3月27日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
Java SE 8 Update 77リリース(2016/03/23)
Java SE 8 Update 77では、Hotspotコンポーネントに存在する認証操作なしでリモートからの攻撃を許してしまう脆弱性(CVE-2016-0636)を解決しています。デスクトップ上のブラウザーで、Java SE を実行している場合に影響を受けます。
- オラクル:Oracle Security Alert for CVE-2016-0636
- オラクル:Java 8リリースのハイライト: Java 8 Update 77(8u77)
- オラクル:Java 8 Update 77(8u77)リリースノート
米シスコ製品
■IOSとIOS XEソフトウエア(2016/03/23)
Cisco IOSとIOS XEソフトウエアには、サービス拒否攻撃を許してしまう脆弱性が存在します。不正なSmart Installパケットをポート番号4786/tcpで受信した場合(CVE-2016-1349)、フラグメント化された不正なIKEv2パケットを受信した場合(CVE-2016-1344)、不正なDHCPv6リレーパケットを受信した場合(CVE-2016-1348)、不正なSIPパケットを受信した場合(CVE-2016-1350)に機器のリロードが発生する可能性があります。
- シスコ:cisco-sa-20160323-smi: Cisco IOS and IOS XE Software Smart Install Denial of Service Vulnerability
- シスコ:cisco-sa-20160323-ios-ikev2: Cisco IOS and IOS XE Software Internet Key Exchange Version 2 Fragmentation Denial of Service Vulnerability
- シスコ:cisco-sa-20160323-dhcpv6: Cisco IOS and IOS XE Software DHCPv6 Relay Denial of Service Vulnerability
- シスコ:cisco-sa-20160323-sip: Cisco IOS and IOS XE and Cisco Unified Communications Manager Software Session Initiation Protocol Memory Leak Vulnerability