4月24日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
米アドビ システムズ製品
■Adobe Analytics AppMeasurementに脆弱性:APSB16-13(2016/04/21)Flashの利用状況を分析するツールであるAdobe Analytics AppMeasurement for Flash Libraryには、debugTrackingが有効な場合に、DOMベースのクロスサイトスクリプティング問題(CVE-2016-1036)が存在します。
米シスコ製品
■Wireless LAN Controller(2016/04/20)セキュリティ強化やサービス品質制御などの機能を提供するWireless LAN Controller(WLC)製品群には、サービス拒否攻撃を許してしまう脆弱性が存在します。報告されている脆弱性は、Web管理インタフェースでの未サポートURLへのアクセス問題(CVE-2016-1362)、HTTP要求処理に存在するバッファオーバーフロー問題(CVE-2016-1363)、ゼロコンフィギュレーション技術Bonjourでのトラフィック処理の問題(CVE-2016-1364)です。
- シスコ:cisco-sa-20160420-wlc: Cisco Wireless LAN Controller Management Interface Denial of Service Vulnerability
- シスコ:cisco-sa-20160420-htrd: Cisco Wireless LAN Controller HTTP Parsing Denial of Service Vulnerability
- シスコ:cisco-sa-20160420-bdos: Cisco Wireless LAN Controller Denial of Service Vulnerability
■libSRTPライブラリー1.5.3リリース(2016/04/20)
Secure Real-Time Transport Protocol(SRTP)のライブラリーであるlibSRTP 1.5.3では、暗号化処理サブシステムに存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2015-6360)を解決しています。米シスコのソーシャルメディア系、エンドポイントクライアント系、コンテンツセキュリティ系、ルーター/スイッチ系、音声系の製品で使用されており、脆弱性を悪用する不正なSRTPパケットを処理した場合に影響を受ける可能性があります。