チェックしておきたい脆弱性情報 ＜2016.10.24＞

2013年 5 月以前にリリースされた BIND 9.x (BIND 9.9.0 〜 9.9.3rc1、9.1.0 〜 9.8.5rc1) には、パケットの処理の不具合に起因して、サービス不能攻撃を許してしまう脆弱性 (CVE-2016-2848) が存在します。不正なオプションを伴ったパケットを受信した場合に named が異常終了する可能性があります。なお BIND を開発するインターネットシステムズコンソーシアム (ISC) は、9.0 系〜 9.8 系のサポートは終了していることから、セキュリティパッチはリリースしないとしています。

• BIND 9 Security Vulnerability Matrix
• CVE-2016-2848: A packet with malformed options can trigger an assertion failure in ISC BIND versions released prior to May 2013 and in packages derived from releases prior to that date
• BIND 9.x の脆弱性 (DNS サービスの停止) について (CVE-2016-2848) 〜 フルリゾルバー (キャッシュ DNS サーバ) ／権威 DNS サーバの双方が対象、対象となるディストリビューション・バージョンに要注意 〜

Struts 2.3.31 では、Struts の Convention plugin に存在する、ディレクトリトラバーサルに起因して、任意のコード実行を許してしまう脆弱性 (CVE-2016-6795) を解決しています。影響を受けるバージョンは、2.3.20 〜 2.3.30 です。

また、開発環境で Config Browser を使用している場合には、情報漏洩を許してしまう可能性がありますので、アクセス制御などのセキュリティ設定を徹底する必要があります。

• Version Notes 2.3.31
• S2-042 Possible path traversal in the Convention plugin
• S2-043 Using the Config Browser plugin in production
• Security

このバージョンはバグの修正を目的としたリリースです。POST 処理、URL 検証処理の不具合などを解決しています。また、Apache Commons Collections 4.1、Apache Log4j 2.7 にアップデートしています。

• Version Notes 2.5.5

Firefox 49.0.2 では、サービス不能攻撃、情報漏洩を許してしまう脆弱性、1 件のセキュリティアドバイザリに含まれる計 2 件の脆弱性 (CVE-2016-5287、CVE-2016-5288) を解決しています。また、Flash プラグインの非同期レンダリング機能のサポート、起動時のネットワークの不具合などを修正しています。

• Firefox セキュリティアドバイザリ

Windows/Mac/Linux 版 54.0.2840.71 は、バグの修正を目的としたリリースで、セキュリティアップデートは含まれていません。

• Stable Channel Update for Desktop (54.0.2840.71)

Red Hat Enterprise Linux Server に搭載されている Java (java-1.8.0-openjdk)、BIND のセキュリティアップデート (RHSA-2016:2079、RHSA-2016:2093) がリリースされました。

Java のアップデートでは、Java SE 8 Update 111 で解決した脆弱性に対応しています。BIND では、2013年 5 月以前にリリースされた BIND 9.x に存在するサービス不能攻撃を許してしまう脆弱性 (CVE-2016-2848) を解決しています。

• Red Hat Enterprise Linux Server (v. 6) Security Advisories