更新日:<2019.08.26>
重要製造業分野で利用されている米 Zebra(zebra.com) の産業用プリンタには、十分でない資格情報保護 (CWE-522) に起因してパスコードの漏洩を許してしまう脆弱性 (CVE-2019-10960) が存在します。この問題は、不正なパケットをプリンタのポートで受信した場合に、フロントパネルのパスコードを含む情報を返信するというものです。
日立ディスクアレイシステムには、マイクロソフト 2019年 7月の月例セキュリティアップデートで解決した脆弱性の影響はありません。
Cisco UCS シリーズサーバを管理する Integrated Management Controller Supervisor、Cisco SDN 統合インフラストラクチャ管理ツールである UCS Director、Cisco UCS Director Express には、不正アクセスを許してしまう複数の脆弱性 (CVE-2019-1937、CVE-2019-1974、CVE-2019-1935、CVE-2019-1938) が存在します。報告されている脆弱性は、不正な要求を受信した際に認証機構の迂回を許してしまう問題 (CWE-287)、文書化されていない資格情報である SCP ユーザアカウント (scpuser) がハードコーディングされている問題 (CWE-798) です。
DNS コンテンツサーバ (権威 DNS サーバ) の一つである NSD (Name Server Daemon) のバージョン 4.2.2 では、dname_concatenate 関数に存在するスタックオーバーフロー (CWE-121) の脆弱性 (CVE-2019-13207) を解決しています。
Samba 4.10.7 では、ctdb、netcmd、samba-tool 関連モジュールなどに存在する計 17 件の不具合を修正しています。リリース時点で、セキュリティアップデートの報告はありません。
Tomcat 8.5.45 は、不具合の修正や改善を目的としたリリースです。このリリースでは、HTTP/2 向けのオーバーヘッド保護機構の拡張、Windows インストーラのセキュリティ改善、500 番の応答ではなく 400 番の応答を返送するよう、無効な HTTP 要求に対する応答処理の改善などを施しています。リリース時点で、セキュリティアップデートの報告はありません。8.5.44 はリリースされていません。
Tomcat 9.0.24 は、不具合の修正や改善を目的としたリリースです。このリリースでは、JIT コンパイラ Graal ネイティブイメージサポートの拡張、HTTP/2 向けのオーバーヘッド保護機構の拡張、Windows インストーラのセキュリティ改善などを施しています。リリース時点で、セキュリティアップデートの報告はありません。9.0.23 はリリースされていません。
2018年 8月に報告された S2-057、不正な HTTP 要求を受信した場合に、任意のコード実行を許してしまう脆弱性 (CVE-2018-11776) の影響範囲が、S2-057 の Struts 2.0.4 〜 2.3.34、Struts 2.5.0 〜 2.5.16 から、S2-058 では Struts 2.0.0 〜 2.5.12 に訂正されました。
担当:寺田、大西/HIRT
