更新日:<2017.06.19>
Thunderbird 52.2 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、なりすまし、セキュリティ機構の迂回を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 14 件の脆弱性を解決しています。
Firefox 54.0 では、任意のコード実行を許してしまう脆弱性、サービス不能攻撃、アクセス権限の昇格、情報漏洩、なりすまし、セキュリティ機構の迂回を許してしまう脆弱性など、1 件のセキュリティアドバイザリに含まれる計 24 件の脆弱性を解決しています。任意のコード実行はメモリ破損の問題に起因しています。また、ESR として 20 件の脆弱性を解決したバージョン 52.2 がリリースされました。
Adobe Flash Player 26.0.0.131 では、不具合を修正しています。セキュリティアップデートは報告されていません。
Adobe Flash Player 26.0.0.126 では、計 9 件の脆弱性を解決しています。脆弱性は、メモリの解放後使用 (use-after-free:CWE-416)、メモリ破損 (memory corruption:CWE-119) に起因して任意のコード実行を許してしまう問題 (CVE-2017-3075 〜 CVE-2017-3079、CVE-2017-3081 〜 CVE-2017-3084) です。
Adobe Shockwave Player 12.2.9.199 では、メモリ破損に起因して任意のコード実行を許してしまう脆弱性 (CVE-2017-3086) を解決しています。
Windows/Mac/Linux 版 59.0.3071.104 では、セキュリティ機構の迂回、領域外のメモリ参照 (out-of-bounds read:CWE-125)、なりすましを許してしまう問題など、計 5 件の脆弱性 (CVE-2017-5087 〜 CVE-2017-5089 他) を解決しています。
2017年 6月の月例セキュリティアップデートでは、101 件のマイクロソフト製品のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行 29 件、サービス不能 1 件、アクセス権限の昇格 10 件、なりすまし 1 件、情報漏洩 48 件、セキュリティ機構の迂回 10 件です。
情報技術分野などで利用されている米 Cambium Networks(cambiumnetworks.com) のネットワークアクセス制御製品である ePMP の SNMP 実装には、適切でないアクセス制御 (CWE-284)、適切でない権限管理に起因するに情報漏洩を許してしまう脆弱性 (CVE-2017-7918、CVE-2017-7922) が存在します。
米 OSIsoft (osisoft.com) の PI Web API には、クロスサイトリクエストフォージェリ問題 (CWE-352)(CVE-2017-7926) が存在します。PI Web API は、PI 製品からのデータ収集や書き込みなどを提供する Web サービス API 製品で、さまざまな分野で利用されています。
米 OSIsoft (osisoft.com) の PI 製品である PI Data Archive には、適切でない認証 (CWE-287) に起因して、情報の改ざんなどを許してしまう脆弱性 (CVE-2017-7930)、PI Network Manager を不正に動作させることを許してしまう脆弱性 (CVE-2017-7934) が存在します。PI Data Archive はデータアーカイブ、PI Network Manager はネットワーク接続管理製品です。
化学、重要製造業、エネルギー、農業・食料、輸送、上下水道分野などで利用されているカナダの Trihedral (trihedral.com) の VTScada には、リソース消費を意図するサービス不能攻撃を許してしまう問題 (CVE-2017-6043)、クロスサイトスクリプティング問題 (CWE-79)(CVE-2017-6045)、情報漏洩を許してしまう問題 (CVE-2017-6053) が存在します。VTScada は、可視化を配慮した制御システム向けの管理製品です。
Apache httpd 2.4.26 では、mod_ssl、mod_http2 モジュールに存在するサービス不能攻撃 (CVE-2017-3169、CVE-2017-7659、CVE-2017-7668)、mod_mime モジュールに存在する情報漏洩 (CVE-2017-7679)、認証機構の迂回 (CVE-2017-3167) を許してしまう脆弱性を解決しています。
BIND 9.11.1-P1、9.10.5-P1、9.9.10-P1 では、Windows 版インストーラにおいて引用符で囲まれていないプログラムパス (Unquoted Service Path:CWE-428) を使用していることに起因して、アクセス権限の昇格を許してしまう脆弱性 (CVE-2017-3141)、RPZ(Response Policy Zones) 処理の不具合により無限ループ状態となり、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-3140) を解決しています。
キャッシュ DNS サーバの一つである Unbound のバージョン 1.6.3 は、不具合の修正を目的としたリリースで、セキュリティアップデートは含まれていません。このバージョンでは、不正な qname を含む処理の不具合を修正しています。
Red Hat Enterprise Linux Server に搭載されている カーネル、glibc、rpcbind、Firefox のセキュリティアップデート (RHSA-2017:1486、RHSA-2017:1480、RHSA-2017:1267、RHSA-2017:1440) がリリースされました。カーネルと glibc では、メモリ管理に関連してアクセス権限の昇格を許してしまう脆弱性 (CVE-2017-1000364、CVE-2017-1000366)、rpcbind では、不正な XDR メッセージを受信した場合に発生するメモリリークに起因して、メモリ資源を多く消費しているプロセスを強制的に停止させる OOM(Out-Of-Memory) killer が発動する問題 (CVE-2017-8779) を解決しています。Firefox では、ESR 52.2 で解決した脆弱性に対応しています。
18 件のセキュリティノートがリリースされています。SAP NetWeaver などでのサービス不能攻撃、SAP MMC Console や SAP NetWeaver Message Server での情報漏洩、クロスサイトスクリプティング (CWE-79)、コードインジェクション、ディレクトリトラバーサル、URL リダイレクションの脆弱性などが報告されています。
担当:寺田、大西/HIRT
