Hitach Incident Response Team

 1月24日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

BIND 9.10.3-P3、9.9.8-P3リリース(2016/01/20)

 BIND 9.10.3-P3、9.9.8-P3では、サービス拒否攻撃を許してしまう脆弱性(CVE-2015-8704)を解決しています。

 脆弱性CVE-2015-8704は、文字列フォーマット処理の不具合により、不正なDNS要求を受信した場合にnamedが異常終了するというものです。BIND 9.3.0以降が稼働するコンテンツサーバー(権威DNSサーバー)とキャッシュDNSサーバーに影響があります。なおBINDを開発するインターネットシステムズコンソーシアム(ISC)は、9.3系~9.8系のサポートは終了していることから、セキュリティパッチはリリースしないとしています。

NTP 4.2.8p6リリース(2016/01/19)

 NTP 4.2.8p6では、ntpq/ntpdにおけるサービス拒否攻撃を許してしまう問題(CVE-2015-8158、CVE-2015-7978、CVE-2015-7977、CVE-2015-7975)、ゼロ設定された開始タイムスタンプを受け入れてしまう問題(CVE-2015-8138)、ブロードキャストモードでのサービス拒否攻撃を許してしまう問題(CVE-2015-7979)、なりすましを許してしまう問題(CVE-2015-7973)など、計9件の脆弱性を解決しています。

 また、ntpqプロトコルにおけるリプレイ攻撃(CVE-2015-8140)、開始タイムスタンプが漏洩してしまう問題(CVE-2015-8139)に関する回避策が提示されました。

Java SE 8 Update 71リリース(2016/01/19)

 Java SE 8 Update 71には、2D、AWT、JAXP、JMX、ライブラリー、ネットワーク、セキュリティコンポーネントに関する計8件のセキュリティアップデートが含まれています(図1)。報告された脆弱性のうち、認証操作なしでリモートからの攻撃を許してしまう脆弱性の件数は7件です。また、Java SE 8 Update 71からXML最大エントリーサイズ(EntityExpansionLimit)にデフォルト制限が追加されました。同時にリリースされたJava SE 8 Update 72には、計8件のセキュリティアップデートに加えて複数バグの修正が含まれています。

図1●四半期毎のJava脆弱性対策件数の推移
図1●四半期毎のJava脆弱性対策件数の推移

オラクル2016年1月の四半期セキュリティアップデート(2016/01/19)

 Oracle Critical Patch Update Advisory - January 2016には、Database Server系10件、Fusion Middleware系27件、Applications系102件、仮想化系9件、MySQL系22件、Java SE系8件など、計248件のセキュリティアップデートが含まれています(図2)。認証操作なくリモートからの攻撃を許してしまう脆弱性の件数は、計150件となっています。

図2●製品系列別の四半期セキュリティアップデート件数の推移
図2●製品系列別の四半期セキュリティアップデート件数の推移

米シスコ製品

■Unified Computing System Manager(2016/01/20)

 ソフトウエアとハードウエアコンポーネントを管理するUnified Computing System Managerと不正侵入防御システムFirepower 9000シリーズのCGIスクリプトには、任意のコマンド実行を許してしまう脆弱性(CVE-2015-6435)が存在します。

■Modular Encoding Platform(2016/01/20)

 メディア符号化プラットフォームModular Encoding Platform D9036には、管理者権限でログイン可能なデフォルトパスワードが設定されたデフォルトアカウント(CVE-2015-6412)が存在します。脆弱性を悪用された場合、攻撃者に対象システムを制御されてしまう可能性があります。