更新日:<2017.05.01>
米 GE (ge.com) の保護リレー装置 Multilin SR Protective Relays には、ランダムな初期ベクタを使用した暗号化方式でパスワードを保護していないことに起因して、暗号化されたパスワードが、辞書攻撃に対して強固ではないという脆弱性 (CVE-2017-7905) が存在します。Multilin SR Protective Relays は、化学、重要製造業、エネルギー、農業・食料、政府施設、輸送、上下水道分野などで利用されています。
米 Hyundai Motor America(hyundaiusa.com) の Blue Link には、中間者攻撃によるエンドポイント間の通信へのアクセスや関与を許してしまう問題 (CVE-2017-6052)、重要な情報を暗号化するために使用しているパスワードがハードコーディングされている問題 (CWE-321)(CVE-2017-6054) が存在します。Blue Link は、スマートフォンやスマートウォッチを使って自動車の施錠・開錠や、エンジンのスタートなどを可能にする製品です。
製造業、オイルやガスなどのエネルギー分野で利用されている、カナダ Sierra (sierrawireless.com) の無線システム AirLink Raven XE、XT ゲートウェイに存在する任意のファイルアップロードとダウンロードを許してしまう問題 (CVE-2017-6044)、クロスサイトリクエストフォージェリ (CVE-2017-6042)、資格情報の盗聴を許してしまう問題 (CVE-2017-6046) に CVE 番号が割り当てられました。
米 BLF-Tech LLC(blftech.com) の VisualView HMI には、DLL (ダイナミックリンクライブラリ) ファイルを読み込む際に、攻撃者により細工された外部 DLL の読み込みを許してしまう問題 (DLL プリロード攻撃) が発生し得る脆弱性 (CWE-427)(CVE-2017-6051) が存在します。VisualView HMI は、重要製造業、上下水道分野など利用されている HMI 製品です。
Cosminexus Developer's Kit for Java、Hitachi Developer's Kit for Java を構成部品として使用している Cosminexus 製品には、複数の脆弱性が存在します。脆弱性は、Java SE 8 Update 131 で解決した、AWT、JCE、JAXP、ネットワーク、セキュリティに存在する脆弱性です。
DNS コンテンツサーバ (権威 DNS サーバ) の一つである NSD (Name Server Daemon) のバージョン 4.1.16 は、バグ修正を目的としたリリースで、minimal-responses、disable-radix-tree オプションなどの処理に存在する不具合を修正しています。セキュリティアップデートは含まれていません。
キャッシュ DNS サーバの一つである Unbound のバージョン 1.6.2 は、バグ修正を目的としたリリースで、セキュリティアップデートは含まれていません。このバージョンでは、DNAME レコード処理の不具合などの修正、RRSIG での SHA1 無効化オプションのサポート、設定オプション client-subnet-always-forward の導入、max-client-subnet-ipv6 のデフォルト値の変更などを施しています。
Samba 4.6.3 では、ctdb 関連、s3-vfs、s4-kdc、smbd、winbindd モジュールなどに存在するバッファオーバーフロー、メモリリーク、メモリの解放後使用 (use-after-free:CWE-416) など、計 37 件の不具合を修正しています。セキュリティアップデートは含まれていません。
担当:寺田、大西/HIRT