2月7日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
Java SE 8 Update 73リリース(2016/02/05)
Java SE 8 Update 73では、Windows版Java SEをインストール中に攻撃された場合、攻撃者が用意したWebサイトから不正なファイルのダウンロードを許し、その悪用を許してしまう脆弱性(CVE-2016-0603)を解決しています。また、同時にリリースされたJava SE 8 Update 74には、セキュリティアップデートに加えて複数のバグ修正が含まれています。
- オラクル:Oracle Security Alert for CVE-2016-0603
- オラクル:Java 8リリースのハイライト: Java 8 Update 73(8u73)
- オラクル:Java 8 Update 73(8u73)リリースノート
- オラクル:Java 8 Update 74(8u74)リリースノート
米シスコ製品
■Application Policy Infrastructure Controller(2016/02/03)
クラスター化されたネットワーク制御システムとして機能するApplication Policy Infrastructure Controller(APIC)のロールベースアクセス制御機能には、権限を越えて、設定変更を許してしまう脆弱性(CVE-2016-1302)が存在します。
■Nexus 9000シリーズACIモードスイッチ(2016/02/03)
Nexus 9000シリーズのApplication Centric Infrastructure(ACI)モードスイッチには、サービス拒否攻撃を許してしまう脆弱性(CVE-2015-6398)が存在します。IPv4ヘッダーにタイプ7オプションrecord routeが設定されたICMPパケットを受信した場合に、機器のリロードが発生する可能性があります。
■ASA-CX、Prime Security Manager(2016/02/03)
ASA-CX、Prime Security Managerのロールベースアクセス制御機能には、他のユーザーのパスワード変更を許してしまう脆弱性(CVE-2016-1301)が存在します。この脆弱性を悪用された場合、管理者の役割を担っているユーザーのパスワード変更を許してしまう可能性があります。ASA-CXは、ネットワークトラフィックをセキュリティ視点で制御する製品です。Prime Security Managerは、マルチデバイス管理を提供する製品です。