12月21日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
■NTP 4.2.8リリース(2014/12/18)
NTP 4.2.8では、脆弱な擬似乱数生成器(PRNG)に起因してなりすましを許してしまう脆弱性(CVE-2014-9293、CVE-2014-9294)、スタックバッファオーバーフローに起因して任意のコード実行を許してしまう脆弱性(CVE-2014-9295)、エラー発生時に動作不備を起こす問題(CVE-2014-9296)を解決しています。任意のコード実行を許してしまう脆弱性(CVE-2014-9295)は、不正なパケットを受信した場合に影響を受ける可能性があります。
SSL 3.0の脆弱性(CVE-2014-3566)(2014/12/18)
10月15日、SSL 3.0のCBC(Cipher Block Chaining)モードに、中間者攻撃によりSSL通信の暗号文の解読を許してしまう脆弱性(CVE-2014-3566)の存在が報告されました。この問題は、別名POODLE(Padding Oracle On Downgraded Legacy Encryption)問題とも呼ばれています。Alexa:Top Sites in Japanの上位200サイト(うち、119サイトが調査対象)のプロトコルサポート状況を調査した結果、SSL 3.0をサポートするサイトは68%(10月18日)から39%(12月18日)となっています(図1)。
12月中旬、TLSでのPOODLE問題(CVE-2014-8730)が報告され始めました。これは、TLSでのパディングチェックが適切ではないことに起因しています。Cisco Adaptive Security Appliance(ASA)ソフトウエア、Cisco ACE Application Controlエンジンモジュール、IBM HTTPサーバー、IBM WebSphere Portalなどが影響を受けます。
PHP 5.6.4、PHP 5.5.20、PHP 5.4.36リリース(2014/12/18)
PHP 5.6.4、PHP 5.5.20、PHP 5.4.36では、unserialize関数に存在する任意のコード実行を許してしまう脆弱性(CVE-2014-8142)を解決しています。この脆弱性は、メモリーの解放後使用(use-after-free)に起因しています。
また、PHP 5.6.4ではCore、Date、FPM、Mcrypt、GMP、PDO_pgsql、Session、SOAP、zlibコンポーネントに存在する26件の不具合を、PHP 5.5.20ではCore、Date、FPM、Mcrypt、PDO_pgsql、zlibコンポーネントに存在する20件の不具合を、PHP 5.4.36ではCoreコンポーネントに存在する2件の不具合を修正しています。
