更新日:<2017.10.09>
macOS High Sierra 10.13 追加アップデートでは、StorageKit、セキュリティコンポーネントに存在する、暗号化された Apple File System とキーチェーンへのアクセス機構の迂回を許してしまう計 2 件の脆弱性を解決しています。
watchOS 4.0.1 では、watchOS 4 で解決したメモリ破損に起因して任意のコード実行やサービス不能攻撃などを許してしまう問題に対応しています。
iOS 11.0.2 では、iOS 11 で解決したメモリ破損に起因して任意のコード実行やサービス不能攻撃などを許してしまう問題に対応しています。
エネルギー分野で利用されている独 Siemens (siemens.com) のマルチチャンネル電流測定システム 7KT PAC1200 Data Manager の Web サーバには、認証機構の迂回を許してしまう脆弱性 (CVE-2017-9945) が存在します。
化学、重要製造業、ダム、エネルギー、農業・食料、政府施設、輸送、上下水道分野で利用されている米 GE (ge.com) の監視制御ソフトウェア HMI/SCADA CIMPLICITY のパケット処理には、スタックオーバーフロー (CWE-121) に起因して任意のコード実行を許してしまう脆弱性 (CVE-2017-12732) が存在します。
セキュリティアプライアンスである ASA (Adaptive Security Appliances) には、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-12246) が存在します。
License Manager には、ディレクトリトラバーサル問題 (CWE-22) に起因して情報漏洩を許してしまう脆弱性 CVE-2017-12263) が存在します。
Firepower Detection Engine の IPv6、SSL 処理には、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-12244、CVE-2017-12245) が存在します。
Apache httpd 2.4.28 では、設定ファイル .htaccess 内の Limit ディレクティブ処理に起因して、メモリ上の情報漏洩を許してしまう脆弱性 (CVE-2017-9798) を解決しています。この問題は、Limit ディレクティブの記述が適切でない場合に発生します。また、Heartbleed と類似し、メモリ上の情報漏洩を許してしまうことから OptionsBleed とも呼ばれています。
OpenSSH 7.6、7.6p1 は、不具合の修正や改善を目的としたリリースです。このリリースでは、SSH v1 プロトコルのサポート終了、暗号アルゴリズムについては、RC4、Blowfish、CAST、RIPE-MD160 HMAC のサポート終了、1024 ビット以下の RSA 鍵の使用が不可となりました。サイズゼロのファイル作成に関する sftp サーバの不具合を修正しています。そのほか、ssh クライアントでは RemoteCommand オプション、Reverse Dynamic Forwarding、サーバでは ExposeAuthInfo オプションが追加されました。
PostgreSQL 10.0 では、ロジカルレプリケーション、宣言的テーブルパーティショニング、パラレル問い合わせの改善、同期レプリケーションにおける Quorum Commit(過半数コミット)、SCRAM-SHA-256 認証などの機能改善が施されています。
Red Hat 製品でサポートされている DNS サーバ dnsmasq のセキュリティアップデート (RHSA-2017:2836, RHSA-2017:2837, RHSA-2017:2838, RHSA-2017:2839, RHSA-2017:2840, RHSA-2017:2841) がリリースされました。バッファオーバーフローに起因してサービス不能攻撃や任意コード実行を許してしまう脆弱性 (CVE-2017-14491 〜 CVE-2017-14493)、情報漏洩を許してしまう脆弱性 (CVE-2017-14494)、サービス不能攻撃を許してしまう脆弱性 (CVE-2017-14495、CVE-2017-14496) を解決しています。
Joomla! 3.8.1 は、不具合の修正や改善を目的としたリリースです。
Drupal 8.4.0 は、不具合の修正や改善を目的としたリリースです。8.4 系では、Internet Explorer 9/10 をサポート対象外とし、管理操作コマンドラインツール Drush は 8.1.12 を前提としています。
担当:寺田、大西/HIRT
