ページの本文へ

Hitachi

チェックしておきたい脆弱性情報 <2016.10.24>

更新日:<2016.10.24>

米オラクル製品

オラクル 2016年 10 月の四半期セキュリティアップデート (2016/10/18)

Oracle Critical Patch Update Advisory - October 2016 には、Database Server 系 12 件、Fusion Middleware 系 29 件、Applications 系 63 件、仮想化系 13 件、MySQL 系 31 件、Java SE 系 7 件など、計 253 件のセキュリティアップデートが含まれています。認証操作なくリモートからの攻撃を許してしまう脆弱性の件数は、計 123 件となっています。

Java SE 8 Update 111 リリース (2016/10/18)

Java SE 8 Update 111 には、2D、AWT、ホットスポット、ネットワーク、JMX、ライブラリに関する計 7 件のセキュリティアップデートが含まれています。報告された脆弱性のうち、認証操作なしでリモートからの攻撃を許してしまう脆弱性の件数は 7 件です。

また、Java SE 8 Update 111 では、新しい JCE コード署名ルート証明書への変更、HTTPS トンネリングでの Basic 認証のデフォルト無効化、弱いアルゴリズムと鍵で署名された JAR ファイルの検証方法の変更などが施されました。同時にリリースされた Java SE 8 Update 112 には、計 7 件のセキュリティアップデートに加えて複数バグの修正が含まれています。

BIND 9.9.0 〜 9.9.3rc1、9.1.0 〜 9.8.5rc1 の脆弱性 (2016/10/20)

2013年 5 月以前にリリースされた BIND 9.x (BIND 9.9.0 〜 9.9.3rc1、9.1.0 〜 9.8.5rc1) には、パケットの処理の不具合に起因して、サービス不能攻撃を許してしまう脆弱性 (CVE-2016-2848) が存在します。不正なオプションを伴ったパケットを受信した場合に named が異常終了する可能性があります。なお BIND を開発するインターネットシステムズコンソーシアム (ISC) は、9.0 系〜 9.8 系のサポートは終了していることから、セキュリティパッチはリリースしないとしています。

Struts 2.3.31 リリース (2016/10/18)

Struts 2.3.31 では、Struts の Convention plugin に存在する、ディレクトリトラバーサルに起因して、任意のコード実行を許してしまう脆弱性 (CVE-2016-6795) を解決しています。影響を受けるバージョンは、2.3.20 〜 2.3.30 です。

また、開発環境で Config Browser を使用している場合には、情報漏洩を許してしまう可能性がありますので、アクセス制御などのセキュリティ設定を徹底する必要があります。

Struts 2.5.5 リリース (2016/10/21)

このバージョンはバグの修正を目的としたリリースです。POST 処理、URL 検証処理の不具合などを解決しています。また、Apache Commons Collections 4.1、Apache Log4j 2.7 にアップデートしています。

Firefox 49.0.2 リリース (2016/10/20)

Firefox 49.0.2 では、サービス不能攻撃、情報漏洩を許してしまう脆弱性、1 件のセキュリティアドバイザリに含まれる計 2 件の脆弱性 (CVE-2016-5287、CVE-2016-5288) を解決しています。また、Flash プラグインの非同期レンダリング機能のサポート、起動時のネットワークの不具合などを修正しています。

米アップル製品

iOS 10.0.3 リリース (2016/10/17)

iOS 10.0.3 では、iOS 10.0.1 で解決したカーネルメモリからの情報漏洩を許してしまう脆弱性 (CVE-2016-4655) に対応しています。

Google Chrome 54.0.2840.71 リリース (2016/10/20)

Windows/Mac/Linux 版 54.0.2840.71 は、バグの修正を目的としたリリースで、セキュリティアップデートは含まれていません。

Red Hat Enterprise Linux Server (v.6)(2016/10/19)

Red Hat Enterprise Linux Server に搭載されている Java (java-1.8.0-openjdk)、BIND のセキュリティアップデート (RHSA-2016:2079、RHSA-2016:2093) がリリースされました。

Java のアップデートでは、Java SE 8 Update 111 で解決した脆弱性に対応しています。BIND では、2013年 5 月以前にリリースされた BIND 9.x に存在するサービス不能攻撃を許してしまう脆弱性 (CVE-2016-2848) を解決しています。

制御システム製品

Schneider Electric の PowerLogic PM8ECC (2016/10/18)

商業施設分野などで利用されている、仏 Schneider Electric (schneider-electric.com) の産業用のイーサネット通信カード PowerLogic PM8ECC には、文書化されていないアカウント情報がハードコーディングされている問題 (CWE-259)(CVE-2016-5818) が存在します。

MOXA 産業用セキュアルータ (2016/10/20)

台湾 MOXA (moxa.com) の産業用セキュアルータ EDR-810 には、適切でないアクセス制御 (CWE-284) に起因して、アクセス権限の昇格を許してしまう脆弱性 (CVE-2016-8346) が存在します。この問題は、不正な URL アクセスにより、設定ファイルやログファイルが参照可能になるというものです。産業用セキュアルータは、重要製造業、エネルギー、上下水道分野などで利用されています。


担当:寺田、大西/HIRT