更新日:<2017.06.12>
米 Digital Canal Structural (digitalcanal.com) の Wind Analysis には、スタックオーバーフロー (CWE-121) に起因して任意のコード実行、サービス不能攻撃を許してしまう問題 (CVE-2017-7910) が存在します。Wind Analysis は、構造物の最小設計荷重を考慮した構造エンジニアリングソフトウェアで、商業施設分野などで利用されています。
重要製造業、エネルギー、農業・食料、輸送、上下水道分野などで利用されている米 Rockwell Automation (rockwellautomation.com) の PanelView Plus には、システムの不正アクセスを許してしまう脆弱性 (CVE-2017-7914) が存在します。PanelView Plus グラフィックターミナルならびに、ロジックモジュール製品が影響を受けます。
データセンタ基盤の稼働性、信頼性を管理する Cisco Prime Data Center の Network Manager Server には、ロールベースアクセス制御が適切に機能しないことに起因して任意のコード実行や情報漏洩を許してしまう脆弱性 (CVE-2017-6639)、デフォルトパスワードが設定されたデフォルトアカウントに起因して攻撃者に管理者権限でのアクセスを許してしまう脆弱性 (CVE-2017-6640) が存在します。
マルチメディア会議接続を実現する TelePresence Collaboration Endpoint、TelePresence Codec の SIP 処理には、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-6648) が存在します。この問題は、フロー制御処理が適切でないことに起因して、大量の不正な SIP INVITE パケットを受信した場合に影響を受ける可能性があります。
Windows 版 VPN クライアント AnyConnect Secure Mobility Client には、攻撃者により細工された外部 DLL の読み込みを許してしまう問題が発生し得る脆弱性 (CVE-2017-6638) が存在します。悪用された場合、システム権限への権限昇格を許してしまう可能性があります。
PHP 7.1.6、7.0.20 では、Core、MySQLi、Opcache、PHAR、Standard などのコンポーネントに存在する計 10 件、8 件の不具合を修正しています。
6月 6日、Tomcat 8.0.44、7.0.78 で解決した脆弱性情報が掲載されました。報告された脆弱性は、セキュリティ制限の迂回を許してしまう脆弱性 (CVE-2017-5664) で、不正な HTTP 要求を受信した場合には、エラーページの削除や上書きが行われる可能性があります。脆弱性の影響は、Tomcat 9.0 系、8.5 系、8.0 系、7.0 系が該当します。また、サポート対象外となっている 6.0 系などのバージョンにも影響することが確認されています。
Samba 4.6.5、4.5.11 では、ctdb 関連、s3-vfs、s3-smbd、samba-tool モジュールなどに存在する Oplock リース、ctdb nodestatus 表示の不具合など、計 18 件、計 21 件の不具合を修正しています。セキュリティアップデートは含まれていません。
VMware Horizon View Client for Mac には、サービススタートアップスクリプトに、コマンドインジェクションの脆弱性 (CVE-2017-4918) が存在します。脆弱性を悪用された場合、Mac OSX 上でアクセス権限の昇格を許してしまう可能性があります。
vSphere Data Protection (VDP) には、デシリアライズの処理に関連して任意のコマンド実行を許してしまう脆弱性 (CVE-2017-4914)、vCenter Server の資格情報の暗号化処理に関連して情報漏洩を許してしまう脆弱性 (CVE-2017-4917) が存在します。
WordPress 4.8 は、リンクの改善、画像、音声ファイル、動画などのメディアウィジェットのサポート、テキストエディター JavaScript API、メディアウィジェット API のサポートなどの改善が施されました。
担当:寺田、大西/HIRT
