ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.11.11>

更新日:<2019.11.11>

(C01) Mozilla

Thunderbird 68.2.2 リリース (2019/11/07)

Thunderbird 68.2.2 では、プロファイル処理での不具合を修正しています。セキュリティアップデートは含まれていません。

(C08) アップル製品

iOS 13.2.2、iPadOS 13.2.2 リリース (2019/11/07)

iOS 13.2.2、iPadOS 13.2.2 は不具合の修正や改善を目的としたリリースです。リリース時点で、CVE 番号が割り当てられたセキュリティアップデートの報告はありません。

(C10) Google Chrome

Google Chrome 78.0.3904.97 リリース (2019/11/06)

Chrome 78.0.3904.97 では、4 件の脆弱性を解決しています。

(I02) 制御システム製品

富士電機の V-Server (2019/11/07)

重要製造業分野で利用されている富士電機 (fujielectric.com) の設備の監視や操作を可能とする遠隔監視ソフトウェア V-Server には、ヒープオーバーフロー (CWE-122) に起因して任意のコード実行やサービス不能攻撃を許してしまう脆弱性 (CVE-2019-18240) が存在します。

三菱電機の MELSEC-Q、MELSEC-L シリーズ CPU モジュール (2019/11/07)

重要製造業分野で利用されている三菱電機の MELSEC-Q、MELSEC-L シリーズ CPU モジュールには、適切でないリソース消費制限 (CWE-400) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-13555) が存在します。CPU モジュール上の FTP サーバへの接続が発生した場合に脆弱性の影響を受ける可能性があります。

オムロンの CX-Supervisor (2019/11/05)

エネルギー分野で利用されているオムロン (omron.co.jp) の制御システム向け製品である CX-Supervisor に同梱されている Teamviewer には、既知の脆弱性 (CVE-2019-11769、CVE-2018-16550、CVE-2018-14333、CVE-2010-3128) が存在します。報告されている脆弱性は、情報漏洩、証明書やパスワードの管理に関する問題、攻撃者により細工された外部 DLL の読み込みを許してしまう問題 (DLL プリロード攻撃)(CWE-427) です。

(S00) 日立製品

Cosminexus HTTP Server (2019/11/08)

Cosminexus HTTP Server には、OpenSSL 1.1.1d、1.1.0l、1.0.2t で解決した ECDSA のリモートタイミング攻撃 (CVE-2019-1547)、PKCS7_dataDecode と CMS_decrypt_set1_pkey へのパディングオラクル攻撃 (CVE-2019-1563) を許してしまう問題、デフォルトで Fork 保護が使用されない問題 (CVE-2019-1549) が存在します。

Hitachi Command Suite 製品 (2019/11/08)

Hitachi Command Suite 製品には、ファイル削除を許してしまう脆弱性が存在します。

Hitachi Command Suite 製品、Hitachi Infrastructure Analytics Advisor (2019/11/08)

Hitachi Command Suite 製品および Hitachi Infrastructure Analytics Advisor には、サービス不能攻撃を許してしまう脆弱性 (CVE-2019-17360) が存在します。

Hitachi Command Suite 製品 (2019/11/08)

Hitachi Command Suite 製品には、内部情報の漏洩を許してしまう脆弱性 (CVE-2018-21026) が存在します。

(S08) OpenSSL

OpenSSL 1.0.2 End-Of-Life (EOL) 再アナウンス (2019/11/07)

OpenSSL 1.0.2 は 2019年12月31日で EOL (End-Of-Life) に入ることが再アナウンスされました。OpenSSL 1.1.1 へのアップグレードを推奨しています。また、OpenSSL FOM(FIPS Object Module) 2.0 は OpenSSL 1.1.1 で動作しないこと (OpenSSL 1.0.2 でのみ動作する) ことから、セキュリティ問題が報告されたときの対応について注意喚起されました。

(S19) Squid

Squid 4.9 リリース (2019/11/06)

Squid 4.9 は、不具合の修正や改善を目的としたリリースです。TLS メッセージ処理、URN(Uniform Resource Name) 応答処理における不具合などを修正しています。セキュリティアップデートは含まれていません。

(S20) Red Hat

Red Hat (2019/11/11)

Red Hat 製品でサポートされている libzip、PHP のセキュリティアップデート (RHSA-2019:3735、RHSA-2019:3736、RHSA-2019:3724)(深刻度:緊急) がリリースされました。これらのアップデートでは、PHP 7.3.11、7.2.24、7.1.33 で解決した任意のコード実行を許してしまうアンダーフローの脆弱性 (CVE-2019-11043) に対応しています。

(S21) Web アプリケーションならびに CMS

Drupal 8.7.9 リリース (2019/11/06)

Drupal 8.7.9 は、不具合の修正や改善を目的としたリリースです。管理用ツールバーの不具合、docblock での属性重複、Layout Builder での性能低下などを修正しています。リリース時点で、セキュリティアップデートの報告はありません。

Joomla! 3.9.13 リリース (2019/11/05)

Joomla! 3.9.13 では、クロスサイトリクエストフォージェリ問題 (CWE-352)、パス情報の漏洩を許してしまう脆弱性 (CVE-2019-18650、CVE-2019-18674) を解決しています。


担当:寺田、大西/HIRT