ページの本文へ

Hitachi
デジタルデジタル お問い合わせお問い合わせ

チェックしておきたい脆弱性情報 <2016.10.03>

更新日:<2016.10.03>

Firefox 49.0.1 リリース (2016/09/23)

Firefox 49.0.1 では、Websense に起因して起動時にクラッシュする不具合を修正しています。セキュリティアップデートは含まれていません。

Google Chrome 53.0.2785.143 リリース (2016/09/29)

Windows/Mac/Linux 版 53.0.2785.143 では、メモリの解放後使用 (use-after-free:CWE-416) など、計 3 件の脆弱性 (CVE-2016-5177 他) を解決しています。

BIND 9.10.4-P3、9.9.9-P3 リリース (2016/09/27)

BIND 9.10.4-P3、9.9.9-P3 では、サービス不能攻撃を許してしまう脆弱性 (CVE-2016-2776) を解決しています。脆弱性 CVE-2016-2776 は、DNS 応答の作成処理の不具合により、特定の DNS 要求に対応する応答パケットを作成する際に、named が異常終了するというものです。

BIND 9.0.0 以降が稼働するコンテンツサーバ (権威 DNS サーバ) とキャッシュ DNS サーバに影響があります。なお BIND を開発するインターネットシステムズコンソーシアム (ISC) は、9.0 系〜 9.8 系のサポートは終了していることから、セキュリティパッチはリリースしないとしています。

NSD 4.1.13 リリース (2016/09/27)

DNS コンテンツサーバ (権威 DNS サーバ) の一つである NSD (Name Server Daemon) のバージョン 4.1.13 は、バグ修正を目的としたリリースで、RFC 7929 で規定されている OPENPGPKEY リソースレコードのサポート、ゾーン転送 xfrd の不具合などを修正しています。セキュリティアップデートは含まれていません。

Unbound 1.5.10 リリース (2016/09/27)

キャッシュ DNS サーバの一つである Unbound のバージョン 1.5.10 は、バグ修正を目的としたリリースで、セキュリティアップデートは含まれていません。このバージョンでは、TCP 処理の改善、e.root-servers.net (E-Root) の IPv6 アドレスの追加をするとともに、応答が停止してしまう不具合などを修正しています。

Kea 1.1.0 リリース (2016/09/28)

ISC DHCP に変わる新たな DHCP サーバ Kea のバージョン 1.1.0 がリリースされました。このバージョンでは、データベースとして Cassandra の実験的なサポート、ホスト予約、クライアント分類などの機能拡張が施されています。

OpenSSL 1.1.0b、1.0.2j リリース (2016/09/26)

OpenSSL 1.1.0b では、1.1.0a に存在するメモリの解放後使用 (use-after-free:CWE-416) に起因して、サービス不能攻撃を許してしまう脆弱性 (CVE-2016-6309) を解決しています。OpenSSL 1.0.2j では、CRL の正当性確認処理を導入することで、1.0.2i の CRL 処理に存在するサービス不能攻撃を許してしまう脆弱性 (CVE-2016-7052) を解決しています。

PostgreSQL 9.6 リリース (2016/09/29)

PostgreSQL 9.6 では、クエリの並列処理によるスケールアップ、クラスタ上で一貫性のある読み込みを実現する同期レプリケーションでのオプション追加、全文検索でのフレーズサポートなどの機能改善が施されています。

Red Hat Enterprise Linux Server (v.6)(2016/09/27)

Red Hat Enterprise Linux Server に搭載されている Python Twisted Web、BIND、OpenSSL のセキュリティアップデート (RHSA-2016:1978、RHSA-2016:1944、RHSA-2016:1940) がリリースされました。

Python Twisted Web のアップデートでは、クライアントが指定したヘッダ Proxy の値を環境変数 HTTP_PROXY として参照してしまう脆弱性 (CVE-2016-1000111) を解決しています。また、BIND、OpenSSL のアップデートでは、BIND 9.10.4-P3、9.9.9-P3 で解決した脆弱性 (CVE-2016-2776)、OpenSSL 1.0.2i で解決した脆弱性 (CVE-2016-2177 〜 CVE-2016-2182、CVE-2016-6302、CVE-2016-6304、CVE-2016-6306) に対応しています。

制御システム製品

American Auto-Matrix 製品 (2016/09/29)

商業施設、重要製造業、エネルギー、上下水道分野などで利用されている米 American Auto-Matrix (aamatrix.com) のビル管理ソリューション用アプリケーションである Aspect-Nexus、Aspect-Matrix には、情報漏洩を許してしまう脆弱性が存在します。この問題は、設定ファイルなどの読み取りが可能であること (CVE-2016-2307)、パスワードなどのアカウント情報が平文のまま格納されていること (CWE-256)(CVE-2016-2308) に起因しています。

Siemens の SCALANCE M-800、S615 (2016/09/27)

化学、重要製造業、エネルギー、農業・食料、輸送、上下水道分野などで利用されている独 Siemens (siemens.com) のセキュリティ統合ルータ SCALANCE M-800、セキュリティモジュール SCALANCE S615 には、情報漏洩を許してしまう脆弱性 (CVE-2016-7090) が存在します。この問題は、組み込みの Web サーバが secure 属性なしでも Cookie を使った重要なデータの通信ができてしまうことに起因しています。

担当:寺田、大西/HIRT