更新日:<2019.11.25>
iOS 13.2.3、iPadOS 13.2.3 は不具合の修正や改善を目的としたリリースです。リリース時点で、CVE 番号が割り当てられたセキュリティアップデートの報告はありません。
- iOS 13.2.3、iPadOS 13.2.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT201222
Chrome 78.0.3904.108 では、Bluetooth 処理に存在するメモリの解放後使用 (use-after-free: CWE-416)、領域外のメモリ参照 (out-of-bounds read: CWE-125) など、計 5 件の脆弱性を解決しています。
情報技術分野で利用されている米 Flexera (flexera.com) の FlexNet Publisher には、メモリバッファ境界での適切でない操作制限 (CWE-119)、適切でない入力確認 (CWE-20) に起因して任意のコード実行やサービス不能攻撃を許してしまう脆弱性 (CVE-2018-20031、CVE-2018-20032、CVE-2018-20033、CVE-2018-20034) が存在します。FlexNet Publisher は、ライセンスを一括して追跡および管理する製品です。
有線と無線 LAN 統合管理を実現する Prime Infrastructure、統合マルチレイヤ管理を実現する Evolved Programmable Network Manager の REST API には、適切でない入力確認 (CWE-20) に起因して管理者権限で任意のコード実行を許してしまう脆弱性 (CVE-2019-15958) が存在します。
DNS コンテンツサーバ (権威 DNS サーバ) の一つである NSD (Name Server Daemon) のバージョン 4.2.3 は、不具合の修正と改善を目的としたリリースで、ゾーン外の追加情報を返さない設定、pidfile なしでの実行、--disable-ipv6 オプションでのコンパイル時の警告などの改善を施しています。セキュリティアップデートは含まれていません。
BIND 9.14.8、9.11.13 では、DNS トランザクションの並列処理に存在する TCP での同時接続数を制限する機能の迂回に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2019-6477) を解決しています。
PHP 7.3.12、7.2.25 は、不具合の修正や改善を目的としたリリースです。これらのリリースでは、COM、Core、Date、Iconv、OpCache、OpenSSL、Reflection、Sockets コンポーネントに存在する計 13 件の不具合を修正しています。不具合の中にはメモリ破損 (memory corruption:CWE-119) が含まれています。
Tomcat 9.0.29、8.5.49 は、不具合の修正や改善を目的としたリリースです。これらのリリースでは、非同期エラー処理の改善、特定のトークン値を検索する際の HTTP ヘッダ処理の厳密化、JSP の変更がページに反映されない不具合の修正などをしています。リリース時点で、セキュリティアップデートの報告はありません。9.0.28、8.5.48 はリリースされていません。
ISC DHCP に変わる新たな DHCP サーバである Kea 1.6.1 がリリースされました。1.6.1 では、null のみで構成される文字列を含む受信パケットを破棄するという、1.6.0 で作り込まれてしまった不具合を修正しています。
担当:寺田、大西/HIRT
