更新日:<2017.01.09>
重要製造業、農業・食料、上下水道分野などで利用されている米 Rockwell Automation (rockwellautomation.com) の ControlLogix 5000 系のファームウェアには、不正な CIP(Common Industrial Protocol) パケットを受信した際に、バッファーオーバーフローに起因して、任意のコード実行やサービス不能攻撃を許してしまう脆弱性 (CVE-2016-9343) が存在します。ControlLogix 5000 系は、開発環境を備えた制御エンジンを搭載したプログラマブルコントローラ製品です。
農業・食料、上下水道分野などで利用されている米 Rockwell Automation (rockwellautomation.com) の MicroLogix 1100 と 1400 には、パスワードなどの重要な情報を平文のまま転送している問題 (CVE-2016-9334)、管理者権限の付与 (CWE-732) が適切でない問題 (CVE-2016-9338) が存在します。MicroLogix 1100 と 1400 は、ネットワーク通信機能、オンライン編集機能、液晶ディスプレイを備えた小型の PLC (Programmable Logic Controller) です。
2016年12月31日、OpenSSL 1.0.1 のサポート終了がアナウンスされました。OpenSSL 1.1.0 (2018年 8月31日サポート終了予定)、OpenSSL 1.0.2 (2019年12月31日サポート終了予定) へのアップグレードを推奨しています。
Samba 4.4.9 では、ctdb 関連、nss_wins、s3-smbd、s3-winbind モジュールなどに存在する 20 件の不具合を修正しています。セキュリティアップデートは含まれていません。
1月 5日、Tomcat 8.5.9 で解決した脆弱性 (CVE-2016-8745) が、Tomcat 8.0.0.RC1 〜 8.0.39、7.0.0 〜 7.0.73、6.0.16 〜 6.0.48にも存在すること、Tomcat 8.0.40、7.0.74、6.0.49 で脆弱性 (CVE-2016-8745) を解決することが報告されました。なお、報告時点で、これらバージョンはリリースされていません。
12月12日、Tomcat 8.5.9 で解決した脆弱性情報が掲載されました。報告された脆弱性は、NIO HTTP コネクタのファイル送信コードに存在する問題 (CVE-2016-8745) で、セッション ID やレスポンス本体などの情報が他のセッションに漏洩してしまう可能性があります。
Red Hat Enterprise Linux Server に搭載されている PostScript 文書用のツールである ghostscript のセキュリティアップデート (RHSA-2017:0014) では、不正な PostScript 文書を処理した際に、情報漏洩を許してしまう脆弱性 (CVE-2013-5653、CVE-2016-7977)、任意のコード実行あるいは、サービス不能攻撃を許してしまう脆弱性 (CVE-2016-7979、CVE-2016-8602) を解決しています。
担当:寺田、大西/HIRT