Hitach Incident Response Team

 2月7日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Java SE 8 Update 73リリース(2016/02/05)

 Java SE 8 Update 73では、Windows版Java SEをインストール中に攻撃された場合、攻撃者が用意したWebサイトから不正なファイルのダウンロードを許し、その悪用を許してしまう脆弱性(CVE-2016-0603)を解決しています。また、同時にリリースされたJava SE 8 Update 74には、セキュリティアップデートに加えて複数のバグ修正が含まれています。

米シスコ製品

■Application Policy Infrastructure Controller(2016/02/03)

 クラスター化されたネットワーク制御システムとして機能するApplication Policy Infrastructure Controller(APIC)のロールベースアクセス制御機能には、権限を越えて、設定変更を許してしまう脆弱性(CVE-2016-1302)が存在します。

■Nexus 9000シリーズACIモードスイッチ(2016/02/03)

 Nexus 9000シリーズのApplication Centric Infrastructure(ACI)モードスイッチには、サービス拒否攻撃を許してしまう脆弱性(CVE-2015-6398)が存在します。IPv4ヘッダーにタイプ7オプションrecord routeが設定されたICMPパケットを受信した場合に、機器のリロードが発生する可能性があります。

■ASA-CX、Prime Security Manager(2016/02/03)

 ASA-CX、Prime Security Managerのロールベースアクセス制御機能には、他のユーザーのパスワード変更を許してしまう脆弱性(CVE-2016-1301)が存在します。この脆弱性を悪用された場合、管理者の役割を担っているユーザーのパスワード変更を許してしまう可能性があります。ASA-CXは、ネットワークトラフィックをセキュリティ視点で制御する製品です。Prime Security Managerは、マルチデバイス管理を提供する製品です。