ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.09.23>

更新日:<2019.09.23>

(C01) Mozilla

Firefox 69.0.1 リリース (2019/09/18)

Firefox 69.0.1 では、ユーザへの通知なしにマウスポインタの操作を許してしまう脆弱性 (CVE-2019-11754) を解決しています。

(C08) アップル製品

Xcode 11.0 リリース (2019/09/20)

Xcode 11.0 では、IDE SCM、ld64、otool コンポーネントに存在する計 7 件の脆弱性 (CVE-2019-3855、CVE-2019-8721、CVE-2019-8722、CVE-2019-8723、CVE-2019-8724、CVE-2019-8738、CVE-2019-8739) を解決しています。対象となった脆弱性は、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題などです。

watchOS 6 リリース (2019/09/19)

watchOS 6 では、Foundation コンポーネントに存在する領域外のメモリ参照 (out-of-bounds read: CWE-125) に起因して任意のコード実行やサービス不能攻撃を許してしまう脆弱性 (CVE-2019-8641) を解決しています。

Safari 13 リリース (2019/09/19)

Safari 13 では、WebKit ページ処理に存在するクロスサイトスクリプティング問題 (CWE-79)(CVE-2019-8674) を解決しています。

iOS 13 リリース (2019/09/19)

iOS 13 では、Bluetooth、Control Center、CoreAudio、Face ID、Foundation、Keyboard、Keyboards、メール、Messages、Profiles、Quick Look、Safari、SafariViewController、WebKit Page Loading コンポーネントに存在する計 9 件の脆弱性 (CVE-2019-8641、CVE-2019-8674、CVE-2019-8704、CVE-2019-8705、CVE-2019-8711、CVE-2019-8727、CVE-2019-8731、CVE-2019-8742、CVE-2019-8760) を解決しています。対象となった脆弱性は、なりすまし、サービス不能攻撃、情報漏洩、領域外のメモリ参照 (out-of-bounds read: CWE-125) に起因して任意のコード実行を許してしまう問題などです。

(C10) Google Chrome

Google Chrome 77.0.3865.90 リリース (2019/09/18)

Chrome 77.0.3865.90 では、4 件のメモリの解放後使用 (use-after-free: CWE-416) の脆弱性 (CVE-2019-13685 〜 CVE-2019-13688) を解決しています。

(I02) 制御システム製品

Tridium の Niagara (2019/09/19)

商業施設、重要製造業、政府施設、情報技術分野で利用されている米 Tridium (tridium.com) の ビルディングオートメーション統合のためのソフトウェア Niagara には、情報漏洩 (CWE-200)、適切でない認可 (CWE-285) に起因して重要なファイルへのアクセスなどを許してしまう脆弱性 (CVE-2019-13528、CVE-2019-8998) が存在します。

Honeywell の Performance IP カメラ、NVR (2019/09/17)

商業施設、重要製造業、エネルギー、公共衛生・ヘルスケア分野で利用されている米 Honeywell (honeywell.com) の業務用映像監視製品である Performance IP カメラ、NVR (Network Video Recorder) の Web インタフェースには、認証操作なしで設定データなどの情報漏洩を許してしまう脆弱性 (CVE-2019-13523) が存在します。

Siemens の SINEMA Remote Connect Server (2019/09/17)

農業・食料、化学、重要製造業、上下水道分野で利用されている独 Siemens (siemens.com) のリモートアクセス用の管理プラットフォームである SINEMA Remote Connect Server には、情報漏洩 (CWE-200)、ブルートフォース攻撃により認証機能の迂回を許してしまう問題 (CWE-307)、クロスサイトリクエストフォージェリ問題 (CWE-352)、強度を持ったパスワードハッシュで保護していない問題 (CWE-916) に起因して不正アクセスならびに、管理者操作などを許してしまう脆弱性 (CVE-2019-13918、CVE-2019-13920、CVE-2019-13922、CVE-2019-34623) が存在します。

Advantech の Webaccess (2019/09/17)

重要製造業、エネルギー、上下水道分野で利用されている台湾 Advantech (advantech.com) のリモート制御および管理機能を提供する Advantech Webaccess HMI/SCADA 製品には、スタックオーバーフロー (CWE-121)、適切でない認可 (CWE-285)、コマンドインジェクション問題 (CWE-77)、コードインジェクション問題 (CWE-94) に起因して任意のコード実行やサービス不能攻撃などを許してしまう脆弱性 (CVE-2019-13550、CVE-2019-13552、CVE-2019-13556、CVE-2019-13558) が存在します。

(S00) 日立製品

日立ディスクアレイシステム SVP (2019/09/17)

日立ディスクアレイシステムは、マイクロソフト 2019年 8月の月例セキュリティアップデートで解決した脆弱性のうち、リモート デスクトップ サービスのリモートでコードが実行される脆弱性 (CVE-2019-1181、CVE-2019-1182)、Microsoft Windows の特権の昇格の脆弱性 (CVE-2019-1198) の影響を受ける可能性があります。

(S04) DNS [BIND/NSD/Unbound/PowerDNS]

BIND 9.14.6、9.11.11 リリース (2019/09/18)

BIND 9.14.6、9.11.11 は不具合の修正や改善を目的としたリリースです。BIND 9.14.3、9.11.8 で解決した多数のパケットを破棄する際に引き起こされる競合状態に起因して named が異常終了してしまうしまう問題 (CVE-2019-6471) に対応しています。

(S13) Tomcat

Tomcat 9.0.26、8.5.46 リリース (2019/09/19)

Tomcat 9.0.26、8.5.46 は、不具合の修正や改善を目的としたリリースです。これらのリリースでは、Windows 環境下で発生する起動時のクラッシュを解決するために Apache Commons Daemon を 1.2.1 にアップデート、HTTP を用いて HTTPS ポートにアクセスした際に発生する NullPointerException の解決、HTTP/2 での非同期 Servlet API 処理で発生しうるハングアップなどを修正しています。リリース時点で、セキュリティアップデートの報告はありません。9.0.25 はリリースされていません。

(S16) VMware 製品

VMware セキュリティアップデート:VMSA-2019-0014 (2019/09/19)

VMware ESXi、Workstation、Fusion、VMRC、Horizon Client には、メモリの解放後使用 (use-after-free: CWE-416) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-5527)、VMware Workstation、Fusion には、サービス不能攻撃を許してしまう脆弱性 (CVE-2019-5535) が存在します。サービス不能攻撃については、IPv6 用の VMNAT が有効な場合に不正な IPv6 パケットをゲスト仮想環境から受信した場合に影響を受ける可能性があります。

VMware セキュリティアップデート:VMSA-2019-0013 (2019/09/16)

VMware ESXi 'busybox' にはコマンドインジェクションを許してしまう脆弱性 (CVE-2017-16544)、ESXi Host Client,、vCenter vSphere Client、vCenter vSphere Web Client、VMware vCenter Server には情報漏洩を許してしまう脆弱性 (CVE-2019-5531、CVE-2019-5532、CVE-2019-5534) が存在します。


担当:寺田、大西/HIRT