更新日:<2016.10.17>
Adobe Reader ならびに Acrobat のバージョン XI (11.0.18)、Acrobat Reader DC ならびに Acrobat DC (15.020.20039 / 15.006.30243) では、任意のコード実行、セキュリティ機構の迂回を許してしまう脆弱性、計 71 件の脆弱性を解決しています。任意のコード実行を許してしまう脆弱性は、メモリの解放後使用 (use-after-free:CWE-416)、メモリ破損 (memory corruption:CWE-119)、ヒープバッファオーバーフローと整数オーバーフローに起因しています。
Adobe Flash Player 23.0.0.185 では、計 12 件の脆弱性を解決しています。脆弱性は、型の取り違え (type confusion:CWE-843)、メモリの解放後使用 (use-after-free:CWE-416)、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題、セキュリティ機構の迂回により情報漏洩を許してしまう問題です。
ミーティングサーバの XMPP(Extensible Messaging and Presence Protocol) 処理に認証機構の迂回を許してしまう脆弱性が存在します。XMPP は、インスタントメッセンジャがメッセージの交換などに使う、XML ベースのプロトコルです。
2016年 10 月の月例セキュリティアップデートでは、10 件のセキュリティ更新プログラムが公開されました。これらにより、35 件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、アクセス権限の昇格、情報漏洩、セキュリティ機構の迂回です。
バージョン 54 がリリースされました。Windows/Mac/Linux 版 54.0.2840.59 では、メモリの解放後使用 (use-after-free:CWE-416)、領域外のメモリ参照 (out-of-bounds read:CWE-125)、ユニバーサルクロスサイトスクリプティング (UXSS)、URL スプーフィングなど、計 21 件の脆弱性 (CVE-2016-5181 〜 CVE-2016-5193 他) を解決しています。
PHP 7.0.12 では、GD、OpenSSL、PCRE、セッション、SOAP などのコンポーネントに存在する計 45 件の不具合を修正しています。PHP 5.6.27 では、フィルタ、GD、OpenSSL、PCRE、セッションなどのコンポーネントに存在する計 38 件の不具合を修正しています。いずれも、NULL ポインタ参照 (NULL pointer dereference:CWE-476)、メモリの解放後使用 (use-after-free:CWE-416)、ヒープオーバーフロー (CWE-122)、整数オーバーフローなどに起因する問題が含まれています。
Tomcat 6.0.46 では、中間者攻撃や不正なサーバに誘導できる脆弱性 (CVE-2016-5388) を解決するため、環境変数として参照する HTTP ヘッダを規定する envHttpHeaders パラメタが導入されました。脆弱性は、クライアントが指定したヘッダ Proxy の値を環境変数 HTTP_PROXY として参照してしまうことに起因しています。また、Windows 版バイナリを OpenSSL 1.0.2j に対応させるために、Tomcat Native 1.2.10 にアップデートするなどの強化を施しています。ただし、このバージョンは、リリースされていません。
Tomcat 6.0.47 は、バグの修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。
MySQL Community Server 5.7.16、5.6.34、5.5.53 では、secure_file_priv 値が NULL に変更となり、デフォルトでは、エスクポート、インポート操作が無効となりました。また、yaSSL のバージョンを 2.4.2 にアップデートしています。
OpenSSL ライブラリをリンクしている MySQL Commercial Server については、OpenSSL のバージョンを 1.0.1u にアップデートしています。
カナダ Sierra (sierrawireless.com) の無線システム製品である S300、GX400、GX/ES440、GX/ES450、RV50 に、IoT マルウェア Mirai 感染防止に関する注意喚起が発行されました。
IoT マルウェア Mirai は、2016年 9 月に、620Gbps の DDoS 攻撃 (米国)、1.1 〜 1.5TbpsのDDoS 攻撃 (フランス) に利用され注目を集めました。また、10 月上旬に Mirai のソースコードが公開されたことなどから、10 月 12 日に、ICT-CERT から Sierra 製品への注意喚起が発行され、10 月 14 日には、US-CERT から注意喚起が発行されています。
スウェーデン Kabona AB (kabona.com) の WDC(WebDatorCentral) には、クロスサイトスクリプティング (CWE-79)(CVE-2016-8356)、任意の URL にリダイレクトしてしまうオープンリダイレクト (CVE-2016-8376)、ブルートフォース攻撃により認証機能の迂回を許してしまう問題 (CWE-307)(CVE-2016-8347) が存在します。WDC は、商業施設分野などで利用されている空調用設備向けの Web ベース監視運用システムです。
商業施設、重要製造業分野などで利用されている台湾 Fatek Automation (fatek.com) の HMI プログラミングソフトウェアである PM Designer、FV Designer には、メモリ破損 (memory corruption:CWE-119) やバッファオーバーフローに起因して、不正なパケットを受信した際に任意のコード実行やサービス不能攻撃を許してしまう脆弱性 (CVE-2016-5796、CVE-2016-5798) が存在します。
商業施設、エネルギー分野などで利用されている、台湾 MOXA (moxa.com) の産業用イーサネットスイッチ ioLogik E1200 シリーズには、クロスサイトスクリプティング (CWE-79)(CVE-2016-8359)、認証情報の転送が適切でない問題 (CVE-2016-8372)、短いパスワード長問題 (CVE-2016-8379)、クロスサイトリクエストフォージェリ (CVE-2016-8350) が存在します。
重要製造業、エネルギー、上下水道分野などで利用されている米 Rockwell Automation (rockwellautomation.com) の産業用イーサネットスイッチ Allen-Bradley Stratix には、エラーメッセージからの情報漏洩 (CVE-2016-6393)、不適切な入力確認 (CWE-20) に起因してサービス不能攻撃を許してしまう脆弱性 (CVE-2016-6382、CVE-2016-6380、CVE-2016-6385) が存在します。
化学、エネルギー、農業・食料、上下水道分野などで利用されている独 Siemens (siemens.com) の SIMATIC STEP7 TIA ポータルには、ポータルが管理するデータの暗号化に関連し、情報漏洩を許してしまう脆弱性 (CVE-2016-7959、CVE-2016-7960) が存在します。
エネルギー、公共衛生・ヘルスケア分野などで利用されている独 Siemens (siemens.com) のライセンス管理パッケージである Automation License Manager には、サービス不能攻撃を許してしまう脆弱性 (CVE-2016-8563)、SQL インジェクション (CVE-2016-8564)、ディレクトリトラバーサル問題 (CWE-22) に起因して情報漏洩を許してしまう脆弱性 (CVE-2016-8565) が存在します。ポート番号 4410/TCP で稼働する Automation License Manager が不正なパケットを受信した場合に脆弱性を悪用される可能性があります。
米 OSIsoft (osisoft.com) の PI Web API には、アクセス制御の迂回を許してしまう脆弱性 (CVE-2016-8353) が存在します。PI Web API は、PI 製品からのデータ収集や書き込みなどを提供する Web サービス API 製品で、重要インフラ分野で利用されています。
担当:寺田、大西/HIRT