Hitach Incident Response Team

 4月5日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

VMwareセキュリティアップデート:VMSA-2015-0003(2015/04/02)

 JRE 1.7 Update 71以前、JRE 1.6 Update 85以前を使用しているVMware製品には、JSSEのTLSの脆弱性(CVE-2014-6593)が存在します。脆弱性CVE-2014-6593は、鍵交換や認証に関するメッセージをスキップすることで、TLSの実装上の状態遷移を不正に操作できてしまう問題です。別名SKIP-TLS(Message Skipping Attacks on TLS)問題と呼ばれています。JSSEクライアントの場合、操作によっては、セキュリティ機構を迂回できるため、TLSによって完全性、機密性を保つことができず、データの改ざんや取得を許してしまう可能性があります。

米シスコ製品

■Cisco Prime Data Center Network Manager(2015/04/01)

 データセンター向けの管理製品であるCisco Prime Data Center Network Managerには、情報漏洩を許してしまうディレクトリートラバーサルの脆弱性(CVE-2015-0666)が存在します。