更新日:<2016.11.07>
iOS 10.1.1 では、iOS 10.1 で解決したコアグラフィックス、FaceTime、カーネル、セキュリティ、システムブート、WebKit などのコンポーネントに存在する計 16 件の脆弱性 に対応しています。
Windows/Mac/Linux 版 54.0.2840.87 では、領域外のメモリ参照 (out-of-bounds read:CWE-125) の脆弱性 (CVE-2016-5198) を解決しています。
エネルギー、重要製造業、上下水道分野などで利用されている仏 Schneider Electric (schneider-electric.com) の電力品質監視ユニット IONXXXX シリーズには、クロスサイトリクエストフォージェリ問題 (CVE-2016-5809)、認証のデフォルト設定が認証不要となっている問題 (CVE-2016-5815) が存在します。
重要製造業、農業・食料分野などで利用されている仏 Schneider Electric (schneider-electric.com) の端末ならびに産業用 PC である Magelis HMI には、サービス不能攻撃を許してしまう脆弱性 (CVE-2016-8367、CVE-2016-8374) が存在します。この問題は、同時に複数の Web サーバ通信を発生させたり、装置の再起動を発生させたりすることによる、通信妨害に関するものです。
商業施設、重要製造業、エネルギー、輸送分野などで利用されている台湾 MOXA (moxa.com) の産業用高速 IP ゲートウェイ OnCell の Web インタフェースには、認証処理の迂回により、情報漏洩を許してしまう脆弱性 (CVE-2016-8362)、任意の OS コマンド実行を許してしまう脆弱性 (CVE-2016-8363) が存在します。
商業施設、エネルギー分野などで利用されている仏 Schneider Electric (schneider-electric.com) のプログラミング統合ソフトウェアツール Unity PRO には、任意のコード実行を許してしまう脆弱性 (CVE-2016-8354) が存在します。この問題は、Unity project ファイルに記載された不正な x86 命令を PLC シミュレータが実行してしまうことに起因しています。
重要製造業、エネルギー、上下水道分野などで利用されている独 IBHsoftec (ibhsoftec.com) のソフトウェア PLC である S7-SoftPLC には、不正なパケットを受信した際に、ヒープバッファーオーバーフローに起因して、機密性、完全性、可用性に影響を与える脆弱性 (CVE-2016-8364) が存在します。
商業施設分野などで利用されている仏 Schneider Electric (schneider-electric.com) の産業用スイッチングハブ ConneXium の SNMP 認証処理には、スタックバッファーオーバーフローに起因して、任意のコード実行を許してしまう脆弱性 (CVE-2016-8352) が存在します。
JP1/Performance Management - Web Console、JP1/IT Desktop Management - Manager、Hitachi IT Operations Director、Hitachi Command Suite 製品、JP1/Automatic Operation には、サービス不能攻撃を許してしまう脆弱性 (CVE-2016-3092) が存在します。この脆弱性は、Apache Software Foundation が提供する Apache Commons FileUpload に起因する問題です。
JP1/IT Desktop Management 2 - Manager、JP1/NETM/DM には、任意のコマンド実行を許してしまう脆弱性が存在します。
Hitachi Device Manager の REST API サーバには、情報漏洩を許してしまう脆弱性 (CVE-2016-2107) が存在します。この脆弱性は、OpenSSL 1.0.2h、1.0.1t で解決した、AES-NI CBC MAC 処理に存在する中間者攻撃に関する問題です。
Cosminexus Developer's Kit for Java、Hitachi Developer's Kit for Java を構成部品として使用している Cosminexus 製品には、複数の脆弱性が存在します。脆弱性は、Java SE 8 Update 111 で解決した、2D、AWT、ホットスポット、ネットワーク、JMX、ライブラリコンポーネントに存在する脆弱性です。
ホームネットワーク管理の Prime Home には、URL に対するロールベースアクセス制御機能の処理エラーにより、認証機構の迂回を許してしまう脆弱性 (CVE-2016-6452) が存在します。悪用された場合、管理者権限でのアクセスが可能となります。
ミーティングサーバには任意のコード実行を許してしまう脆弱性 (CVE-2016-6448、CVE-2016-6447) が存在します。不正な SDP(Session Description Protocol) パケットや不正な IPv6 パケットを受信した場合に、脆弱性を悪用される可能性があります。
BIND 9.11.0-P1、9.10.4-P4、9.9.9-P4 では、サービス不能攻撃を許してしまう脆弱性 (CVE-2016-8864) を解決しています。脆弱性 CVE-2016-8864 は、DNS 応答 (DNAME レコードの answer secion) 処理の不具合により、named が異常終了するというものです。BIND 9.0.0 以降が稼働するキャッシュ DNS サーバに影響があります。コンテンツサーバ (権威 DNS サーバ) への影響は限定的です。なお BIND を開発するインターネットシステムズコンソーシアム (ISC) は、9.0 系〜 9.8 系のサポートは終了していることから、セキュリティパッチはリリースしないとしています。
2016年10月20日、DNS ルートサーバの一つである、g.root-servers.net (G-Root) に、IPv6 アドレス (2001:500:12::d0d) が追加されました。キャッシュ DNS サーバを運用している場合には、internic.net から新しいルートヒントファイルをダウンロードしてください。
Samba 4.3.12 では、ctdb 関連、smbd、vfs_acl 関連 モジュールなどに存在する 33 件の不具合を修正しています。セキュリティアップデートは含まれていません。
Red Hat Enterprise Linux Server に搭載されている BIND のセキュリティアップデート (RHSA-2016:2141) では、BIND 9.11.0-P1、9.10.4-P4、9.9.9-P4 で解決した脆弱性 (CVE-2016-8864) に対応しています。
担当:寺田、大西/HIRT