ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.09.30>

更新日:<2019.09.30>

(C01) Mozilla

Thunderbird 68.1.1 リリース (2019/09/25)

Thunderbird 68.1.1 では、不正な S/MIME メッセージを介したメッセージアンカーのなりすましを許してしまう脆弱性 (CVE-2019-11755) を解決しています。

(C08) アップル製品

iOS 13.1.1、iPadOS 13.1.1 リリース (2019/09/27)

iOS 13.1.1、iPadOS 13.1.1 では、Sandbox コンポーネントに存在する Sandbox 上の機能制限の迂回を許してしまう脆弱性 (CVE-2019-8779) を解決しています。

macOS Mojave 10.14.6 追加アップデート 2 (2019/09/26)

macOS Mojave 10.14.6 追加アップデート 2、セキュリティアップデート 2019-005 High Sierra、セキュリティアップデート 2019-005 Sierra では、Foundation コンポーネントに存在する領域外のメモリ参照 (out-of-bounds read: CWE-125) に起因して任意のコード実行やサービス不能攻撃を許してしまう脆弱性 (CVE-2019-8641) を解決しています。

watchOS 5.3.2 リリース (2019/09/26)

watchOS 5.3.2 では、Foundation コンポーネントに存在する領域外のメモリ参照 (out-of-bounds read: CWE-125) に起因して任意のコード実行やサービス不能攻撃を許してしまう脆弱性 (CVE-2019-8641) を解決しています。

iOS 12.4.2 リリース (2019/09/26)

iOS 12.4.2 では、Foundation コンポーネントに存在する領域外のメモリ参照 (out-of-bounds read: CWE-125) に起因して任意のコード実行やサービス不能攻撃を許してしまう脆弱性 (CVE-2019-8641) を解決しています。

iOS 13.1、iPadOS 13.1 リリース (2019/09/24)

iOS 13.1、iPadOS 13.1 では、VoiceOver コンポーネントに存在する情報漏洩を許してしまう脆弱性 (CVE-2019-8775) を解決しています。

Safari 13.0.1 リリース (2019/09/24)

Safari 13.0.1 では、Safari、Service Workers コンポーネントに存在する計 2 件の脆弱性 (CVE-2019-8654、CVE-2019-8725) を解決しています。対象となった脆弱性は、なりすまし、情報漏洩を許してしまう問題です。

Apple TV ソフトウェア 7.4 リリース (2019/09/24)

Apple TV ソフトウェア 7.4 は不具合の修正や改善を目的としたリリースです。リリース時点で、CVE 番号が割り当てられたセキュリティアップデートの報告はありません。

tvOS 13 リリース (2019/09/24)

tvOS 13 では、キーボードコンポーネントに存在する情報漏洩を許してしまう脆弱性 (CVE-2019-8704) を解決しています。

(S09) PHP

PHP 7.3.10、7.2.23 リリース (2019/09/26)

PHP 7.3.10、7.2.23 は、不具合の修正や改善を目的としたリリースです。7.3.10 では、Core、FastCGI、FPM、MBString、ODBC、PDO_MySQL、sodium コンポーネントに存在する計 10 件の不具合、7.2.23 では、Core、FastCGI、ODBC、PDO_MySQL、sodium、SPL コンポーネントに存在する計 7 件の不具合を修正しています。不具合の中にはヒープオーバーフロー (CWE-122) が含まれています。

(S16) VMware 製品

VMware セキュリティアップデート:VMSA-2019-0015 (2019/09/24)

Cloud Native Computing Foundation のコンテナレジストリとして登録されている Harbor の POST API には、アクセス権限の昇格を許してしまう脆弱性 (CVE-2019-16097) が存在します。VMware Cloud Foundation、VMware Harbor Container Registry for PCF が、この脆弱性の影響を受けます。

(S21) Web アプリケーションならびに CMS

Joomla! 3.9.12 リリース (2019/09/24)

Joomla! 3.9.12 では、デフォルトテンプレートのロゴパラメタで発生するクロスサイトスクリプティング問題 (CWE-79)(CVE-2019-16725) を解決しています。Joomla 3.0.0 〜 3.9.11 が影響を受けます。

ColdFusion 2018 Update 5 リリース (2019/09/24)

ColdFusion 2018 Update 5 では、セキュリティ機構の迂回、コマンドインジェクション問題 (CWE-77)、ディレクトリトラバーサル問題 (CWE-22) に起因して情報漏洩、任意のコード実行、アクセス制御機構の迂回を許してしまう脆弱性 (CVE-2019-8072、CVE-2019-8073、CVE-2019-8074) を解決しています。また、これら脆弱性を解決する ColdFusion 2016 Update 12 がリリースされました。


担当:寺田、大西/HIRT