Hitach Incident Response Team

 4月3日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Squid 3.5.16リリース(2016/04/01)

 Squid 3.5.16では、ICMPv6パケット処理、HTTP応答処理に存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2016-3948、CVE-2016-3947)を解決しています。これらの脆弱性は、バッファオーバーフローに起因する問題と境界チェックが適切でないことに起因する問題です。Squid 3.1.0~3.5.15、Squid 4.0~4.0.7に影響があります。

PostgreSQL 9.5.2、9.4.7、9.3.12、9.2.16、9.1.21(2016/03/31)

 PostgreSQL 9.5.2では、PostgreSQL 9.5から導入されたRow Level Securityと呼ばれる行単位でのセキュリティ機能の迂回を許してしまう脆弱性(CVE-2016-2193)、いくつかのブロックごとに最大値/最小値を保持するBRIN(Block-Range INdex)インデックスでのサービス拒否攻撃を許してしまう脆弱性(CVE-2016-3065)を解決しています。

 PostgreSQL 9.4.7、9.3.12、9.2.16、9.1.21は、バグの修正を目的としたリリースです。

PHP 7.0.5、5.6.20、5.5.34リリース(2016/03/31)

 PHP 7.0.5では、Core、ODBC、セッション、Standardコンポーネントなどに存在する30件の不具合を修正しています。不具合の中には、整数オーバーフロー、NULLポインター参照(NULL pointer dereference:CWE-476)の問題が含まれています。

 PHP 5.6.20、PHP 5.5.34では、ODBC、SNMP、Standardコンポーネントなどに存在する整数オーバーフローを含む13件と5件の不具合を修正しています。