チェックしておきたい脆弱性情報 ＜2016.11.14＞

Adobe Flash Player 23.0.0.207 では、計 9 件の脆弱性を解決しています。脆弱性は、型の取り違え (type confusion：CWE-843)、メモリの解放後使用 (use-after-free：CWE-416) に起因して任意のコード実行を許してしまう問題です。

• APSB16-37: Adobe Flash Player に関するセキュリティアップデート公開
• MS16-141: Adobe Flash Player のセキュリティ更新プログラム (3202790)

Windows 版 Adobe Connect には、クロスサイトスクリプティングの脆弱性 (CVE-2016-7851) が存在します。

• APSB16-35: Adobe Connect 用のセキュリティアップデート公開

2016年11月の月例セキュリティアップデートでは、14 件のセキュリティ更新プログラムが公開されました。これらにより、61 件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス不能攻撃、アクセス権限の昇格、情報漏洩、セキュリティ機構の迂回です。

• 2016年11月のセキュリティ情報

商業施設、重要製造業、エネルギー、上下水道分野などで利用されている独 Phoenix Contact Software (phoenixcontact.com) の ILC(Inline Controller) PLC には、パスワードなどのアカウント情報が平文のまま格納されている問題 (CVE-2016-8366)、認証機構の迂回を許してしまう問題 (CVE-2016-8371)、Web サーバのアクセス制御が適切でないために、PLC の非公開領域に対しての読み書きを許してしまう問題 (CVE-2016-8380) が存在します。

• ICSA-16-313-01: Phoenix Contact ILC PLC Authentication Vulnerabilities

情報技術分野などで利用されている米 CA(ca.com) の Web ベースの SCADA システムである Unified Infrastructure Management には、".." のような相対記述によるディレクトリトラバーサル問題 (CVE-2016-5803) が存在します。

• ICSA-16-315-01: CA Unified Infrastructure Management Directory Traversal Vulnerability

上下水道、化学、エネルギー、農業・食料分野などで利用されている独 Siemens (siemens.com) の産業用製品 SIMATIC WinCC、SIMATIC STEP 7、SINEMA Remote Connect Client、SINEMA Server、SIMATIC WinAC RTX、SIMATIC IT Production Suite、TeleControl Server Basic、SOFTNET Security Client、SIMIT、Security Configuration Tool (SCT)、Primary Setup Tool (PST) には、引用符で囲まれていないプログラムパスを悪用された場合に、アクセス権限の昇格を許してしまう脆弱性 (CVE-2016-7165) が存在します。

• ICSA-16-313-02: Siemens Industrial Products Local Privilege Escalation Vulnerability

米 OSIsoft (osisoft.com) の PI 製品であるアセットフレームワーククライアント、ソフトウェア開発キット、バッファサブシステム、データアーカイブには、エンドポイントとしての機能設計が適切でないために、サービス不能攻撃を許してしまう脆弱性 (CVE-2016-8365) が存在します。

• ICSA-16-313-03: OSIsoft PI System Incomplete Model of Endpoint Features Vulnerability

OpenSSL 1.1.0c では、ChaCha20/Poly1305 の暗号処理に存在するヒープバッファオーバーフローに起因してサービス不能攻撃を許してしまう問題 (CVE-2016-7054)、暗号メッセージ構文の解析処理に存在するサービス不能攻撃を許してしまう問題 (CVE-2016-7053)、不具合によりモンゴメリ乗算が正しくない結果を導いてしまう問題 (CVE-2016-7055) を解決しています。

• OpenSSL 1.1.0 Series Release Notes
• OpenSSL Security Advisory [10 Nov 2016]

PHP 7.0.13 では、Core、GD、SOAP などのコンポーネントに存在する計 26 件の不具合を修正しています。PHP 5.6.28 では、同様のコンポーネントに存在する計 16 件の不具合を修正しています。いずれも、スタックオーバーフロー (CWE-121)、整数オーバーフローなどに起因する問題が含まれています。

• PHP 7.0.13 Released
• PHP 5.6.28 Released

これらのバージョンは、バグの修正や改善を目的としたリリースです。HTTP ヘッダ処理での DEL 文字の取り扱い修正、HTTP 要求で使用できる文字チェック機能の追加などの強化を施しています。また、Tomcat 8.5.8 では、HTTP/2 実装の改善を図っています。

• Changelog Tomcat 8.5.8
• Changelog Tomcat 8.0.39 (violetagg)
• Changelog Tomcat 7.0.73 (violetagg)
• Changelog Tomcat 6.0.48 (violetagg)

VMware Workstation Pro/Player、VMware Fusion Pro/Fusion のドラッグアンドドロップ処理には、領域外へのメモリアクセスを許してしまう脆弱性 (CVE-2016-7461) が存在します。悪用された場合、コード実行が可能となります。

• VMSA-2016-0019: VMware Workstation and Fusion updates address critical out-of-bounds memory access vulnerability

VMware Identity Manager、vRealize Automation、vRealize Operations には、アクセス権限の昇格を許してしまう脆弱性 (CVE-2016-5195) が存在します。この問題は、Linux カーネルのメモリサブシステムに存在する copy-on-write (COW) 処理での競合に起因するもので、Dirty COW 問題とも呼ばれているものです。

• VMSA-2016-0018: VMware product updates address local privilege escalation vulnerability in Linux kernel

Red Hat Enterprise Linux Server に搭載されている SELinux ポリシー管理のための policycoreutils、GnuPG 系の汎用暗号化ライブラリ libgcrypt、Java (java-1.7.0-openjdk) のセキュリティアップデート (RHSA-2016:2702、RHSA-2016:2674、RHSA-2016:2658) がリリースされました。

policycoreutils では、サンドボックス機構の迂回を許してしまう脆弱性 (CVE-2016-7545) を解決しています。libgcrypt では、生成される疑似乱数の予測を許してしまう脆弱性 (CVE-2016-6313) を解決しています。Java のアップデートでは、Java SE 7 Update 121 で解決した脆弱性に対応しています。

• Red Hat Enterprise Linux Server (v. 6) Security Advisories

Red Hat Enterprise Linux 4 の延長サポート、Red Hat Enterprise Linux 5 の通常サポートが 2017年 3月31日に終了します。

• IPA ：「 Red Hat Enterprise Linux 4 および 5 」が 2017年 3月31日 同時サポート終了

10 件のセキュリティノートがリリースされています。

• SAP Security Patch Day - November 2016
• SAP Support Portal

• HIRT-PUB
• 活動参考資料
• CSIRTメモ