomation (ezautomation.net) の EZ PLC Editor には、メモリバッファ境界での適切でない操作制限 (CWE-119) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-13522) が存在します。不正なプロジェクトファイルを処理した際に、脆弱性を悪用される可能性があります。EZ PLC Editor は、EZPLC のプログラミングソフトウェアです。

EZAutomation の EZ Touch Editor (2019/09/03)

多分野で利用されている米 EZAutomation (ezautomation.net) の EZ Touch Editor には、スタックオーバーフロー (CWE-121) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-13518) が存在します。不正なプロジェクトファイルを処理した際に、脆弱性を悪用される可能性があります。EZ Touch Editor は、EZTouch、EZTouch I/O、EZSoftHMI 製品のプログラミングソフトウェアです。

(S00) 日立製品

Hitachi Command Suite 製品、Hitachi Infrastructure Analytics Advisor (2019/09/06)

Hitachi Command Suite 製品および Hitachi Infrastructure Analytics Advisor には、サービス不能攻撃、情報漏洩を許してしまう脆弱性が存在します。

(S11) Samba

Samba 4.10.8、4.9.13 リリース (2019/09/03)

Samba 4.10.8、4.9.13 では、共有されたルートディレクトリに関して、キャッシュも含めて、アクセス制御機構が適切に機能しない脆弱性 (CVE-2019-10197) を解決しています。

(S21) Web アプリケーションならびに CMS

WordPress 5.2.3 リリース (2019/09/05)

WordPress 5.2.3 は、クロスサイトスクリプティング問題 (CWE-79)、オープンリダイレクト問題 (CWE-601)、WordPress の古いバージョンの jQuery アップデートなどのセキュリティ問題の解決、不具合の修正や改善を目的としたリリースで、計 29 件に対応しています。

Drupal 8.7.7 リリース (2019/09/04)

Drupal 8.7.7 は、不具合の修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。


担当:寺田、大西/HIRT