更新日:<2016.11.28>
Thunderbird 45.5 では、メール宛先入力の操作の変更、Twitter の文字制限の変更に対応し、メールアドレスの表示に関する不具合などを修正しています。リリース時点で、セキュリティアップデートの報告はありません。
Java SE 8 Update 111 (2016/10/18 リリース) から、弱いアルゴリズムと鍵による署名は無視し、JAR ファイルは署名されていないものとして扱うようになりました。MD2、1024 ビットより小さい RSA 鍵による署名が対象となります。また、2017年 1月から、MD5 が弱いアルゴリズムと鍵による署名の対象となる予定です。
化学、重要製造業、農業・食料分野などで利用されている独 Siemens (siemens.com) の SIMATIC CP 343-1/CP 443-1 イーサーネット通信モジュール、SIMATIC S7-300/S7-400 CPU のファームウェアには、同梱されている Web サーバの認証処理での確認が適切でないために、不正アクセスを許してしまう脆弱性 (CVE-2016-8672)、HTTPS 通信の際にクッキーのセキュア属性が設定されない問題 (CVE-2016-8673) が存在します。
化学、エネルギー、農業・食料、上下水道分野などで利用されている独 Siemens (siemens.com) の SIMATIC CP 1543-1 イーサーネット通信モジュールには、アクセス権限の昇格を許してしまう脆弱性 (CVE-2016-8561)、サービス不能攻撃を許してしまう脆弱性 (CVE-2016-8562) が存在します。サービス不能攻撃については、ある条件下で、ポート番号 161/tcp を経由した SNMP 書き込みが可能となることに起因しています。
Ruby 2.3.3 は、バグの修正や改善を目的としたリリースで、Ruby 2.3.2 のリリースで作り込まれてしまった不具合など 4 件を修正しています。セキュリティアップデートは含まれていません。
VMware vCenter Server、VMware vSphere Client、vRealize Automation には、外部に置かれたファイルを呼び出す XXE (XML eXternal Entity) の脆弱性 (CVE-2016-7458、CVE-2016-7459、CVE-2016-7460) が存在します。脆弱性を悪用された場合、情報漏洩やサービス不能攻撃を許してしまう可能性があります。
VMware Identity Manager には、情報漏洩を許してしまう脆弱性 (CVE-2016-5334) が存在します。脆弱性を悪用された場合、/SAAS/WEB-INF、/SAAS/META-INF フォルダに格納されている設定ファイルにアクセスされてしまう可能性があります。
NTP 4.2.8p9 では、10 件の脆弱性を解決しています。報告された脆弱性は、サービス不能攻撃 (CVE-2016-9311、CVE-2016-7427、CVE-2016-7428、CVE-2016-9312)、情報漏洩 (CVE-2016-9310)、アクセス制御やセキュリティ機構の迂回を許してしまう問題 (CVE-2016-7429、CVE-2016-7426) などです。このうち、深刻度高の脆弱性 (CVE-2016-9312) は、ntpd が大きいサイズの UDP パケットを受信した場合に、サービス不能攻撃を許してしまう問題で、Windows 環境でのみ影響を受けるというものです。
担当:寺田、大西/HIRT
