更新日:<2016.12.26>
商業施設、重要製造業、エネルギー、輸送分野などで利用されている独 WAGO(wago.com) の Ethernet プログラマブルフィールドバスコントローラには、Web サーバへの不正な URL アクセスにより、認証機構の迂回を許してしまう脆弱性 (CVE-2016-9362) が存在します。
ビル用コントローラ製品で、商業施設分野などで利用されているフィンランド Fidelix の FX-20 シリーズコントローラには、ディレクトリトラバーサルに起因して情報漏洩を許してしまう脆弱性 (CVE-2016-9364) が存在します。
ビル管理向けの製品で、商業施設分野などで利用されている独 Siemens (siemens.com) の Desigo PX Web モジュールには、HTTPS 通信用の証明書を生成する鍵のエントロピーが十分ではないことに起因して、秘密鍵の推測を許してしまう脆弱性 (CVE-2016-9154) が存在します。
Cisco CloudCenter Orchestrator の Docker Engine の設定には、アクセス権限の昇格を許してしまう脆弱性 (CVE-2016-9223) が存在します。この問題は、外部からのアクセスに関する設定が適切でないために、任意の権限でコンテナ型仮想化技術である Docker コンテナのロードが可能となるというものです。悪用された場合、管理者権限への昇格を許してしまう可能性があります。
Apache httpd 2.4.24 では、サービス不能攻撃 (CVE-2016-2161、CVE-2016-8740)、中間者攻撃や不正なサーバに誘導できる脆弱性 (CVE-2016-5387)、Padding Oracle 攻撃が可能になる脆弱性 (CVE-2016-0736)、不正なクライアントやプロキシによるキャッシュ汚染を許してしまう HTTP 要求処理の脆弱性 (CVE-2016-8743) を解決しています。ただし、このバージョンは、リリースされていません。
Apache httpd 2.4.25 は、バグの修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。
OpenSSH 7.4、7.4p1 は、バグの修正を目的としたリリースです。このリリースでは、サーバでの SSH v.1 プロトコルのサポート終了、ssh コマンドでの暗号化アルゴリズム 3des-cbc のデフォルト使用停止、sshd での認証前の圧縮サポートの削除、ssh-agent での PKCS#11 モジュールの読み込みパスの制限などの変更が施されました。また、2017年 8月頃に SSH v1 プロトコルのサポート終了、暗号アルゴリズムについては、Blowfish、RC4、RIPE-MD160 HMAC、1024 ビット以下の RSA 鍵のサポート終了を明らかにしました。
VDP には、管理者権限で不正アクセスを許してしまう脆弱性 (CVE-2016-7456) が存在します。この問題は、VDP で鍵ベース認証を有効にすると、パスワードが既知の SSH 秘密鍵を利用できてしまうことに起因します。
ESXi ホストクライアントにはクロスサイトスクリプティングの脆弱性 (CVE-2016-7463) が存在します。
Red Hat Enterprise Linux Server に搭載されているエディタ Vim、マルチメディアフレームワーク GStreamer のプラグイン、Thunderbird のセキュリティアップデート (RHSA-2016:2972、RHSA-2016:2975、RHSA-2016:2974、RHSA-2016:2973) がリリースされました。
このアップデートでは、Thunderbird 45.6 で解決した脆弱性に対応しています。Vim では任意のコマンド実行を許してしまう脆弱性 (CVE-2016-1248)、GStreamer のプラグインでは任意のコード実行、サービス不能攻撃を許してしまう脆弱性を解決しています。
担当:寺田、大西/HIRT