2月2日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
OpenSSH 6.5、OpenSSH 6.5p1リリース(2014/01/30)
OpenSSH 6.5、OpenSSH 6.5p1では、Daniel Bernstein Curve25519による楕円曲線Diffie Hellmanを用いた鍵交換、公開鍵としてEd25519形式、秘密鍵としてbcrypt KDF形式のサポートなど、暗号系の機能強化が施されています。セキュリティアップデートは含まれていません。
BIND 9.9.5、BIND 9.8.7、BIND 9.6-ESV-R11リリース(2014/01/30)
BIND 9.9.5、BIND 9.8.7、BIND 9.6-ESV-R11では、BIND 9.9.4-P1、BIND 9.8.6-P1、BIND 9.6-ESV-R10-P1で解決したアクセス制御の迂回を許してしまう脆弱性(CVE-2013-6230)、BIND 9.9.4-P2、BIND 9.8.6-P2、BIND 9.6-ESV-R10-P2で解決したサービス拒否攻撃を許してしまう脆弱性(CVE-2014-0591)の対策が取り込まれています。
脆弱性(CVE-2013-6230)は、Winsockライブラリーの動作に起因する不具合で、namedのlocalnetsアクセスコントロールリストが誤って設定される問題です。脆弱性(CVE-2014-0591)は、不在証明のNSEC3を用いた問い合わせが引き金となってnamedプロセスが異常終了するという問題です。
