4月12日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
NTP 4.2.8p2リリース(2015/04/07)
NTP 4.2.8p2では、2件の脆弱性(CVE-2015-1798、CVE-2015-1799)を解決しています。ntp-4.2.5p99~ntp-4.2.8p1には、ntpdが認証されていないパケットを受け入れてしまう脆弱性(CVE-2015-1798)が存在します。xntp3.3wy~ntp-4.2.8p1には、不正なパケットを受信し続けることにより時刻同期の妨害を許してしまう脆弱性(CVE-2015-1799)が存在します。いずれも、共通鍵暗号を使ってパケットを認証している場合に、認証機構の迂回を許してしまうことに起因しています。
米シスコ製品
■NTPの脆弱性への対応(2015/04/08)
同社のソーシャルメディア系、コンテンツセキュリティ系、ネットワーク管理系、ルーターならびにスイッチ系の製品には、NTP 4.2.8p2で解決した、なりすまし、サービス拒否攻撃を許してしまう2件の脆弱性(CVE-2015-1798、CVE-2015-1799)が存在します。
■ASA FirePOWER、ASA CXサービス(2015/04/08)
Cisco ASA FirePOWERサービスとCisco ASA Context Aware(CX)サービスの仮想化レイヤーのパケット処理には、サービス拒否攻撃を許してしまう脆弱性(CVE-2015-0678)が存在します。管理インタフェースが高頻度で不正なパケットを受信した場合に、システムのリロードが発生し、サービス拒否状態に陥るというものです。
