更新日:<2017.10.30>
Firefox 56.0.2 では、動画関連や終了時の動作不具合を修正しています。セキュリティアップデートは含まれていません。
Chrome 62.0.3202.75 では、スタックオーバーフロー (CWE-121) の脆弱性 (CVE-2017-15396) を解決しています。
重要製造業、エネルギー、上下水道分野などで利用されている米 Rockwell Automation (rockwellautomation.com) の産業オートメーション制御システムのルータ Stratix には、Nonce、鍵ペアを再利用していることに起因して、WPA2 プロトコルのハンドシェーク時にに中間者攻撃による情報漏洩ならびに改ざんを許してしまう脆弱性 (CVE-2017-13082) が存在します。この問題は、KRACK (Key Reinstallation Attacks) 問題とも呼ばれているものです。
商業施設、重要製造業、輸送分野などで利用されている米 Korenix (korenix.com) のイーサネットスイッチには、暗号化に使用する鍵がハードコーディングされている問題 (CWE-321)、資格情報がハードコーディングされている問題 (CWE-798) に起因して、任意のコード実行や中間者攻撃を許してしまう脆弱性 (CVE-2017-14021、CVE-2017-14027) が存在します。
Cosminexus Developer's Kit for Java、Hitachi Developer's Kit for Java を構成部品として使用している Cosminexus 製品には、複数の脆弱性が存在します。脆弱性は、Java SE 8 Update 151 で解決したライブラリ、RMI、セキュリティ、Serialization などに存在する問題です。
Oracle Identity Manager には、リモートからの不正アクセスを許してしまう脆弱性 (CVE-2017-10151) が存在します。
Apache httpd 2.4.29 は、core、mod_unique_id、mod_rewrite、mod_http2、mod_proxy、mod_authz_dbd、mod_ssl モジュールでの不具合の修正や改善を目的としたリリースです。コアではメモリ消費対策として Content-Length の書き換え、mod_unique_id では PRNG の使用、mod_proxy では作り込まれた不具合の修正などを施しています。
2017年10月24日、DNS ルートサーバの一つである、b.root-servers.net (B-Root) の IPv4 アドレス (192.228.79.201 => 199.9.14.201) が変更されました。キャッシュ DNS サーバを運用している場合には、internic.net から新しいルートヒントファイルをダウンロードしてください。
PHP 7.1.11、7.0.25、5.6.32 では、PCRE(Perl Compatible Regular Expressions) に存在するサービス不能攻撃を許してしまう脆弱性 (CVE-2016-1283) を解決しています。また、Date、mcrypt、PCRE などのコンポーネントに存在する計 17 件、13 件、4 件の不具合を修正しています。領域外のメモリ参照 (out-of-bounds read:CWE-125)、NULL ポインタ参照 (NULL pointer dereference:CWE-476) に起因する問題が含まれています。
担当:寺田、大西/HIRT
