更新日:<2017.03.20>
Firefox 52.0.1 では、Trend Micro's Zero Day Initiative 主催の Pwn2Own 2017 で発見された整数オーバーフロー、アクセス権限の昇格を許してしまう脆弱性を解決しています。また、ESR としてバージョン 52.0.1 がリリースされました。
Adobe Flash Player 25.0.0.127 では、計 7 件の脆弱性を解決しています。脆弱性は、メモリの解放後使用 (use-after-free:CWE-416)、バッファオーバーフロー、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題 (CVE-2017-2997 〜 CVE-2017-2999、CVE-2017-3001 〜 CVE-2017-3003)、情報漏洩を許してしまう問題 (CVE-2017-3000) です。
Adobe Shockwave Player 12.2.8.198 では、DLL (ダイナミックリンクライブラリ) ファイルを読み込む際に、攻撃者により細工された外部 DLL の読み込みを許してしまう問題 (DLL プリロード攻撃) が発生し得る脆弱性 (CVE-2017-2983) を解決しています。
Windows/Mac/Linux 版 57.0.2987.110 は、バグの修正とセキュリティアップデートを目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。
2017年 3月の月例セキュリティアップデートでは、18 件のセキュリティ更新プログラムが公開されました。これらにより、127 件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス不能、アクセス権限の昇格、情報漏洩、なりすまし、セキュリティ機構の迂回です。
Robert Bosch GmbH、STMicroelectronics、InvenSense Inc.、Analog Devices Inc.、村田製作所の MEMS (Micro-ElectroMechanical Systems) 加速度センサーには、ハードウェア設計上の欠陥が存在するとの注意喚起が発行されました。報告された問題は、特定の音響周波数で加速度計内の振動を誘発することで、予測可能な方法でセンサの出力を変更できるというものです。
化学、商業施設、エネルギー、農業・食料、輸送、上下水道分野などで利用されているブラジル LCDC (lcds.com.br) の LAquis SCADA には、アクセス制御が適切でないために、ファイルを改ざんすることでアクセス権限昇格を許してしまう脆弱性 (CVE-2017-6016) が存在します。LAquis SCADA は、データ収集、プロセスの監視など産業用オートメーションのための製品です。
商業施設、重要製造業分野などで利用されている台湾 Fatek Automation (fatek.com) の PLC Ethernet Module には、スタックオーバーフロー (CWE-121) に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2017-6023) が存在します。
Cisco IOS と IOS XE ソフトウェアの Autonomic Networking Infrastructure 機能には、不正な IPv6 パケットや autonomic network channel discovery パケットを受信した場合にサービス不能攻撃を許してしまう脆弱性 (CVE-2017-3850、CVE-2017-3849) が存在します。また、Software Cluster Management Protocol 処理には、任意のコード実行を許してしまう脆弱性 (CVE-2017-3881) が存在します。不正な CMP 仕様の Telnet オプションを使用してセッションが開始されると、脆弱性を悪用される可能性があります。
セキュリティ強化やサービス品質制御などの機能を提供する Wireless LAN Controller (WLC) 製品には、メッシュ構成で親アクセスポイントの認証が適切でないことに起因して、メッシュトポロジ内の WLC 偽装を許してしまう脆弱性 (CVE-2017-3854) が存在します。
アプリケーションのワークロードを管理する Workload Automation と、マルチプラットフォームでのジョブスケジューリングやアプリケーションを管理する Tidal Enterprise Scheduler の Client Manager サーバには、入力データの検証が適切でないために、不正な URL を受信した場合に、認証されていない攻撃者が任意のファイル取得を許してしまう脆弱性 (CVE-2017-3846) が存在します。
StarOS の SSH には、SSH、SFTP ログイン中のパラメタの検証が適切でないために、コマンドラインインタフェースを介して不正な入力を受け付けた場合、セキュリティ機構の迂回し、管理者権限でのアクセスを許してしまう脆弱性 (CVE-2017-3819) が存在します。
Mobility Express 1800 Access Point の Web インタフェースには、不正な HTTP 要求を受信した場合に、認証機構を迂回し、管理者権限でのアクセスを許してしまう脆弱性 (CVE-2017-3831) が存在します。
OpenSSH 7.5、7.5p1 は、バグの修正を目的としたリリースです。このリリースでは、CBC パディング関連の修正、OpenSSH クライアントでの CBC モードのデフォルト無効化、Cygwin 環境における sftp クライアントの脆弱性を解決しています。また、6 月〜 8 月のリリースで SSH v1 プロトコルのサポート終了、暗号アルゴリズムについては、Blowfish、RC4、RIPE-MD160 HMAC、クライアントでの CBC モード、1024 ビット以下の RSA 鍵のサポート終了を報告しています。
PHP 7.1.3、7.0.17 では、Apache、Core、Date、FPM、GD、Hash、Mysqlnd、Opcache、OpenSSL、Standard、Streams などのコンポーネントに存在する計 24 件、27 件の不具合を修正しています。いずれも、領域外のメモリ参照 (out-of-bounds read:CWE-125) に起因する問題が含まれています。
Tomcat 8.0.40、7.0.74、6.0.49 は、バグの修正や改善を目的としたリリースです。8.0.42、7.0.76 では、Java 9 用のアノテーションスキャンニング処理のコード導入、Windows 版バイナリを OpenSSL 1.0.2k に対応させるために、Tomcat Native 1.2.12 にアップデートなどを施しています。6.0.49 では、Windows 版バイナリを OpenSSL 1.0.2k に対応させるために、Tomcat Native 1.2.12 にアップデート、Windows インストーラ 3.01 に対応させるために、NSIS(Nullsoft Scriptable Install System) のアップデート、式言語 Unified Expression Language の改善などを施しています。リリース時点で、セキュリティアップデートの報告はありません。
VMware Workstation Pro / Player、Fusion Pro / Fusion のドラッグアンドドロップ機能には、領域外のメモリ参照 (out-of-bounds read:CWE-125) に起因して、任意のコード実行を許してしまう脆弱性 (CVE-2017-4901) が存在します。
3月 6日に公開された Apache Struts2 の Jakarta multipart parser に存在する任意のコード実行を許してしまう脆弱性 (CVE-2017-5638) について、Horizon Desktop as-a-Service プラットフォーム、VMware vCenter Server、vRealize Operations Manager、vRealize Hyperic Server に影響があります。
Red Hat Enterprise Linux Server に搭載されている OpenJPEG、Tomcat6、Thunderbird のセキュリティアップデート (RHSA-2017:0559、RHSA-2017:0527、RHSA-2017:0498) がリリースされました。OpenJPEG では、任意のコード実行やサービス不能攻撃を許してしまう 5 件の脆弱性を解決しています。また、Tomcat6 では、HTTP レスポンスの改ざん (CVE-2016-6816)、セッション ID やレスポンス本体などの情報が他のセッションに漏洩してしまう問題 (CVE-2016-8745) を解決しています。Thunderbird では、Thunderbird 45.8 で解決した脆弱性に対応しています。
25 件のセキュリティノートがリリースされています。
担当:寺田、大西/HIRT
