更新日:<2018.03.19>
Firefox 59.0.1、ESR 52.7.2 では、音声データ Vorbis ファイル処理に存在する領域外メモリへの書き出し (out-of-bounds write: CWE-787) に起因して任意のコード実行を許してしまう脆弱性を解決しています。
Firefox 52.7.1 では、イタリア語環境での検索に関する不具合を修正しています。セキュリティアップデートは含まれていません。
Firefox 59.0 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、情報漏洩、なりすまし、セキュリティ機構の迂回を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 18 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。また、ESR として 7 件の脆弱性を解決したバージョン 52.7 がリリースされました。
Adobe Flash Player 29.0.0.113 では、メモリの解放後使用 (use-after-free: CWE-416)、型の取り違え (type confusion: CWE-843) に起因して任意のコード実行を許してしまう問題 (CVE-2018-4919、CVE-2018-4920) を解決しています。
Chrome 65.0.3325.162 は、安定性、性能、セキュリティの改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。
2018年 3月の月例セキュリティアップデートでは 75 件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行 19 件、サービス不能 3 件、アクセス権限の昇格 26 件、なりすまし 0 件、情報漏洩 24 件、セキュリティ機構の迂回 3 件です。
公共衛生・ヘルスケア分野で利用されている米 GE (gehealthcare.com) の医療機器 (GE Optima、GE Discovery、GE Centricity、GE MilleniumGE eNTEGRA など) には、認証機構の迂回や不正アクセスを許してしまう計 22 件の脆弱性が存在します。
米 OSIsoft (osisoft.com) の PI Web API には、適切でないアクセス許可、権限、制御 (CWE-264)、クロスサイトスクリプティング問題 (CWE-79) に起因して、アクセス権限の昇格と任意のコード実行を許してしまう脆弱性 (CVE-2018-7500、CVE-2018-7508) が存在します。PI Web API は、PI 製品からのデータ収集や書き込みなどを提供する Web サービス API 製品で、さまざまな分野で利用されています。
米 OSIsoft (osisoft.com) の PI Vision には、クロスサイトスクリプティング問題対策のための X-XSS-Protection ヘッダをサポートしていない問題 (CVE-2018-7504)、応答ヘッダからの情報漏洩を許してしまう脆弱性 (CVE-2018-7496) が存在します。PI Vision は、PI システムのデータにセキュアにアクセスするための Web クライアントツールです。
米 OSIsoft (osisoft.com) の データアーカイブ製品 PI Data Archive には、信頼できないデータのデシリアライゼーション (CWE-502)、適切でないデフォルトアクセス許可 (CWE-276)、適切でない入力確認 (CWE-20) に起因して、不正アクセスを許してしまう脆弱性 (CVE-2018-7529、CVE-2018-7531、CVE-2018-7533) が存在します。
エネルギー分野で利用されているオムロン (omron.co.jp) の制御システム向け製品である CX-Supervisor には、任意のコード実行を許してしまう複数の脆弱性が存在します。報告されている脆弱性は、スタックオーバーフロー (CWE-121)、メモリの解放後使用 (use-after-free: CWE-416)、初期化されていないポインタへのアクセス (CWE-824)、メモリの 2 重解放 (double free: CWE-415)、領域外メモリへの書き出し (out-of-bounds write: CWE-787)、信頼できないポインタの参照 (CWE-822)、ヒープオーバーフロー (CWE-122) です。
キャッシュ DNS サーバの一つである Unbound のバージョン 1.7.0 は、不具合の修正を目的としたリリースで、セキュリティアップデートは含まれていません。このバージョンでは、RFC7706 で規定されているルートサーバへのアクセス時間の短縮定、B-Root サーバの IPv4 アドレス更新などの改善を施しています。
BIND 9.12.1、9.11.3、9.10.7、9.9.12 は、バグの修正や改善を目的としたリリースです。これらのバージョンでは、Dynamic Update に関する設定 update-policy の仕様が変更されました。また、BIND 9.11.3、9.10.7、9.9.12 では、9.11.1 以降、9.10.5 以降、9.9.10 以降で解決した脆弱性 (CVE-2017-3140 〜 CVE-2017-3143、CVE-2017-3145) に対応しています。
バージョン 4.8 系がリリースされました。 Samba 4.8.0 では、sam.ldb での新しい GUID インデックスモード、Samba kdc 対応のグループポリシ、タイムマシーン機能、Active Directory レプリケーションの可視化などの機能強化を施しています。セキュリティアップデートは含まれていません。
Samba 4.7.6、4.6.14、4.5.16 では、プリントサーバプロセスに存在するサービス不能攻撃を許してしまう脆弱性 (CVE-2018-1050)、Samba 4 AD DC LDAP サーバに存在する他ユーザのパスワード変更を許してしまう脆弱性 (CVE-2018-1057) を解決しています。
Workstation、Fusion には、大量の VNC セッションを開始する際に、サービス不能攻撃を許してしまう脆弱性 (CVE-2018-6957) が存在します。
Struts 2.5.16 は、不具合の修正を目的としたリリースです。BeanValidation-Plugin での JSR 303 Validation Group のサポート、Log4j2、Spring のアップグレード対応などを施しています。バージョン 2.5.15 はリリースされていません。
Red Hat 製品でサポートされている Adobe Flash プラグイン (RHSA-2018:0520)、Firefox (RHSA-2018:0526, RHSA-2018:0527) のセキュリティアップデートがリリースされました。これらのアップデートでは、Adobe Flash Player 29.0.0.113、Firefox ESR 52.7 で解決した脆弱性に対応しています。
Joomla! 3.8.6 では、SQL インジェクション問題 (CWE-89)(CVE-2018-8045) を解決しています。また、これらセキュリティ問題に加えて、セッション管理の改善、PHP 7.2 対応の不具合などを修正しています。
8 件のセキュリティノートがリリースされています。該当する製品は、SAP Internet Graphic Server、SAP HANA、SAP Business Process Automation、SAP Business Client、Process Monitoring Infrastructure、SAP Business Objects Business Intelligence Platform です。報告されている脆弱性は、情報漏洩を許してしまう脆弱性 (CVE-2018-2402、CVE-2018-2400、CVE-2018-2398)、クロスサイトスクリプティング問題 (CWE-79)、外部に置かれたファイルを呼び出す XXE (Xml eXternal Entity) 問題 (CWE-611)、ディレクトリトラバーサル問題 (CWE-22) などです。
担当:寺田、大西/HIRT
