5月1日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
PHP 7.0.6、5.6.21、5.5.35リリース(2016/04/29)
PHP 7.0.6では、GDコンポーネントに存在するlibgd2のバッファオーバーフローの脆弱性(CVE-2016-3074)、ZIPコンポーネントに存在する整数オーバーフローの脆弱性(CVE-2016-3078)を解決しています。また、Core、Intl、PDO、Postgres、SPL、Standard、XMLコンポーネントなどに存在する54件の不具合を修正しています。不具合の中には、NULLポインター参照(NULL pointer dereference:CWE-476)の問題が含まれています。
PHP 5.6.21、PHP 5.5.35では、libgd2のバッファオーバーフローの脆弱性(CVE-2016-3074)を解決するとともに、コンポーネントに存在する19件、5件の不具合をを修正しています。
- PHP:PHP 7.0.6 Released
- PHP:PHP 5.6.21 is available
- PHP:PHP 5.5.35 is available
- PHP:PHP 7 ChangeLog
- PHP:PHP 5 ChangeLog
Google Chrome 50.0.2661.94リリース(2016/04/28)
Windows/Mac/Linux版50.0.2661.94では、領域外メモリーへの書き出し(out-of-bounds write:CWE-787)、メモリーの解放後使用(use-after-free:CWE-416)など、計9件の脆弱性(CVE-2016-1660~CVE-2016-1665他)を解決しています。
日立製品
■Cosminexus製品(2016/04/27)Cosminexus Developer's Kit for Java、Hitachi Developer's Kit for Javaを構成部品として使用しているCosminexus製品には、複数の脆弱性が存在します。脆弱性は、Java SE 8 Update 77で解決した、Hotspotコンポーネントに存在する認証操作なしでリモートからの攻撃を許してしまう脆弱性(CVE-2016-0636)、2016年4月のJava定例セキュリティアップデートであるJava SE 8 Update 91で解決されたセキュリティ問題です。
- 日立:HS16-012:Cosminexusにおける複数の脆弱性(CVSSv2:AV:N/AC:L/Au:N/C:C/I:C/A:C)(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)
NTP 4.2.8p7リリース(2016/04/26)
NTP 4.2.8p7では、適切でない同期処理(CVE-2015-8138)やなりすましによる認証機構の迂回(CVE-2016-1550、CVE-2016-1551)により時刻操作を許してしまう脆弱性、サービス拒否攻撃を許してしまう脆弱性(CVE-2015-7704、CVE-2016-1547、CVE-2016-2516、CVE-2016-2517、CVE-2016-2519)、領域外のメモリー参照(out-of-bounds read:CWE-125)(CVE-2016-2518)、計9件の脆弱性を解決しています。
また、なりすましによる認証機構の迂回(CVE-2016-1548)、適切でない同期処理(CVE-2016-1549)に関する緩和策が提示されました。
