ページの本文へ

Hitachi
デジタルデジタル お問い合わせお問い合わせ

チェックしておきたい脆弱性情報 <2016.10.31>

更新日:<2016.10.31>

Tomcat 8.5.5、8.0.37、7.0.72、6.0.47 での脆弱性対策 (2016/10/27)

10 月27日、Tomcat 8.5.5、8.0.37、7.0.72、6.0.47 で解決した脆弱性情報が掲載されました。報告された脆弱性は 5 件で、アクセス制御が適切でない問題 (CVE-2016-6797)、セキュリティマネジャ機構の迂回 (CVE-2016-6796、CVE-2016-5018)、システムプロパティ情報の漏洩 (CVE-2016-6794)、タイミング攻撃によるユーザ名特定 (CVE-2016-0762) です。

米アドビ システムズ製品

Adobe Flash Player 23.0.0.205 リリース (2016/10/27)

Adobe Flash Player 23.0.0.205 では、メモリの解放後使用 (use-after-free:CWE-416) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2016-7855) を解決しています。

米アップル製品

Windows 用 iTunes 12.5.2 リリース (2016/10/27)

iTunes 12.5.2 では、WebKit コンポーネントに存在する情報漏えいや、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題 (CVE-2016-4613、CVE-2016-7578) を解決しています。

Windows 用 iCloud 6.0.1 リリース (2016/10/27)

iCloud 6.0.1 では、WebKit コンポーネントに存在する情報漏えいや、メモリ破損に起因して任意のコード実行を許してしまう問題 (CVE-2016-4613、CVE-2016-7578) を解決しています。

Xcode 8.1 リリース (2016/10/27)

Xcode 8.1 では、IDE Xcode Serverコンポーネントに存在するサービス不能攻撃や任意のコード実行などを許してしまう計 10 件の脆弱性を解決しています。

watchOS 3.1 リリース (2016/10/24)

watchOS 3.1 では、コアグラフィックス、カーネル、システムブート などのコンポーネントに存在するメモリ破損に起因して任意のコード実行などを許してしまう計 8 件の脆弱性などの問題点を解決しています。

tvOS 10.0.1 リリース (2016/10/24)

tvOS 10.0.1 では、コアグラフィックス、カーネル、システムブート、WebKit などのコンポーネントに存在する計 13 件の脆弱性を解決しています。対象となった脆弱性は、情報漏洩や、メモリ破損に起因して任意のコード実行などを許してしまう問題です。

Safari 10.0.1 リリース (2016/10/24)

Safari 10.0.1 では、WebKit コンポーネントに存在するメモリ破損に起因して任意のコード実行などを許してしまう問題、計 4 件の脆弱性を解決しています。

macOS Sierra 10.12.1 リリース (2016/10/24)

macOS Sierra 10.12.1 では、コアグラフィックス、FaceTime、セキュリティ、システムブートなどのコンポーネントに存在する計 19 件の脆弱性を解決しています。対象となった脆弱性は、情報漏洩、サービス不能攻撃、アクセス権限昇格や、メモリ破損に起因して任意のコード実行などを許してしまう問題です。

iOS 10.1 リリース (2016/10/24)

コアグラフィックス、FaceTime、カーネル、セキュリティ、システムブート、WebKit などのコンポーネントに存在する計 16 件の脆弱性を解決しています。対象となった脆弱性は、情報漏洩や、メモリ破損に起因して任意のコード実行などを許してしまう問題です。

米シスコ製品

IP Interoperability and Collaboration System (2016/10/26)

無線ネットワークの相互運用性を向上する IP Interoperability and Collaboration System の Universal Media Services には、不適切な認証 (CWE-287) に起因して設定の改ざんなどを許してしまう脆弱性 (CVE-2016-6397) が存在します。

Email Security Appliance (2016/10/26)

電子メールセキュリティのアプライアンス製品である Email Security Appliance には、電子メールフィルタ機能 (CVE-2016-1481、CVE-2016-6356)、Advanced Malware Protection 機能 (CVE-2016-1486) に、サービス不能攻撃を許してしまう複数の脆弱性が存在します。

Samba 4.5.1、4.4.7 リリース (2016/10/26)

Samba 4.5.1 では、ctdb 関連、kcc、s3-smbd、s3-winbindd、smbd、winbind モジュールなどに存在する 36 件の不具合を修正しています。Samba 4.4.7 では、ctdb 関連、s3-smbd、s3-winbindd モジュールなどに存在する 21 件の不具合を修正しています。セキュリティアップデートは含まれていません。

PostgreSQL 9.6.1、9.5.5、9.4.10、9.3.15、9.2.19、9.1.24 (2016/10/27)

これらのバージョンは、バグの修正を目的としたリリースです。データ削除に関連するエラーログ、ビッグエンディアン系機器で発生する pg_upgrade 動作に関する不具合を修正しています。

VMware 製品

VMware セキュリティアップデート: VMSA-2016-0017 (2016/10/25)

VMware Tools と VMware Fusion には、Mac OS X の仮想環境上で情報漏洩を許してしまう脆弱性 (CVE-2016-5328、CVE-2016-5329) が存在します。悪用された場合、Kernel address space layout randomization 機構を迂回して、カーネルメモリへのアクセスが可能となります。

VMware セキュリティアップデート: VMSA-2016-0016 (2016/10/11)

vRealize Operations には、アクセス権限の昇格を許してしまう脆弱性 (CVE-2016-7457) が存在します。悪用された場合、vRealize Operations のユーザが管理者権限相当の操作が可能となり、場合によっては、仮想環境の停止や削除が可能となります。

Red Hat Enterprise Linux Server (v.6)(2016/10/25)

Red Hat Enterprise Linux Server に搭載されている カーネルのセキュリティアップデート (RHSA-2016:2105) では、カーネルメモリサブシステムでの競合に起因してアクセス権限の昇格を許してしまう脆弱性 (CVE-2016-5195) を解決しています。

制御システム製品

Honeywell の Experion PKS (2016/10/27)

商業施設、重要製造業、エネルギー、上下水道分野などで利用されている米 Honeywell (honeywell.com) の Experion PKS (Process Knowledge System) には、不正なパケットを受信した場合に、サービス不能攻撃を許してしまうの脆弱性 (CVE-2016-8344) が存在します。Experion PKS は、プロセス知識を DCS の中に組み込んだ製品です。

Siemens の SICAM (2016/10/25)

化学、重要製造業、エネルギー分野などで利用されている独 Siemens (siemens.com) の SICAM 小型遠隔制御機器には、サービス不能攻撃を許してしまうの脆弱性 (CVE-2016-7987) が存在します。ポート番号 2404/TCP で不正なパケットを受信した場合に脆弱性を悪用される可能性があります。サービス不能攻撃は、defect モードに遷移させるというものです。

担当:寺田、大西/HIRT