更新日:<2019.03.18>
Adobe Flash Player 32.0.0.156 は、不具合の修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。
バージョン 73 がリリースされました。Chrome 73.0.3683.75 では、メモリの解放後使用 (use-after-free: CWE-416)、型の取り違え (type confusion: CWE-843)、ヒープオーバーフロー (CWE-122)、整数オーバーフロー (CWE-190)、領域外のメモリ参照 (out-of-bounds read: CWE-125)、競合 (race condition: CWE-362)、セキュリティ機構の迂回、なりすましを許してしまう問題など、計 60 件の脆弱性 (CVE-2019-5787 〜 CVE-2019-5804 他) を解決しています。
2019年 3月のセキュリティ更新プログラムでは 69 件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行 26 件、サービス不能 4 件、アクセス権限の昇格 11 件、なりすまし 2 件、情報漏洩 14 件、セキュリティ機構の迂回 5 件です。
重要製造業、情報技術分野で利用されている独 PEPPERL+FUCHS/ecom instruments(pepperl-fuchs.com) の WirelessHART Gateways には、ディレクトリトラバーサル問題 (CWE-22) に起因して情報漏洩を許してしまう脆弱性 (CVE-2018-16059) が存在します。WirelessHART Gateways は、HART または MODBUS プロトコルを実装した、DCS または資産管理システムにデータ中継する製品です。
通信、銀行・金融、政府施設、公共衛生・ヘルスケア、情報技術分野で利用されているオランダ Gemalto (gemalto.com) のライセンス管理製品 Sentinel UltraPro には、制御されていない検索パス問題 (CWE-427) に起因して ux32w.dll を利用して任意のコード実行を許してしまう複数の脆弱性 (CVE-2019-6534) が存在します。
化学、商業施設、エネルギー、農業・食料、輸送、上下水道分野で利用されているブラジル LCDC (lcds.com.br) の LAquis SCADA には、不正なファイルを読み込んだ際に発生する、領域外メモリへの書き出し (out-of-bounds write: CWE-787) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2019-6536) が存在します。
ネットワーク情報の各側面を収集するための製品である Common Services Platform Collector には、デフォルトのユーザアカウントとパスワードを使った不正アクセスを許してしまう脆弱性 (CVE-2019-1723) が存在します。
Small Business IP 電話の SIP 処理には、SIP 要求パケット処理が適切でないことに起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2018-0389) が存在します。
キャッシュ DNS サーバの一つである Unbound のバージョン 1.9.1 は、不具合の修正を目的としたリリースで、セキュリティアップデートは含まれていません。このバージョンでは、OpenSSL 関連の不具合が修正されています。
Ruby 2.5.5 は、不具合の修正や改善を目的としたリリースです。このバージョンでは、マルチスレッドとマルチプロセを利用したアプリケーションでデッドロックが発生することがある不具合を修正しています。
Ruby 2.6.2、2.5.4 では、エスケープシーケンスを用いたインジェクション、ディレクトリ削除を許してしまう問題など、RubyGems に存在する複数の脆弱性 (CVE-2019-8320 〜 CVE-2019-8325) に対応しています。
Samba 4.9.5 では、Samba AD DC の LDAP 検索処理に存在するサービス不能攻撃を許してしまう脆弱性 (CVE-2019-3824) を解決しています。このほか、s3-smbd、samba-tool、vfs 関連モジュールなど計 47 件の不具合を修正しています。
VMware Horizon には、内部で使用しているドメイン名、サーバの内部名、IP アドレスの漏洩を許してしまう脆弱性 (CVE-2019-5513) が存在します。
VMware Workstation Pro、Player (Workstation) には、Windows ホスト上の VMX プロセスを悪用することにより、アクセス権限の昇格を許してしまう脆弱性 (CVE-2019-5511、CVE-2019-5512) が存在します。
Joomla! 3.9.4 では、クロスサイトスクリプティング問題 (CWE-79)(CVE-2019-9711、CVE-2019-9712、CVE-2019-9714)、適切でないアクセス制御 (CWE-284) に起因する脆弱性 (CVE-2019-9713) を解決しています。このほか、計 28 件の不具合の修正や改善などを施しています。
Drupal 8.6.11、8.5.12 では、テンプレート機能である Twig ライブラリで発生している不具合を修正するために、ライブラリのアップデートを実施しています。また、任意のコード実行を許してしまう脆弱性 (CVE-2019-6340) の解決に伴って発生したモジュール間でのデータ整合性確保の不具合を修正しています。3月14日にリリースされた Drupal 8.6.12 では、Twig ライブラリのアップデートで発生した不具合の修正をしています。
WordPress 5.1.1 は、クロスサイトスクリプティング問題 (CWE-79) などのセキュリティ問題の解決、不具合の修正や改善を目的としたリリースで、計 14 件に対応しています。
9 件のセキュリティノートがリリースされています。該当する製品は、SAP HANA Extended Application Services、SAP BusinessObjects Business Intelligence Platform、ABAP Server
SAP Plant Connectivity、SAP NetWeaver Java Application Server、SAP BusinessObjects Business Intelligence Platform、SAP Mobile Platform SDK です。報告されている脆弱性 (CVE-2019-0268 〜 CVE-2019-0271、CVE-2019-0274 〜 CVE-2019-0277 他) は、クロスサイトスクリプティング問題 (CWE-79)、サービス不能攻撃を許してしまう問題、適切でない XML 検証、適切でない認可検証などです。
担当:寺田、大西/HIRT
