ページの本文へ

Hitachi

Hitachi Incdent Response Team

チェックしておきたい脆弱性情報 <2019.11.25>

更新日:<2019.11.25>

(C08) アップル製品

iOS 13.2.3、iPadOS 13.2.3 リリース (2019/11/18)

iOS 13.2.3、iPadOS 13.2.3 は不具合の修正や改善を目的としたリリースです。リリース時点で、CVE 番号が割り当てられたセキュリティアップデートの報告はありません。

- iOS 13.2.3、iPadOS 13.2.3 のセキュリティコンテンツについて

https://support.apple.com/ja-jp/HT201222

(C10) Google Chrome

Google Chrome 78.0.3904.108 リリース (2019/11/18)

Chrome 78.0.3904.108 では、Bluetooth 処理に存在するメモリの解放後使用 (use-after-free: CWE-416)、領域外のメモリ参照 (out-of-bounds read: CWE-125) など、計 5 件の脆弱性を解決しています。

(I02) 制御システム製品

Flexera の FlexNet Publisher (2019/11/19)

情報技術分野で利用されている米 Flexera (flexera.com) の FlexNet Publisher には、メモリバッファ境界での適切でない操作制限 (CWE-119)、適切でない入力確認 (CWE-20) に起因して任意のコード実行やサービス不能攻撃を許してしまう脆弱性 (CVE-2018-20031、CVE-2018-20032、CVE-2018-20033、CVE-2018-20034) が存在します。FlexNet Publisher は、ライセンスを一括して追跡および管理する製品です。

(S01) シスコ製品

Prime Infrastructure、Evolved Programmable Network Manager (2019/11/06)

有線と無線 LAN 統合管理を実現する Prime Infrastructure、統合マルチレイヤ管理を実現する Evolved Programmable Network Manager の REST API には、適切でない入力確認 (CWE-20) に起因して管理者権限で任意のコード実行を許してしまう脆弱性 (CVE-2019-15958) が存在します。

(S04) DNS [BIND/NSD/Unbound/PowerDNS]

NSD 4.2.3 リリース (2019/11/20)

DNS コンテンツサーバ (権威 DNS サーバ) の一つである NSD (Name Server Daemon) のバージョン 4.2.3 は、不具合の修正と改善を目的としたリリースで、ゾーン外の追加情報を返さない設定、pidfile なしでの実行、--disable-ipv6 オプションでのコンパイル時の警告などの改善を施しています。セキュリティアップデートは含まれていません。

BIND 9.14.8、9.11.13 リリース (2019/11/20)

BIND 9.14.8、9.11.13 では、DNS トランザクションの並列処理に存在する TCP での同時接続数を制限する機能の迂回に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-6477) を解決しています。

(S09) PHP

PHP 7.3.12、7.2.25 リリース (2019/11/21)

PHP 7.3.12、7.2.25 は、不具合の修正や改善を目的としたリリースです。これらのリリースでは、COM、Core、Date、Iconv、OpCache、OpenSSL、Reflection、Sockets コンポーネントに存在する計 13 件の不具合を修正しています。不具合の中にはメモリ破損 (memory corruption:CWE-119) が含まれています。

(S13) Tomcat

Tomcat 9.0.29、8.5.49 リリース (2019/11/21)

Tomcat 9.0.29、8.5.49 は、不具合の修正や改善を目的としたリリースです。これらのリリースでは、非同期エラー処理の改善、特定のトークン値を検索する際の HTTP ヘッダ処理の厳密化、JSP の変更がページに反映されない不具合の修正などをしています。リリース時点で、セキュリティアップデートの報告はありません。9.0.28、8.5.48 はリリースされていません。

(S17) DHCP [ISC DHCP/Kea]

Kea 1.6.1 リリース (2019/11/20)

ISC DHCP に変わる新たな DHCP サーバである Kea 1.6.1 がリリースされました。1.6.1 では、null のみで構成される文字列を含む受信パケットを破棄するという、1.6.0 で作り込まれてしまった不具合を修正しています。


担当:寺田、大西/HIRT