5月24日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
米アップルWatch OS 1.0.1リリース(2015/05/19)
Watch OS 1.0.1では、Certificate Trust Policy、FontParser、Foundation、IOAcceleratorFamily、IOHIDFamily、カーネル、セキュアトランスポートに存在する計13件の脆弱性を解決しています。このうち、セキュアトランスポートでは、SSL/TLS通信で使用する暗号アルゴリズムのダウングレード攻撃を許してしまうFREAK(Factoring RSA Export Keys)問題(CVE-2015-1067)に対応しています。
PostgreSQL 9.4.2、9.3.7、9.2.11、9.1.16、9.0.20(2015/05/22)
PostgreSQL 9.4.2、9.3.7、9.2.11、9.1.16、9.0.20では、メモリーの2重解放(double free:CWE-415)に起因してサービス拒否攻撃を許してしまう脆弱性(CVE-2015-3165)、認証後の操作で、サービス拒否攻撃(CVE-2015-3166)、アクセス権限の昇格(CVE-2015-3167)を許してしまう脆弱性を解決してします。また、PostgreSQL 9.4.2、9.3.7では、複数トランザクションMultixact member wraparoundに対する保護が動作しないために、トランザクション量が多いシステムの場合、データ破損などが発生するという不具合を修正しています。
- PostgreSQL:PostgreSQL 9.4.2, 9.3.7, 9.2.11, 9.1.16, and 9.0.20 released!
- PostgreSQL:Security Information