ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.10.28>

更新日:<2019.10.28>

(C01) Mozilla

Thunderbird 68.2 リリース (2019/10/22)

Thunderbird 68.2 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、情報漏洩、セキュリティ機構の迂回を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 9 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。

Firefox 70.0、ESR 68.2 リリース (2019/10/22)

Firefox 70.0 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、情報漏洩、セキュリティ機構の迂回を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 13 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。また、ESR として脆弱性を解決したバージョン ESR 68.2 をリリースしました。

(C10) Google Chrome

Google Chrome 78.0.3904.70 リリース (2019/10/22)

バージョン 78 がリリースされました。Chrome 78.0.3904.70 では、メモリの解放後使用 (use-after-free: CWE-416)、バッファオーバーフロー (CWE-120)、セキュリティ機構の迂回、アドレスバーの詐称を許してしまう問題など、計 37 件の脆弱性 (CVE-2019-13699 〜 CVE-2019-13711、CVE-2019-13713 〜 CVE-2019-13719、CVE-2019-15903) を解決しています。

(I02) 制御システム製品

Honeywell の IP-AK2 (2019/10/24)

商業施設、重要製造業、エネルギー、公共衛生・ヘルスケア分野で利用されている米 Honeywell (honeywell.com) の入退室管理システム IP-AK2 に同梱されている Web サーバには、重要な機能に対する認証の欠如 (CWE-306) に起因して認証操作なしでリモートからの Web 設定データへのアクセスなどを許してしまう脆弱性 (CVE-2019-13525) が存在します。

Rittal の Chiller SK 3232 シリーズ (2019/10/24)

商業施設、通信、重要製造業、エネルギー、情報技術分野で利用されている独 Rittal (rittal.com) の冷却器 Chiller SK 3232 シリーズ には、重要な機能に対する認証の欠如 (CWE-306)、資格情報がハードコーディングされている問題 (CWE-798) に起因して不正アクセスを許してしまう脆弱性 (CVE-2019-13549、CVE-2019-13553) が存在します。

Schneider Electric の ProClima (2019/10/22)

商業施設、重要製造業、エネルギー分野で利用されている仏 Schneider Electric (schneider-electric.com) の熱計算用ソフトウェア ProClima には、メモリバッファ境界での適切でない操作制限 (CWE-119)、制御されていない検索パス問題 (CWE-427)、コードインジェクション問題 (CWE-94) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-6823、CVE-2019-6824、CVE-2019-6825) が存在します。

Horner Automation の Cscape (2019/10/23)

重要製造業分野で利用されている米 Horner Automation(heapg.com) の DCS SDK プログラミングソフトウェア Cscape には、適切でない入力確認 (CWE-20)、領域外メモリへの書き出し (out-of-bounds write: CWE-787) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-13541、CVE-2019-13545) が存在します。

(S09) PHP

PHP 7.3.11、7.2.24、7.1.33 リリース (2019/10/24)

PHP 7.3.11、7.2.24、7.1.33 では、FPM (FastCGI Process Manager) コンポーネントに存在する任意のコード実行を許してしまうアンダーフローの脆弱性 (CVE-2019-11043) を解決しています。また、7.3.11 では、Core、Exif、FPM、MBString、MySQLi、Mysqlnd、PCRE、PDO_MySQL、Session、Standard、Zip コンポーネントに存在する計 17 件の不具合、7.2.24 では、Core、Exif、FPM、MBString、MySQLi、PDO_MySQL、Session、Standard、Zip コンポーネントに存在する計 13 件の不具合を修正しています。不具合の中にはヒープオーバーフロー (CWE-122) が含まれています。

(S11) Samba

Samba 4.9.14 リリース (2019/10/22)

Samba 4.9.14 では、ctdb 関連、s3-ldap、s4-scripting モジュールなどに存在する計 16 件の不具合を修正しています。リリース時点で、セキュリティアップデートの報告はありません。

(S16) VMware 製品

VMware セキュリティアップデート:VMSA-2019-0019 (2019/10/24)

VMware ESXi、Workstation、Fusion のシェーダ機能には、サービス不能攻撃を許してしまう脆弱性 (CVE-2019-5536) が存在します。

VMware セキュリティアップデート:VMSA-2019-0018 (2019/10/24)

VMware vCenter Server Appliance のファイルバックアップとリストア機能には、FTPS、HTTPS を介して情報漏洩を許してしまう脆弱性 (CVE-2019-5537)、SCP を介して情報漏洩を許してしまう脆弱性 (CVE-2019-5538) が存在します。

(S20) Red Hat

Red Hat (2019/10/28)

Red Hat 製品でサポートされている Firefox のセキュリティアップデート (RHSA-2019:3193、RHSA-2019:3196)(深刻度:緊急) がリリースされました。このアップデートでは、Firefox 68.2 ESR で解決した脆弱性に対応しています。


担当:寺田、大西/HIRT