更新日:<2018.11.19>
Acrobat Reader DC ならびに Acrobat DC (2019.008.20081 / 2015.006.30457)、Acrobat Reader 2017 ならびに Acrobat 2017 (2017.011.30106) では、ハッシュ化された NTLM パスワードの漏洩を許してしまう脆弱性 (CVE-2018-15979) を解決しています。
Adobe Flash Player 31.0.0.148 は、領域外のメモリ参照 (out-of-bounds read: CWE-125) に起因して情報漏洩を許してしまう脆弱性 (CVE-2018-15978) を解決しています。
MacBook Air (2018) 向け macOS Mojave 10.14.1 追加アップデートは不具合の修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。
2018年11月の月例セキュリティアップデートでは 64 件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行 26 件、サービス不能 1 件、アクセス権限の昇格 13 件、なりすまし 8 件、情報漏洩 9 件、セキュリティ機構の迂回 3 件です。
化学、重要製造業、エネルギー、農業・食料、公共衛生・ヘルスケア、輸送分野で利用されている独 Siemens (siemens.com) のディスプレイ付き HMI デバイス SIMATIC Panel には、ディレクトリトラバーサル問題 (CWE-22) に起因して情報漏洩を許してしまう脆弱性 (CVE-2018-13812)、オープンリダイレクト問題 (CWE-601)(CVE-2018-13813) が存在します。
重要製造業、化学、重要製造業、エネルギー、農業・食料、上下水道分野で利用されている独 Siemens (siemens.com) の SIMATIC IT Production スイートには、適切でない認証 (CWE-287) に起因して、不正アクセスを許してしまう脆弱性 (CVE-2018-13804) が存在します。
化学、重要製造業、エネルギー、農業・食料、上下水道分野で利用されている独 Siemens (siemens.com) の SIMATIC STEP7 TIA ポータルには、パスワードなどのアカウント情報の保護が十分でない問題 (CWE-256) に起因して、パスワードの漏洩を許してしまう脆弱性 (CVE-2018-13811) が存在します。
化学、重要製造業、エネルギー、農業・食料、上下水道分野で利用されている独 Siemens (siemens.com) のコントローラ製品である SIMATIC S7-1500、S7-1200 には、適切でないリソース消費制限 (CWE-400) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2018-13815) が存在します。不正なパケットをポート番号 102/TCP で受信した場合に脆弱性の影響を受ける可能性があります。
化学、通信、重要製造業、ダム、防衛産業基盤、エネルギー、農業・食料、政府施設、輸送、上下水道分野で利用されている独 Siemens (siemens.com) のセキュリティモジュール SCALANCE S シリーズ には、クロスサイトスクリプティング問題 (CWE-79)(CVE-2018-16555) が存在します。
化学、エネルギー、農業・食料、上下水道分野で利用されている独 Siemens (siemens.com) の ディスプレイ付き HMI デバイス SIMATIC Panel、統合エンジニアリング環境を提供する SIMATIC WinCC TIA ポータルには、コードインジェクション問題 (CWE-94) に起因して、クロスサイトスクリプティング問題 (CWE-79) やセッションハイジャックなどの悪用を許してしまう脆弱性 (CVE-2018-13814) が存在します。
化学、重要製造業、エネルギー、農業・食料、公共衛生・ヘルスケア、輸送分野で利用されている独 Siemens (siemens.com) の SIMATIC S7-400 CPU 製品には、サービス不能攻撃を許してしまう脆弱性 (CVE-2018-16556、CVE-2018-16557) が存在します。イーサネット、PROFIBUS や MPI(multi-point interface) 経由で不正なパケットをポート番号 102/TCP で受信した場合に脆弱性の影響を受ける可能性があります。
化学、重要製造業、エネルギー、農業・食料、上下水道分野で利用されている独 Siemens (siemens.com) の Siemens IEC 61850 System Configurator、DIGSI、SICAM PAS/PQS、SICAM PQ Analyzer、SICAM SCC には、これら製品のポート番号 4884/TCP、5885/TCP、5886/TCP で稼働しているサービスの適切でないアクセス制御 (CWE-284) に起因して、情報漏洩や任意のコード実行を許してしまう脆弱性 (CVE-2018-4858) が存在します。
JP1/VERITAS NetBackup には、Struts 2.5.10.1、2.3.32 で解決した脆弱性 (S2-046)、Struts 2.5.17、2.3.35 で解決した脆弱性 (S2-057) に起因して、任意のコード実行を許してしまう 2 件の脆弱性 (CVE-2017-5638CVE-2018-11776) が存在します。
OpenSSL 1.0.2 の ECC スカラー乗算処理にサイドチャネル攻撃を許してしまう脆弱性 (CVE-2018-5407) が存在します。この問題は、Meltdown、Spectre から派生した CPU の脆弱性問題に関する脆弱性で、悪用された場合、ECDSA 署名生成中に秘密鍵が漏洩する可能性があります。ただし、深刻度は低いことから、アドバイザリ公開に合わせたセキュリティアップデートはありません。
Tomcat 7.0.92 は、不具合の修正や改善を目的としたリリースです。JRE あるいは、OpenSSL バージョン使用時に TLS 1.3 をサポートなどの拡張を施しています。リリース時点で、セキュリティアップデートの報告はありません。
VMware vRealize Log Insight のユーザ登録処理に、適切でないアクセス認可 (CWE-285) に起因して、アクセス権限の昇格を許してしまう脆弱性 (CVE-2018-6980) が存在します。
Struts 2.3.x は、残り 6 カ月で EOL (End-Of-Life) に入ることがアナウンスされました。
Red Hat 製品でサポートされているビジネスルールマネジメントシステム JBoss BRMS のセキュリティアップデート (RHSA-2018:3581)(深刻度:緊急) がリリースされました。RichFaces に存在する任意のコード実行を許してしまう脆弱性 (CVE-2018-14667) を解決しています。
11 件のセキュリティノートがリリースされています。該当する製品は、SAP HANA Streaming Analytics、SAP Fiori Client、SAP Disclosure Management、SAP_ABA、SAP Basis、SAP NetWeaver、SAP BusinessObjects Business Intelligence Platform、SAP Mobile Secure Android Application です。報告されている脆弱性は、任意のコード実行を許してしまう問題 (CVE-2018-2478)、サービス不能攻撃を許してしまう問題 (CVE-2018-2473、CVE-2018-2482)、外部に置かれたファイルを呼び出す XXE (Xml eXternal Entity) 問題 (CWE-611)(CVE-2018-2477)、クロスサイトスクリプティング問題 (CWE-79)(CVE-2018-2479) などです。
担当:寺田、大西/HIRT
