更新日:<2017.12.25>
Thunderbird 52.5.2 では、ANGLE グラフィックライブラリでのバッファオーバーフローに起因して、サービス不能攻撃を許してしまう脆弱性を解決しています。
通信、商業施設分野で利用されている仏 Schneider Electric (schneider-electric.com) の Pelco VideoXpert Enterprise には、ディレクトリトラバーサル問題 (CWE-22)(CVE-2017-9964、CVE-2017-9965)、アクセス権限の昇格につながる適切でないアクセス制御 (CWE-284) を許してしまう脆弱性 (CVE-2017-9966) が存在します。
重要製造業、エネルギー、輸送分野で利用されている台湾 MOXA (moxa.com) の NPort W2150A、W2250A には、デフォルトのパスワードが設定されていない問題 (CVE-2017-16727) が存在します。NPort シリーズはシリアルと Modbus/TCP 接続、シリアルとイーサネット接続などの接続機器です。
重要製造業、エネルギー、上下水道分野で利用されている中国 WECON (we-con.com.cn) の HMI プログラミングソフトウェアである LeviStudio HMI Editor には、ヒープオーバーフロー (CWE-122) に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2017-16717) が存在します。
商業施設、輸送分野で利用されている独 Siemens (siemens.com) の PLC プログラミングソフトウェア LOGO! Soft Comfort には、完全性の検証なしにソフトウェアパッケージをダウンロードするため、中間者攻撃によるソフトウェアパッケージへの関与を許してしまう問題 (CVE-2017-12740) が存在します。
重要製造業、エネルギー、上下水道分野で利用されているマレーシア Ecava (ecava.com) の Web ベースの SCADA システム用 HMI (Human Machine Interface) パッケージである IntegraXor には、SQL インジェクション問題 (CWE-89)(CVE-2017-16733、CVE-2017-16735) が存在します。
通信、重要製造業、情報技術で利用されている独 PEPPERL+FUCHS/ecom instruments(pepperl-fuchs.com) の WPA2 プロトコルを使用可能な無線機器には、KRACK (Key Reinstallation Attacks) 問題で報告された暗号化処理における Nonce や鍵ペアの再利用 (CWE-323) の脆弱性 (CVE-2017-13077 〜 CVE-2017-13082、CVE-2017-13086 〜 CVE-2017-13088) が存在します。
重要製造業、エネルギー分野で利用されているスイス ABB (abb.com) の資産管理向け製品 Ellipse には、パケットモニタリングにより認証情報の取得を許してしまう脆弱性 (CVE-2017-16731) が存在します。この問題は、Ellipse の認証情報の送信に LDAP プロトコルを使用していることに起因しています。
Samba 4.7.4、4.6.12 では、s3-libsmb、s3-smbclient モジュールなどに存在する計 28 件、計 15 件の不具合を修正しています。セキュリティアップデートは含まれていません。
担当:寺田、大西/HIRT