Hitach Incident Response Team

 2015年12月27日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Joomla! 3.4.8リリース(2015/12/24)

 2015年12月14日、オープンソースのコンテンツ管理システムであるJoomla!からバージョン3.4.6がリリースされました。このバージョンでは、任意のコード実行を許してしまう脆弱性(CVE-2015-8562)、クロスサイトリクエストフォージェリー(CVE-2015-8563)、ディレクトリートラバーサル(CVE-2015-8564、CVE-2015-8565)の問題を解決しています。

 また、1週間後の12月21日には、バージョン1.5.0~3.4.5に影響を与える脆弱性CVE-2015-8562(任意のコード実行を許してしまう脆弱性)の原因がPHP 5.6.13、5.5.29、5.4.45で解決された脆弱性(CVE-2015-6835)に起因するものであることを明らかにするとともに、対策版であるバージョン3.4.7をリリースしました。このバージョンでは、バージョン3.0.0~3.4.6に影響を与えるSQLインジェクションの脆弱性も解決しています。

 さらに、12月24日には、バージョン3.4.7でのブラウザーのセッション管理に関する不具合を修正したバージョン3.4.8がリリースされました。このバージョンには、セキュリティアップデートは含まれていません。

Samba 4.3.3、4.2.7、4.1.22リリース(2015/12/16)

 Samba 4.3.3、4.2.7、4.1.22では、7件の脆弱性を解決しています。報告された脆弱性は、LDAPサーバーならびにActive Directoryサーバーに関連したサービス拒否攻撃を許してしまう脆弱性(CVE-2015-3223、CVE-2015-7540、CVE-2015-8467)、情報漏洩を許してしまう脆弱性(CVE-2015-5252、CVE-2015-5299、CVE-2015-5296、CVE-2015-5330)です。脆弱性CVE-2015-7540は、不正なパケットを受信した場合に、メモリー資源の浪費を誘発するというもので、Samba 4.0.0~4.1.21に影響があります。また、情報漏洩を許してしまう脆弱性CVE-2015-5296は、クライアントからの暗号通信要求をダウングレードさせることができ、脆弱性CVE-2015-5330は、LDAPサーバー上のメモリーをリモートから参照できてしまうものです。