5月3日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
PowerDNS Authoritative Server、PowerDNS Recursor(2015/04/27)
DNSコンテンツサーバー(権威DNSサーバー)であるPowerDNS Authoritative ServerとDNSキャッシュサーバーであるPowerDNS Recursorには、ドメイン名ラベルの圧縮を展開する処理に不具合があり、細工されたドメイン名を処理すると異常終了し、サービス拒否状態に陥る脆弱性(CVE-2015-1868)が存在します。
- PowerDNS:PowerDNS Security Advisory 2015-01: Label decompression bug can cause crashes or CPU spikes
- JPRS:PowerDNS Authoritative ServerおよびPowerDNS Recursorの脆弱性(DNSサービスの停止)について
WordPress 4.2.1リリース(2015/04/27)
WordPress 4.2.1では、コメント投稿処理に存在するクロスサイトスクリプティングの脆弱性(CVE-2015-3440)を解決しています。
Squid 3.5.4、3.4.13、3.3.14、3.2.14リリース(2015/05/01)
Squid 3.5.4、3.4.13、3.3.14、3.2.14では、X.509サーバー証明書のドメイン名を適切に検証しないという脆弱性(CVE-2015-3455)を解決しています。この問題は、SquidをSSL Bumpのclient-firstあるいは、bumpモードに設定した場合に発生します。SSL BumpはSSL/TLS通信に介在する機能で、client-firstモードでは、クライアントとのSSL/TLS接続を確立した後、サーバーに接続します。影響を受けるバージョンは、Squid 3.2~3.2.13、Squid 3.3~3.3.13、Squid 3.4~3.4.12、Squid 3.5~3.5.3です。