更新日:<2016.10.11>
iOS 10.0.2 では、iOS 10.0.1 で解決したカーネルメモリからの情報漏洩を許してしまう脆弱性 (CVE-2016-4655) に対応しています。
Thunderbird 45.4 では、メールアドレスの表示に関する不具合などを修正しています。リリース時点で、セキュリティアップデートの報告はありません。
Nexus 7000、7700 シリーズスイッチの Overlay Transport Virtualization (OTV) の実装には、バッファオーバーフローの脆弱性 (CVE-2016-1453) が存在します。この問題は、OTV のパケットヘッダサイズの検証が適切でないことに起因し、不正な OTV UDP パケットを受信した場合に任意のコード実行やサービス不能攻撃を許してしまう可能性があります。
NX-OS 系製品の SSH サブシステムには、SSH 通信のネゴシエーション処理中に、認証などのセキュリティ機構の迂回を許してしまう脆弱性 (CVE-2015-0721) が存在します。
BIND 9.11 は、バグの修正や改善を目的としたリリースで、Catalog Zones と呼ぶセカンダリサーバのゾーン転送手法の機能強化などが施されています。また、BIND 9.11 では、BIND 9.10.4-P3、9.10.4-P2 で解決したサービス不能攻撃を許してしまう脆弱性 (CVE-2016-2776、CVE-2016-2775) に対応しています。
DHCP 4.3.5、4.1-ESV-R14 は、バグの修正や改善を目的としたリリースです。エラーメッセージの修正、リースを放棄するまでの時間 (abandon-lease-time) などの機能拡張が施されています。
Tomcat から Java Native Interface (JNI) 経由で Apache Portable Runtime (APR) を利用するためのライブラリである Tomcat Native 1.2.10 がリリースされました。このリリースでは、Windows 版バイナリを OpenSSL 1.0.2j と APR 1.5.2 に対応させています。
Apache をはじめとした HTTP サーバと連携して、アプリケーションサーバに接続する Tomcat Connectors 1.2.42 がリリースされました。バグの修正や改善を目的としたリリースです。
VMware Horizon View には、ディレクトリトラバーサルに起因して情報漏洩を許してしまう脆弱性 (CVE-2016-7087) が存在します。
Squid 3.5.22 は、バグの修正を目的としたリリースです。古い Date ヘッダの無視、セグメンテーション違反、ICAP 処理での NULL ポインタ参照 (NULL pointer dereference:CWE-476)の不具合などを修正しています。セキュリティアップデートは含まれていません。
Red Hat Enterprise Linux Server に搭載されている Thunderbird、Tomcat6、カーネルのセキュリティアップデート (RHSA-2016:1985、RHSA-2016:2045、RHSA-2016:2006) がリリースされました。
Thunderbird のアップデートでは、Thunderbird ESR 45.4 で解決した脆弱性 (CVE-2016-5257) に対応しています。Tomcat6 では、アクセス権限の昇格につながる脆弱性 (CVE-2016-6325)、中間者攻撃や不正なサーバに誘導できる脆弱性 (CVE-2016-5388)、Tomcat 7.0.65、7.0.68 で解決した脆弱性に対応しています。カーネルでは、アクセス権限の昇格、サービス不能攻撃などを許してしまう脆弱性を解決しています。
公共衛生・ヘルスケア分野などで利用されている米 Animas(animas.com) の OneTouch Ping インスリンポンプには、情報漏洩、不正アクセスを許してしまう複数の脆弱性が存在します。報告されている脆弱性は、ポンプとリモートコントローラの間の通信が暗号化されていない問題 (CVE-2016-5084)、ペアリングにランダムさが不十分な値を用いている問題 (CVE-2016-5085)、リプレイ攻撃によるコマンド実行を許してしまう問題 (CVE-2016-5086) です。
化学、エネルギー分野などで利用されている米 GE Power (gepower.com) の Bently Nevada 3500には、複数のポートがアクセス可能なために、権限の昇格を伴った不正アクセスを許してしまうを許してしまう脆弱性 (CVE-2016-5788) が存在します。
重要製造業、エネルギー、上下水道分野などで利用されている独 Beckhoff(beckhoff.com) の組み込み型 PC と TwinCAT (The Windows Control and Automation Technology) には、ADS (Automation Device Specification) プロトコルを利用してブルートフォース攻撃を許してしまう問題 (CVE-2014-5414)、リモートディスプレイサービス、telnet などの不要なサービスが稼働している問題 (CVE-2014-5415) が存在します。組み込み型 PC、TwinCAT は、制御システムを、PC ベースシステムに構築する製品です。
上下水道分野などで利用されているセルビア INDAS(indasengineering.com) の Web SCADA には、ディレクトリトラバーサル問題 (CWE-22) に起因して情報漏洩を許してしまう脆弱性 (CVE-2016-8343) が存在します。
担当:寺田、大西/HIRT