更新日:<2017.11.27>
Thunderbird 52.5 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、情報漏洩を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 3 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。
通信、重要製造業、情報技術で利用されている独 Phoenix Contact Software (phoenixcontact.com) の WPA2 プロトコルを使用可能な無線機器には、KRACK (Key Reinstallation Attacks) 問題で報告された暗号化処理における Nonce や鍵ペアの再利用 (CWE-323) の脆弱性 (CVE-2017-13077、CVE-2017-13078、CVE-2017-13080) が存在します。
PHP 7.1.12、7.0.26 では、Core、Enchant、Exif、GD 2、Mysqli、Opcache、OpenSSL などのコンポーネントに存在する計 17 件の不具合を修正しています。
Samba 4.7.3、4.6.11、4.5.15 では、不正な SMB1 要求を処理する際にメモリの解放後使用 (use-after-free:CWE-416) が発生する問題 (CVE-2017-14746) と、ヒープメモリ上の情報漏洩を許してしまう脆弱性 (CVE-2017-15275) を解決しています。
Tomcat から Java Native Interface (JNI) 経由で Apache Portable Runtime (APR) を利用するためのライブラリである Tomcat Native 1.2.16 がリリースされました。このリリースでは、OCSP(Online Certificate Status Protocol) 処理の不具合を修正し、Windows 版バイナリを OpenSSL 1.0.2m と APR 1.6.3 に対応させています。
Struts 2.5.14 は、不具合の修正を目的としたリリースです。Windows 10上のJava 9環境で実行できない問題の修正、FreeMarker、Log4j2、com.fasterxml.jackson、net.sf.json-lib、Springのアップグレード対応などを施しています。
担当:寺田、大西/HIRT
