更新日:<2017.04.17>
Thunderbird 52.0.1 では、McAfee のウイルス対策ソフトアドオン、メールに記載されたリンクをクリックしたときに、外部ビューアを起動しない動作不具合を対応しています。セキュリティアップデートは含まれていません。
Thunderbird 52.0 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、情報漏洩、なりすましを許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 23 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。
Reader ならびに Acrobat のバージョン XI (11.0.20)、Acrobat Reader DC ならびに Acrobat DC (2017.009.20044 / 2015.006.30306) では、任意のコード実行、メモリアドレスの漏えいを許してしまう脆弱性、計 47 件の脆弱性を解決しています。任意のコード実行を許してしまう脆弱性 (CVE-2017-3011〜CVE-2017-3019、CVE-2017-3023〜CVE-2017-3028、CVE-2017-3030、CVE-2017-3034〜CVE-2017-3042、CVE-2017-3044、CVE-2017-3047〜CVE-2017-3051、CVE-2017-3054〜CVE-2017-3057、CVE-2017-3065) は、メモリの解放後使用 (use-after-free:CWE-416)、ヒープオーバーフロー (CWE-124)、メモリ破損 (memory corruption:CWE-119)、整数オーバーフロー/繰り上げ (CWE-190)に起因しています。
Adobe Flash Player 25.0.0.148 では、計 7 件の脆弱性を解決しています。脆弱性は、メモリの解放後使用 (use-after-free:CWE-416)、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題 (CVE-2017-3058 〜 CVE-2017-3064) です。
2017年 4月の月例セキュリティアップデートでは、46 件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行 15 件、サービス不能 10 件、アクセス権限の昇格 8 件、なりすまし 1 件、情報漏洩 9 件、セキュリティ機構の迂回 3 件です。
マルウェア BrickerBot 感染防止に関する注意喚起が発行されました。BrickerBot は、ストレージの破損や機器の設定変更により、ハードウェアが機能しなくなるように設計されたボットです。BusyBox や Dropbear SSH server を攻撃対象とし、SSH 経由での侵害を試みる BrickerBot.1、Linux 搭載機器を攻撃対象とし、telnet 経由での侵害を試みる BrickerBot.2 が報告されています。
商業施設分野などで利用されている仏 Schneider Electric (schneider-electric.com) の産業加工やインフラ用 PLC (Programmable Logic Contoller) である Modicon M221 PLC と、プログラミング統合ソフトウェアツール SoMachine Basic には、重要な情報が格納されたプロジェクトファイルなどの暗号化をハードコーディングされているパスワードを用いている問題 (CVE-2017-7574)、PLC のポート番号 502/TCP に Modbus 通信を利用して不正なコマンドを送付すると、重要な情報が格納されたプロジェクトファイルなどへのアクセスを許してしまう問題 (CVE-2017-7575) が存在します。
中国 WECON の LeviStudio には、不正なプロジェクトファイルを実行した際に、バッファーバーフローに起因して、任意のコード実行やサービス不能攻撃を許してしまう脆弱性 (CVE-2017-6037、CVE-2017-6035) が存在します。LeviStudio は、HMI プログラミングソフトウェアで、重要製造業分野などで利用されています。
Modicon Modbus プロトコルを実装している、仏 Schneider Electric (schneider-electric.com) の産業加工やインフラ用 PLC (Programmable Logic Contoller) である Modicon PLC には、起動、停止、アップロード、ダウンロードなどのコマンドのリプレイ攻撃 (CVE-2017-6034) や、セッションへのブルートフォース攻撃に対して強固ではないという問題 (CVE-2017-6032) が存在します。リプレイ攻撃は、Modicon Modbus プロトコル上で重要な情報が平文で転送されていることに起因しています。Modicon Modbus プロトコルを実装している Modicon PLC は、重要製造業、防衛産業基盤、エネルギー、農業・食料、政府施設、原子炉・核物質・核廃棄物、輸送、上下水道分野などで利用されています。
HiRDB Control Manager - Server、HiRDB Server には、Apache Struts 2 の Jakarta Multipart parser の任意のコード実行を許してしまう脆弱性 (CVE-2017-5638) が存在します。
JP1/IT Desktop Management 2 - Smart Device Manager、Job Management Partner 1/IT Desktop Management 2 - Smart Device Manager の TLS プロトコルで使用されている RC4 アルゴリズムには平文回復攻撃を許してしまう脆弱性 (CVE-2013-2566、CVE-2015-2808)、DES および Triple DES 暗号には、SWEET32 攻撃を許してしまう脆弱性 (CVE-2016-2183) が存在します。
BIND 9.11.0-P5、9.10.4-P8、9.9.9-P8 では、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-3136 〜 CVE-2017-3138) を解決しています。DNS64 の内部処理 (CVE-2017-3136)、不正な CNAME または DNAME レコードが含まれる DNS 応答の処理 (CVE-2017-3137)、制御チャンネルの入力処理 (CVE-2017-3138) の不具合により、named が異常終了するというものです。BIND 9.8.0 以降に影響があります。なお BIND を開発するインターネットシステムズコンソーシアム (ISC) は、9.0 系〜 9.8 系のサポートは終了していることから、セキュリティパッチはリリースしないとしています。
PHP 7.1.4、7.0.18 では、Core、Date、DOM、OpenSSL、PDO MySQL、zlib などのコンポーネントに存在する計 16 件、11 件の不具合を修正しています。OpenSSL での non-blocking SSL ソケット動作の不具合、Zlib では過多のメモリ割り当てなどが含まれています。
MySQL Community Server 5.7.18 では、Oracle Key Vault と連携する keyring_okv プラグインで、SafeNet KeySecure キー マネジメントアプライアンスが使用できるようになりました。5.6.36、5.5.55 では、セキュリティ関連の変更として、mysql_options 関数で、MYSQL_OPT_SSL_MODE オプションをサポートするようになりました。また、OpenSSL ライブラリをリンクしている MySQL Commercial Server については、OpenSSL のバージョンを 1.0.2k にアップデートしています。
VMware vCenter Server には、不正な Java オブジェクトのデシリアライズ処理により、任意のコード実行を許してしまう脆弱性 (CVE-2017-5641) が存在します。この問題は、VMware vCenter Server が、BlazeDS を使用して AMF3 メッセージを処理することによるものです。
12 件のセキュリティノートがリリースされています。コードインジェクション、コマンド実行、認証機構の迂回、クロスサイトスクリプティング (CWE-79)、クロスサイトリクエストフォージェリ (CWE-352) を許してしまう脆弱性などが報告されています。
担当:寺田、大西/HIRT