ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.11.04>

更新日:<2019.11.04>

(C01) Mozilla

Thunderbird 68.2.1 リリース (2019/10/31)

Thunderbird 68.2.1 では、ユーザインタフェースの言語選択の改善、Google 認証に関する OAuth2、メッセージ表示、アドレス帳、チャットでの不具合を修正しています。セキュリティアップデートは含まれていません。

Firefox 70.0.1 リリース (2019/10/31)

Firefox 70.0.1 では、JavaScript を用いたページ表示の不具合の修正、MacOS 10.15 ユーザ向けの OpenH264 ビデオプラグインのアップデートをしています。セキュリティアップデートは含まれていません。

(C08) アップル製品

Xcode 11.2 リリース (2019/10/31)

Xcode 11.2 では、llvm コンポーネントに存在するメモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-8800、CVE-2019-8806) を解決しています。

Windows 版 iTunes 12.10.2 リリース (2019/10/30)

Windows 版 iTunes 12.10.2 では、CFNetwork、グラフィックドライバ、iTunes、WebKit、WebKit Process Model コンポーネントに存在する計 16 件の脆弱性 (CVE-2019-8782 〜 CVE-2019-8784、CVE-2019-8801、CVE-2019-8808、CVE-2019-8811 〜 CVE-2019-8816、CVE-2019-8819 〜 CVE-2019-8823) を解決しています。対象となった脆弱性は、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題などです。

Windows 版 iCloud 11.0 リリース (2019/10/30)

Windows 版 iCloud 11.0 では、CFNetwork、グラフィックドライバ、libxslt、WebKit、WebKit Process Model コンポーネントに存在する計 16 件の脆弱性 (CVE-2019-8710、CVE-2019-8750、CVE-2019-8766、CVE-2019-8782、CVE-2019-8783、CVE-2019-8784、CVE-2019-8811、CVE-2019-8813 〜 CVE-2019-8816、CVE-2019-8819 〜 CVE-2019-8823) を解決しています。対象となった脆弱性は、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題などです。

Windows 版 iCloud 7.15 リリース (2019/10/30)

Windows 版 iCloud 7.15 では、CFNetwork、グラフィックドライバ、WebKit、WebKit Process Model コンポーネントに存在する計 11 件の脆弱性 (CVE-2019-8783、CVE-2019-8784、CVE-2019-8811、CVE-2019-8814 〜 CVE-2019-8816、CVE-2019-8819 〜 CVE-2019-8823) を解決しています。対象となった脆弱性は、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題などです。

macOS Catalina 10.15.1 (2019/10/29)

macOS Catalina 10.15.1 では、アカウント、アプリケーションストア、AppleGraphicsControl、Associated Domains、オーディオ、Books、CFNetwork、連絡先、CUPS、File Quarantine、File System Events、Graphics、グラフィックドライバ、Intel Graphics Driver、IOGraphics、iTunes、カーネル、libresolv、libxml2、libxslt、manpages、PluginKit、Postfix、python、System Extensions、UIFoundation、VPN コンポーネントに存在する計 33 件の脆弱性 (CVE-2017-7152、CVE-2018-12152 〜 CVE-2018-12154、CVE-2019-8509、CVE-2019-8706、CVE-2019-8708、CVE-2019-8715、CVE-2019-8716、CVE-2019-8736、CVE-2019-8737、CVE-2019-8744、CVE-2019-8749、CVE-2019-8750、CVE-2019-8756、CVE-2019-8759、CVE-2019-8761、CVE-2019-8767、CVE-2019-8784 〜 CVE-2019-8789、CVE-2019-8794、CVE-2019-8797、CVE-2019-8798、CVE-2019-8801 〜 CVE-2019-8803、CVE-2019-8805、CVE-2019-8807、CVE-2019-8817) を解決しています。対象となった脆弱性は、なりすまし、アクセス権限昇格、サービス不能攻撃、情報漏洩やメモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題などです。

watchOS 5.3.3 リリース (2019/10/29)

watchOS 5.3.3 に関するセキュリティアップデートが公開されました。リリース時点で、詳細な報告はありません。

watchOS 6.1 リリース (2019/10/29)

watchOS 6.1 では、アカウント、アプリケーションストア、AppleFirmwareUpdateKext、オーディオ、boringssl、CFNetwork、連絡先、File System Events、カーネル、libxslt、Safari、VoiceOver、WebKit コンポーネントに存在する計 20 件の脆弱性 (CVE-2017-7152、CVE-2019-8743、CVE-2019-8747、CVE-2019-8750、CVE-2019-8764 〜 CVE-2019-8766、CVE-2019-8775、CVE-2019-8785 〜 CVE-2019-8787、CVE-2019-8794、CVE-2019-8797、CVE-2019-8798、CVE-2019-8803、CVE-2019-8808、CVE-2019-8811、CVE-2019-8812、CVE-2019-8816、CVE-2019-8820) を解決しています。対象となった脆弱性は、なりすまし、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題などです。

Safari 13.0.3 リリース (2019/10/28)

Safari 13.0.3 では、WebKit、WebKit Process Model コンポーネントに存在する計 14 件の脆弱性 (CVE-2019-8782、CVE-2019-8783、CVE-2019-8808、CVE-2019-8811 〜 CVE-2019-8816、CVE-2019-8819 〜 CVE-2019-8823) を解決しています。対象となった脆弱性は、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題などです。

iOS 13.2、iPadOS 13.2 リリース (2019/10/28)

iOS 13.2、iPadOS 13.2 では、アカウント、アプリケーションストア、Associated Domains、オーディオ、AVEVideoEncoder、Books、CFNetwork、連絡先、File System Events、グラフィックドライバ、カーネル、Screen Recording、Setup Assistant、WebKit、WebKit Process Model コンポーネントに存在する計 28 件の脆弱性 (CVE-2017-7152、CVE-2019-8782 〜 CVE-2019-8789、CVE-2019-8793 〜 CVE-2019-8795、CVE-2019-8797、CVE-2019-8798、CVE-2019-8803、CVE-2019-8804、CVE-2019-8808、CVE-2019-8811 〜 CVE-2019-8816、CVE-2019-8819 〜 CVE-2019-8823) を解決しています。対象となった脆弱性は、情報漏洩やメモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題などです。

iOS 12.4.3 リリース (2019/10/28)

iOS 12.4.3 に関するセキュリティアップデートが公開されました。リリース時点で、詳細な報告はありません。

tvOS 13.2 リリース (2019/10/28)

tvOS 13.2 では、アカウント、アプリケーションストア、オーディオ、AVEVideoEncoder、CFNetwork、File System Events、カーネル、WebKit、WebKit Process Model コンポーネントに存在するメモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう計 22 件の脆弱性 (CCVE-2019-8782、CVE-2019-8783、CVE-2019-8785 〜 CVE-2019-8787、CVE-2019-8794、CVE-2019-8795、CVE-2019-8797、CVE-2019-8798、CVE-2019-8803、CVE-2019-8808、CVE-2019-8811 〜 CVE-2019-8816、CVE-2019-8819、CVE-2019-8820 〜 CVE-2019-8823) を解決しています。

(C10) Google Chrome

Google Chrome 78.0.3904.87 リリース (2019/10/31)

Chrome 78.0.3904.87 では、PDFium、オーディオ処理に存在するメモリの解放後使用 (use-after-free: CWE-416) の脆弱性 (CVE-2019-13720、CVE-2019-13721) を解決しています。

(I02) 制御システム製品

Honeywell の equIP カメラ、Performance IP カメラ、レコーダ (2019/10/31)

商業施設、重要製造業、エネルギー、公共衛生・ヘルスケア分野で利用されている米 Honeywell (honeywell.com) の業務用映像監視製品である equIP カメラ、Performance IP カメラ、レコーダには複数の脆弱性が存在します。報告されている脆弱性は、キャプチャリプレイ攻撃による認証機構の迂回 (CWE-294)、重要な機能に対する認証の欠如 (CWE-306) に起因して不正アクセスを許してしまう脆弱性 (CVE-2019-18226、CVE-2019-18230)、適切でない入力確認 (CWE-20) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-18228) です。

Advantech の WISE-PaaS/RMM (2019/10/31)

重要製造業、エネルギー、上下水道分野で利用されている台湾 Advantech (advantech.com) の IoT デバイス遠隔モニタと管理プラットフォームである WISE-PaaS/RMM には、ディレクトリトラバーサル問題 (CWE-22)、外部に置かれたファイルを呼び出す XXE (Xml eXternal Entity) 問題 (CWE-611)、認可の欠落 (CWE-862)、SQL インジェクション問題 (CWE-89) に起因して情報漏洩、任意のコード実行やサービス不能攻撃などを許してしまう脆弱性 (CVE-2019-13547、CVE-2019-13551、CVE-2019-18227、CVE-2019-18229) が存在します。

Phoenix Contact Software の Automation Worx Software Suite (2019/10/31)

通信、重要製造業、情報技術分野で利用されている独 Phoenix Contact Software (phoenixcontact.com) の Automation Worx Software Suite には、適切でない入力確認 (CWE-20) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-16675) が存在します。Automation Worx Software Suite は、PC Worx プログラミングソフトウェアなどを含む Automationworx オートメーションシステム用のパッケージです。

(S00) 日立製品

Hitachi Command Suite 製品、Hitachi Infrastructure Analytics Advisor (2019/11/01)

Hitachi Command Suite 製品、Hitachi Automation Director、Hitachi Configuration Manager、Hitachi Infrastructure Analytics Advisor、Hitachi Ops Center 製品には、複数の脆弱性 (CVE-2019-2894、CVE-2019-2933、CVE-2019-2945、CVE-2019-2949、CVE-2019-2958、CVE-2019-2962、CVE-2019-2964、CVE-2019-2973、CVE-2019-2975、CVE-2019-2977、CVE-2019-2978、CVE-2019-2981、CVE-2019-2983、CVE-2019-2987 〜 CVE-2019-2989、CVE-2019-2992、CVE-2019-2999) が存在します。脆弱性は、Java SE 8 Update 231 で解決した 2D、Concurrency、JAXP、Javadoc、Kerberos、ライブラリ、ネットワーク、スクリプティング、セキュリティ、Serialization に存在する問題です。

Cosminexus 製品 (2019/11/01)

Cosminexus Developer's Kit for Java、Hitachi Developer's Kit for Java を構成部品として使用している Cosminexus 製品には、複数の脆弱性 (CVE-2019-2894、CVE-2019-2933、CVE-2019-2945、CVE-2019-2949、CVE-2019-2958、CVE-2019-2962、CVE-2019-2964、CVE-2019-2973、CVE-2019-2975、CVE-2019-2977、CVE-2019-2978、CVE-2019-2981、CVE-2019-2983、CVE-2019-2987 〜 CVE-2019-2989、CVE-2019-2992、CVE-2019-2999) が存在します。脆弱性は、Java SE 8 Update 231 で解決した 2D、Concurrency、JAXP、Javadoc、Kerberos、ライブラリ、ネットワーク、スクリプティング、セキュリティ、Serialization に存在する問題です。

(S11) Samba

Samba 4.11.2、4.10.10、4.9.15 リリース (2019/10/29)

Samba 4.11.2、4.10.10、4.9.15 では、Samba クライアントがパス名のセパレータを含むファイルをチェックなしに呼び出してしまう脆弱性 (CVE-2019-10218)、Samba AD DC のパスワードチェックスクリプトがマルチバイトのパスワード文字列を適切に処理していない問題 (CVE-2019-14833)、get change 権限を持つユーザの場合、dirsync 経由で AD DC LDAP サーバに対してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-14847) を解決しています。

(S20) Red Hat

Red Hat (2019/11/04)

Red Hat 製品でサポートされている Chrome ブラウザ、Firefox、PHP のセキュリティアップデート (RHSA-2019:3211、(RHSA-2019:3281、RHSA-2019:3286、RHSA-2019:3287、RHSA-2019:3300、RHSA-2019:3299)(深刻度:緊急) がリリースされました。これらのアップデートでは、Google Chrome 77.0.3865.120、Firefox 68.2 ESR で解決した脆弱性、PHP 7.3.11、7.2.24、7.1.33 で解決した任意のコード実行を許してしまうアンダーフローの脆弱性 (CVE-2019-11043) に対応しています。また、PHP 7.2 系については、7.2.24 にアップデートすることで既知の脆弱性に対応しています。


担当:寺田、大西/HIRT