ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.10.14>

更新日:<2019.10.14>

(C01) Mozilla

Thunderbird 68.1.2 リリース (2019/10/10)

Thunderbird 68.1.2 では、表示上の見栄え、Outlook 2016 の添付ファイル処理、アドレス帳インポート、本文検索、カレンダーでの不具合を修正しています。セキュリティアップデートは含まれていません。

Firefox 69.0.3 リリース (2019/10/10)

Firefox 69.0.3 では、Windows 10 ペアレント制御機能、Yahoo メールでファイルをダウンロードする際の不具合を修正しています。セキュリティアップデートは含まれていません。

(C08) アップル製品

Ubuntu 14.04 版 Swift 5.1.1 リリース (2019/10/11)

Apple Watch 向けのアプリケーション開発言語である Ubuntu 版 Swift 5.1.1 では、情報漏洩を許してしまう脆弱性 (CVE-2019-8790) を解決しています。

Windows 版 iTunes 12.10.1 リリース (2019/10/07)

Windows 版 iTunes 12.10.1 では、UIFoundation、WebKit コンポーネントに存在するクロスサイトスクリプティング問題 (CWE-79)(CVE-2019-8625、CVE-2019-8719)、バッファオーバーフロー、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-8707、CVE-2019-8720、CVE-2019-8726、CVE-2019-8733、CVE-2019-8735、CVE-2019-8745、CVE-2019-8763) を解決しています。

Windows 版 iCloud 7.14 リリース (2019/10/07)

Windows 版 iCloud 7.14 では、UIFoundation、WebKit コンポーネントに存在するクロスサイトスクリプティング問題 (CWE-79)(CVE-2019-8625、CVE-2019-8719)、バッファオーバーフロー、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-8707、CVE-2019-8726、CVE-2019-8733、CVE-2019-8735、CVE-2019-8745、CVE-2019-8763) を解決しています。

Windows 版 iCloud 10.7 リリース (2019/10/07)

Windows 版 iCloud 10.7 では、UIFoundation、WebKit コンポーネントに存在するクロスサイトスクリプティング問題 (CWE-79)(CVE-2019-8625、CVE-2019-8719)、バッファオーバーフロー、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-8707、CVE-2019-8726、CVE-2019-8733、CVE-2019-8735、CVE-2019-8745、CVE-2019-8763) を解決しています。

Safari 13.0.2 リリース (2019/10/07)

Safari 13.0.2 は不具合の修正や改善を目的としたリリースです。リリース時点で、CVE 番号が割り当てられたセキュリティアップデートの報告はありません。

macOS Catalina 10.15 (2019/10/07)

macOS Catalina 10.15 では、AMD、apache_mod_php、boringssl、CoreAudio、Crash Reporter、Finder、Gatekeeper、Intel Graphics Driver、IO Graphics、カーネル、Notes、PDFKit、Safari Data Importing、SharedFileList、Simple certificate enrollment protocol (SCEP)、sips、テレフォニィ、UIFoundation、WebKit コンポーネントに存在する複数の脆弱性 (CVE-2019-11041、CVE-2019-11042、CVE-2019-8701、CVE-2019-8705、CVE-2019-8717、CVE-2019-8730、CVE-2019-8745、CVE-2019-8748、CVE-2019-8755、CVE-2019-8757、CVE-2019-8758、CVE-2019-8768 〜 CVE-2019-8770、CVE-2019-8772、CVE-2019-8781、) を解決しています。

対象となった脆弱性は、情報漏洩やメモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題などです。

(C10) Google Chrome

Google Chrome 77.0.3865.120 リリース (2019/10/10)

Chrome 77.0.3865.120 では、メモリの解放後使用 (use-after-free: CWE-416)、情報漏洩など、計 8 件の脆弱性 (CVE-2019-13693 〜 CVE-2019-13697 他) を解決しています。

(C11) マイクロソフト製品

マイクロソフト 2019年10月のセキュリティ更新プログラム (2019/10/08)

2019年10月のセキュリティ更新プログラムでは 61 件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行 15 件、サービス不能 6 件、アクセス権限の昇格 19 件、なりすまし 6 件、情報漏洩 11 件、セキュリティ機構の迂回 3 件です。

(I02) 制御システム製品

Siemens の PROFINET 実装製品 (2019/10/10)

重要製造業分野で利用されている独 Siemens (siemens.com) の PROFINET を実装している製品には、適切でないリソース消費制限 (CWE-400) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-10936) が存在します。影響を受ける製品は、Development/Evaluation Kits for PROFINET、SIMATIC CFU PA、SIMATIC ET、SIMATIC PN/PN Coupler、SIMATIC S7、SIMATIC WinAC RTX、SINAMICS DCM、SINAMICS DCP、SINUMERIK などです。不正な UDP パケットを受信した際に、影響を受ける可能性があります。

Siemens の産業用リアルタイム (IRT) 機器 (2019/10/10)

化学、商業施設、重要製造業、エネルギー、農業・食料、公共衛生・ヘルスケア分野で利用されている独 Siemens (siemens.com) の産業用リアルタイム (IRT) 機器には、適切でない入力確認 (CWE-20) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-10923) が存在します。影響を受ける製品は、CP1604/CP1616、SCALANCE X-200IRT、SIMATIC ET、SIMATIC PN/PN Coupler、SIMATIC S7、SIMATIC WinAC RTX、SIMOTION、SINAMICS DCM、SINAMICS DCP、SINUMERIK などです。不正なパケットを受信した際に、影響を受ける可能性があります。

Siemens の SIMATIC IT UADM (2019/10/08)

重要製造業分野で利用されている独 Siemens (siemens.com) の製造現場の管理、エンジニアリング部門との連携機能を持つ MES(Manufacturing Execution System) 製品である SIMATIC IT UADM には、暗号化に使用する鍵がハードコーディングされている問題 (CWE-321) に起因してポート番号 1434/TCP の通信からのパスワードの入手ならびに、不正アクセスを許してしまう脆弱性 (CVE-2019-13929) が存在します。

Siemens の SIMATIC WinAC RTX (F)(2019/10/08)

重要製造業分野で利用されている独 Siemens (siemens.com) のソフトウェア PLC である SIMATIC WinAC RTX (F) には、適切でないリソース消費制限 (CWE-400) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-13921) が存在します。大きなサイズの HTTP 要求パケットを受信した際に、影響を受ける可能性があります。

GE の Mark VIe Controller (2019/10/08)

エネルギー分野で利用されている米 GE (ge.com) の分散制御システム Mark VIe のコントローラには、適切でない認可 (CWE-285)、資格情報がハードコーディングされている問題 (CWE-798) に起因して不正アクセスならびに、管理者操作などを許してしまう脆弱性 (CVE-2019-13554、CVE-2019-13559) が存在します。

SMA Solar Technology AG の Sunny WebBox (2019/10/08)

エネルギー分野で利用されている独 SMA Solar Technology AG (sma.de) の中規模太陽光発電システムの遠隔監視製品である Sunny WebBox には、クロスサイトリクエストフォージェリ問題 (CWE-352) に起因して不正アクセスを許してしまう脆弱性 (CVE-2019-13529) が存在します。

(S00) 日立製品

Hitachi Global Link Manager (2019/10/10)

Hitachi Global Link Manager には、サービス不能攻撃を許してしまう脆弱性、クロスサイトスクリプティング問題 (CWE-79) が存在します。

JP1、Hitachi IT Operations Director (2019/10/10)

JP1、Hitachi IT Operations Director には、OpenSSL 1.1.0h、1.0.2o で解決した再帰的に構成された ASN.1 データ処理に存在するサービス不能攻撃を許してしまう脆弱性 (CVE-2018-0739)、Apache httpd 2.4.33 で解決したサービス不能攻撃を許してしまう脆弱性 (CVE-2018-1301) が存在します。

Cosminexus HTTP Server、Hitachi Web Server (2019/10/10)

Cosminexus HTTP Server、Hitachi Web Server には、Apache httpd 2.4.41 で解決した脆弱性 (CVE-2019-10092) が存在します。この脆弱性は、mod_proxy のエラーページに存在するクロスサイトスクリプティング問題 (CWE-79) です。

日立ディスクアレイシステム SVP (2019/10/09)

日立ディスクアレイシステムは、マイクロソフト 2019年 9月の月例セキュリティアップデートで解決した脆弱性の影響はありません。

(S07) OpenSSH

OpenSSH 8.1、8.1p1 リリース (2019/10/09)

OpenSSH 8.1、8.1p1 は、不具合の修正や改善を目的としたリリースです。このリリースでは、XMSS(eXtended Merkle Signature Scheme) タイプの秘密鍵処理に存在する整数オーバフローの解決、メモリ上に存在する秘密鍵への Spectre、Meltdown や Rambleed のようなサイドチャネル攻撃に対する保護機構の追加などが施されています。また、CA の RSA 鍵で署名する場合、デフォルトの署名アルゴリズムが rsa-sha2-512 となるなど、互換性のない変更も加えられています。

(S13) Tomcat

Tomcat 9.0.27、8.5.47 リリース (2019/10/11)

Tomcat 9.0.27、8.5.47 は、不具合の修正や改善を目的としたリリースです。これらのリリースでは、Windows 環境下で発生する起動時クラッシュを解決するために Apache Commons Daemon を 1.2.2 にアップデート、NIO2 と TLS との組み合わせで発生する不具合の修正などをしています。また、9.0.27 では、9.0.23 で実施した HTTP/2 タイムアウト処理の見直しで作りこまれたメモリリークを修正しています。リリース時点で、セキュリティアップデートの報告はありません。

(S23) SAP 製品

SAP Security Patch Day - October 2019 (2019/10/08)

10 件のセキュリティノートがリリースされています。該当する製品は、SAP NetWeaver Process Integration、SAP Landscape Management、SAP IQ、SAP SQL Anywhere、SAP Dynamic Tiering、SAP Customer Relationship Management、SAP BusinessObjects Business Intelligence Platform、SAP Financial Consolidation です。報告されている脆弱は、適切でない認証 (CWE-287)(CVE-2019-0379)、情報漏洩 (CVE-2019-0380)、クロスサイトスクリプティング問題 (CWE-79)(CVE-2019-0368、CVE-2019-0374)、認可の欠落 (CWE-862)(CVE-2019-0367) などです。


担当:寺田、大西/HIRT