ページの本文へ

Hitachi

チェックしておきたい脆弱性情報 <2016.12.12>

更新日:<2016.12.12>

(C01) Mozilla

Thunderbird 45.5.1 リリース (2016/11/30)

Thunderbird 45.5.1 では、SVG アニメーション処理に存在する任意のコード実行を許してしまう脆弱性 (CVE-2016-9079) を解決しています。脆弱性はメモリの解放後使用 (use-after-free:CWE-416) に起因する問題です。

(C10) Google Chrome

Google Chrome 55.0.2883.87 リリース (2016/12/09)

Windows/Mac 版55.0.2883.87 は、バグの修正とセキュリティアップデートを目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。

(I02) 制御システム製品

INTERSCHALT の VDR G4e (2016/12/08)

輸送分野などで利用されている独 INTERSCHALT (interschalt.com) の海上航海データレコーダ VDR G4e には、ディレクトリトラバーサル問題 (CWE-22) に起因して情報漏洩を許してしまう脆弱性 (CVE-2016-9339) が存在します。

Adcon Telemetry の A850 Telemetry Gateway Base Station (2016/12/08)

商業施設、重要製造業、上下水道分野などで利用されているオーストリア Adcon Telemetry (adcon.com) の A850 Telemetry Gateway Base Station には、クロスサイトスクリプティング問題 (CWE-79)(CVE-2016-2274) が存在します。A850 Telemetry Gateway Base Station は、GSM/GPRS、UHF 無線ネットワークに接続する RTU 管理、センサ管理、監視データを可視化をする製品です。

Sauter の NovaWeb Web HMI (2016/12/08)

商業施設、重要製造業分野などで利用されている独 Sauter (sauter-controls.com) の NovaWeb Web HMI には、cookie の操作により、認証機構の迂回を許してしまう脆弱性 (CVE-2016-5782) が存在します。

Moxa の MiiNePort (2016/12/08)

商業施設、重要製造業、エネルギー、輸送分野などで利用されている台湾 MOXA (moxa.com) の MiiNePort には、アクセス権限などが適切でない問題 (CVE-2016-9344)、設定データなどの重要な情報が平文のまま格納されている問題 (CVE-2016-9346) が存在します。脆弱性 CVE-2016-9344 を悪用された場合、ブルートフォース攻撃を用いたセッション乗っ取りにより不正アクセスされてしまう可能性があります。MiiNePort は、シリアルとイーサネットとを接続する機器です。

Tesla の Gateway ECU (2016/12/06)

輸送分野などで利用されている米 Tesla (tesla.com) の Gateway ECU (Electronic Control Unit) には、コマンドインジェクションを許してしまう脆弱性 (CVE-2016-9337) が存在します。脆弱性を悪用された場合、Gateway ECU 経由で車載ネットワーク CAN(Controller Area Network) にアクセスされてしまう可能性があります。影響を受ける Gateway ECU の車載用ファームウェアは、自動車のソフトウェアと走行を管理する製品です。

Locus Energy の LGate (2016/12/06)

エネルギー分野などで利用されている米 Locus Energy の LGate には、OS コマンドインジェクションを許してしまう脆弱性 (CVE-2016-5782) が存在します。この問題は、PHP スクリプトの POST データ処理が適切でないことに起因します。LGate は、Web ベースの太陽光発電向けのデータ収集システムです。

(S04) DNS [BIND/NSD/Unbound/PowerDNS]

NSD 4.1.13 リリース (2016/09/27)

DNS コンテンツサーバ (権威 DNS サーバ) の一つである NSD (Name Server Daemon) のバージョン 4.1.13 は、バグ修正を目的としたリリースで、RFC 7929 で規定されている OPENPGPKEY リソースレコードのサポート、ゾーン転送 xfrd の不具合などを修正しています。セキュリティアップデートは含まれていません。

(S09) PHP

PHP 7.0.14、5.6.29 リリース (2016/12/08)

PHP 7.0.14 では、Core、PCRE、PDO_Firebird などのコンポーネントに存在する計 20 件の不具合を修正しています。PHP 5.6.29 では、Opcache、OpenSSL、Postgres などのコンポーネントに存在する計 9 件の不具合を修正しています。

(S11) Samba

Samba 4.5.2 リリース (2016/12/07)

Samba 4.5.2 では、ctdb 関連、s3-smbd、s3-winbind モジュールなどに存在する 26 件の不具合を修正しています。セキュリティアップデートは含まれていません。

(S13) Tomcat

Tomcat 8.5.9 リリース (2016/12/08)

Tomcat 8.5.9 は、バグの修正や改善を目的としたリリースです。SPNEGO(Simple and Protected GSS-API Negotiation Mechanism) 認証、I/O バッファ、UEL(Unified Expression Language) 処理の改善を図っています。リリース時点で、セキュリティアップデートの報告はありません。

(S20) Red Hat

Red Hat Enterprise Linux Server (v.6)(2016/12/06)

Red Hat Enterprise Linux Server に搭載されている システム管理者向けツール sudo のセキュリティアップデート (RHSA-2016:2872) では、noexec で制限下にある場合にも、アクセス権限の昇格を伴った任意のコード実行を許してしまう脆弱性 (CVE-2016-7032、CVE-2016-7076) を解決しています。

(S21) Web アプリケーションならびに CMS

WordPress 4.7 リリース (2016/12/06)

WordPress 4.7 では、テーマ毎に用意された雛形、REST API コンテンツエンドポイントなどの新たな機能が導入されています。また、テーマ開発者向けに、投稿タイプテンプレート、テーマ API などが強化されています。リリース時点で、セキュリティアップデートの報告はありません。


担当:寺田、大西/HIRT