チェックしておきたい脆弱性情報 ＜2019.11.11＞

Thunderbird 68.2.2 では、プロファイル処理での不具合を修正しています。セキュリティアップデートは含まれていません。

• Thunderbird 68.2.2

iOS 13.2.2、iPadOS 13.2.2 は不具合の修正や改善を目的としたリリースです。リリース時点で、CVE 番号が割り当てられたセキュリティアップデートの報告はありません。

• iOS 13.2.2、iPadOS 13.2.2 のセキュリティコンテンツについて

Chrome 78.0.3904.97 では、4 件の脆弱性を解決しています。

• Stable Channel Update for Desktop (78.0.3904.97)

重要製造業分野で利用されている富士電機 (fujielectric.com) の設備の監視や操作を可能とする遠隔監視ソフトウェア V-Server には、ヒープオーバーフロー (CWE-122) に起因して任意のコード実行やサービス不能攻撃を許してしまう脆弱性 (CVE-2019-18240) が存在します。

• ICSA-19-311-02: Fuji Electric V-Server

重要製造業分野で利用されている三菱電機の MELSEC-Q、MELSEC-L シリーズ CPU モジュールには、適切でないリソース消費制限 (CWE-400) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-13555) が存在します。CPU モジュール上の FTP サーバへの接続が発生した場合に脆弱性の影響を受ける可能性があります。

• ICSA-19-311-01: Mitsubishi Electric MELSEC-Q Series and MELSEC-L Series CPU Modules

エネルギー分野で利用されているオムロン (omron.co.jp) の制御システム向け製品である CX-Supervisor に同梱されている Teamviewer には、既知の脆弱性 (CVE-2019-11769、CVE-2018-16550、CVE-2018-14333、CVE-2010-3128) が存在します。報告されている脆弱性は、情報漏洩、証明書やパスワードの管理に関する問題、攻撃者により細工された外部 DLL の読み込みを許してしまう問題 (DLL プリロード攻撃)(CWE-427) です。

• ICSA-19-309-01: Omron CX-Supervisor

Cosminexus HTTP Server には、OpenSSL 1.1.1d、1.1.0l、1.0.2t で解決した ECDSA のリモートタイミング攻撃 (CVE-2019-1547)、PKCS7_dataDecode と CMS_decrypt_set1_pkey へのパディングオラクル攻撃 (CVE-2019-1563) を許してしまう問題、デフォルトで Fork 保護が使用されない問題 (CVE-2019-1549) が存在します。

• hitachi-sec-2019-127: Cosminexus HTTP Server における複数の脆弱性
• CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N
• CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Hitachi Command Suite 製品には、ファイル削除を許してしまう脆弱性が存在します。

• hitachi-sec-2019-126: Hitachi Command Suite 製品における不当にファイルが削除される脆弱性
• CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P
• CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Hitachi Command Suite 製品および Hitachi Infrastructure Analytics Advisor には、サービス不能攻撃を許してしまう脆弱性 (CVE-2019-17360) が存在します。

• hitachi-sec-2019-125: Hitachi Command Suite 製品および Hitachi Infrastructure Analytics Advisor における DoS 脆弱性
• CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P
• CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Hitachi Command Suite 製品には、内部情報の漏洩を許してしまう脆弱性 (CVE-2018-21026) が存在します。

• hitachi-sec-2019-124: Hitachi Command Suite 製品における情報露出の脆弱性
• CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N
• CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

OpenSSL 1.0.2 は 2019年12月31日で EOL (End-Of-Life) に入ることが再アナウンスされました。OpenSSL 1.1.1 へのアップグレードを推奨しています。また、OpenSSL FOM(FIPS Object Module) 2.0 は OpenSSL 1.1.1 で動作しないこと (OpenSSL 1.0.2 でのみ動作する) ことから、セキュリティ問題が報告されたときの対応について注意喚起されました。

• Update on 3.0 Development, FIPS and 1.0.2 EOL

Squid 4.9 は、不具合の修正や改善を目的としたリリースです。TLS メッセージ処理、URN(Uniform Resource Name) 応答処理における不具合などを修正しています。セキュリティアップデートは含まれていません。

• Squid 4 changes

Red Hat 製品でサポートされている libzip、PHP のセキュリティアップデート (RHSA-2019:3735、RHSA-2019:3736、RHSA-2019:3724)(深刻度：緊急) がリリースされました。これらのアップデートでは、PHP 7.3.11、7.2.24、7.1.33 で解決した任意のコード実行を許してしまうアンダーフローの脆弱性 (CVE-2019-11043) に対応しています。

• Red Hat Security Advisories

Drupal 8.7.9 は、不具合の修正や改善を目的としたリリースです。管理用ツールバーの不具合、docblock での属性重複、Layout Builder での性能低下などを修正しています。リリース時点で、セキュリティアップデートの報告はありません。

• drupal 8.7.9

Joomla! 3.9.13 では、クロスサイトリクエストフォージェリ問題 (CWE-352)、パス情報の漏洩を許してしまう脆弱性 (CVE-2019-18650、CVE-2019-18674) を解決しています。

• Joomla! 3.9.13 Release
• [20191001] - Core - CSRF in com_template overrides view
• [20191002] - Core - Path Disclosure in phpuft8 mapping files

• HIRT-PUB
• 活動参考資料
• CSIRTメモ