5月25日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
BIND 9.10.0-P1リリース(2014/05/09)
BIND 9.10.0-P1では、サービス拒否攻撃を許してしまう脆弱性(CVE-2014-3214)を解決しています。この問題は、BIND 9.10.0から実装されているプリフェッチ機能の実装に起因し、特定の属性を持つ応答を返す問い合わせが引き金となってnamedが異常終了するというものです。BIND 9.10.0が稼働するキャッシュDNSサーバーに影響があります。
- ISC:BIND 9 Security Vulnerability Matrix
- ISC:CVE-2014-3214: A Defect in Prefetch Can Cause Recursive Servers to Crash
- JPRS:(緊急)BIND 9.10.0の脆弱性(DNSサービスの停止)について
米シスコ製品
■WebEx Recording Formatプレーヤー(2014/05/07)
Web会議録の再生アプリケーションであるWebEx Recording Format(WRF)プレーヤー、Advanced Recording Format(ARF)プレーヤーには、不正なARFファイルまたはWRFファイルにアクセスすると、プログラムを異常終了したり任意のコード実行を許したりしてしまう、計5件のバッファオーバーフロー、メモリー破損などの脆弱性(CVE-2014-2132~CVE-2014-2136)が存在します。