更新日:<2017.10.23>
Firefox 56.0.1 では、ドライバの動作仕様を修正しています。セキュリティアップデートは含まれていません。
Adobe Flash Player 27.0.0.170 では、型の取り違え (type confusion:CWE-843) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2017-11292) を解決しています。
Java SE 8 Update 151 には、2D、ホットスポット、JAX-WS、JAXP、ライブラリ、ネットワーク、RMI、セキュリティなどに関する計 18 件のセキュリティアップデートが含まれています。報告された脆弱性のうち、認証操作なしでリモートからの攻撃を許してしまう脆弱性の件数は 17 件です。また、Java SE 8 Update 151 では、失効した Swisscom ルート証明書の削除、新規セキュリティプロパティによって制御できる機能が新たに導入されました。同時にリリースされた Java SE 8 Update 152 には、計 18 件のセキュリティアップデートに加えて複数バグの修正が含まれています。
iOS 11.0.3 では、iOS 11 で解決したメモリ破損に起因して任意のコード実行やサービス不能攻撃などを許してしまう問題に対応しています。
バージョン 62 がリリースされました。Chrome 62.0.3202.62 では、スタックオーバーフロー (CWE-121) の脆弱性 (CVE-2017-15396) を解決しています。
米 Boston Scientific (bostonscientific.com) の心臓モニタリング、心臓律動管理システムである ZOOM LATITUDE Programmer/Recorder/Monitor には、暗号化に使用する鍵がハードコーディングされている問題 (CWE-321)、患者情報 (PHI: patient health information) を暗号化していない問題 (CWE-311) に起因して情報漏洩を許してしまう脆弱性 (CVE-2017-14014、CVE-2017-14012) が存在します。
重要製造業分野で利用されているスイス SpiderControl (spidercontrol.net) の SCADA 用 Web ブラウザ SCADA MicroBrowser には、制御されていない検索パス問題 (CWE-427) に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2017-14010) が存在します。
重要製造業、エネルギー、農業・食料、輸送、上下水道分野で利用されているイタリア Progea (progea.com) の Movicon SCADA/HMI には、攻撃者により細工された外部 DLL の読み込みを許してしまう問題 (DLL プリロード攻撃)(CWE-427)、引用符で囲まれていないプログラムパス (Unquoted Service Path:CWE-428) に起因して、アクセス権限の昇格や任意のコード実行を許してしまう脆弱性 (CVE-2017-14017、CVE-2017-14019) が存在します。
日立ディスクアレイシステム SVP には、マイクロソフト 2017年10月の月例セキュリティアップデートで解決した Windows Search のリモートでコードが実行される脆弱性 (CVE-2017-11771)、Windows Search の情報漏洩を許してしまう脆弱性 (CVE-2017-11772)、Windows DNSAPI のリモートでコードが実行される脆弱性 (CVE-2017-11779) が存在します。
Hitachi Global Link Manager には、ユーザ認証情報の漏洩を許してしまう脆弱性が存在します。
Hitachi Tuning Manager の RMI には、脆弱性が存在します。
Hitachi Command Suite 製品には、外部に置かれたファイルを呼び出す XXE (Xml eXternal Entity) 問題 (CWE-611) が存在します。
Hitachi Command Suite 製品には、リモートでコードが実行される脆弱性 (CVE-2017-5641) が存在します。
IT インフラの運用自動化や性能監視分析を行う Automation Director には、ユーザ認証情報の漏洩を許してしまう脆弱性が存在します。
IT インフラの性能監視分析を行う Infrastructure Analytics Advisor には、クロスサイトスクリプティング問題 (CWE-79)、アクセス制御に関する脆弱性が存在します。
Cloud Services Platform 2100 には、認証機構処理が適切でないために、Cloud Services Platform 上のサービスや VM に対する不正アクセスを許してしまう脆弱性 (CVE-2017-12251) が存在します。
Small Business IP 電話の SIP 処理には、SIP 要求パケット処理が適切でないことに起因して、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-12259、CVE-2017-12260) が存在します。
FXOS(Firepower Extensible Operating System)、NX-OS 系製品の AAA(認証、許可、アカウント) 機能に、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-3883) が存在します。ログインの総当たり攻撃などが行われたときに、装置の再起動を引き起こしてしまう可能性があります。
10 月に WPA2 プロトコルの KRACK (Key Reinstallation Attacks) 問題として報告された脆弱性 (CVE-2017-13077 〜 CVE-2017-13082、CVE-2017-13084、CVE-2017-13086 〜 CVE-2017-13088) の影響を報告しています。
Oracle Critical Patch Update Advisory - October 2017 には、Database Server 系 6 件、Fusion Middleware 系 40 件、Applications 系 66 件、仮想化系 6 件、MySQL 系 25 件、Java SE 系 22 件、計 252 件のセキュリティアップデートが含まれています。認証操作なくリモートからの攻撃を許してしまう脆弱性の件数は計 155 件となっています。
MySQL 5.7.20 では、mysqld などで自動生成される証明書フォーマットを X.509 v3 に変更し、keyring_okv プラグインでセキュア通信用にパスワード保護機構をサポートしました。
Red Hat 製品でサポートされている Adobe Flash のセキュリティアップデートプラグイン (RHSA-2017:2899)、Java(jjava-1.8.0-openjdk) のセキュリティアップデート (RHSA-2017:2998) がリリースされました。このアップデートでは、Adobe Flash Player 27.0.0.170、Java SE 8 Update 151 で解決した脆弱性に対応しています。
担当:寺田、大西/HIRT
