1月31日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
OpenSSL 1.0.2f、1.0.1rリリース(2016/01/28)
OpenSSL 1.0.2fでは、安全ではない素数を利用してDiffie-Hellman(DH)パラメーターを生成する可能性がある問題(CVE-2016-0701)、OpenSSL 1.0.2f、1.0.1rでは、SSLv2用のすべての暗号化方式を無効にしていてもハンドシェイクが完了してしまう問題(CVE-2015-3197)を解決しています。また、暗号アルゴリズムDiffie-Hellman鍵交換を使用している場合に、ダウングレード攻撃と中間者攻撃とを組み合わせることで、TLS通信の暗号文の解読を許してしまう脆弱性(CVE-2015-4000)、別名Logjam問題については、ハンドシェイク時の鍵長に対する制限を768ビットから1024ビットに強化しました。
- OpenSSL:OpenSSL 1.0.2 Branch Release notes
- OpenSSL:OpenSSL 1.0.1 Branch Release notes
- OpenSSL:OpenSSL Security Advisory [28th Jan 2016]
Firefox 44.0、ESR 38.6リリース(2016/01/26)
Firefox 44.0では、任意のコード実行を許してしまう脆弱性、サービス拒否攻撃、なりすまし、セキュリティ機能の迂回を許してしまう脆弱性など、12件のセキュリティアドバイザリーに含まれる計17件の脆弱性を解決しています。
Firefox ESR 38.6では、任意のコード実行を許してしまう脆弱性、サービス拒否攻撃を許してしまう脆弱性を解決しています。また、Firefox 43.0.2で解決したTLS 1.2でMD5で署名されたメッセージを受け入れてしまう脆弱性(CVE-2015-7575)に対応しています。
米シスコ製品
■Wide Area Application Services(WAAS)ソフトウエア(2016/01/27)
Cisco Wide Area Application Services(WAAS)ソフトウエアのCIFS(Common Internet File System)処理には、サービス拒否攻撃を許してしまう脆弱性(CVE-2015-6421)が存在します。不正なCIFSパケットを受信した場合に、該当機器で資源が枯渇し、再起動が発生する可能性があります。
■無線ネットワークセキュリティファイアウォールRV220W(2016/01/27)
無線ネットワークセキュリティファイアウォールRV220Wには、HTTP要求のヘッダー情報の検証が適切でないために、認証機構の迂回を許してしまう脆弱性(CVE-2015-6319)が存在します。この問題を悪用された場合、管理者権限での不正アクセスを許してしまう可能性があります。
Red Hat Enterprise Linux Server(v.6)(2016/01/27)
Red Hat Enterprise Linux Serverに搭載されている仮想化環境を提供するqemu-kvm、およびFirefoxのセキュリティアップデート(RHSA-2016:0082、RHSA-2016:0071)がリリースされました。
qemu-kvmでは、領域外のメモリー参照(out-of-bounds read:CWE-125)、領域外メモリーへの書き出し(out-of-bounds write:CWE-787)に起因してQEMUプロセスへのサービス拒否攻撃やホストOS上での任意のコード実行を許してしまう脆弱性(CVE-2016-1714)を解決しています。一方、Firefoxは、Firefox ESR 38.6で解決した脆弱性に対応しています。
