5月15日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
米アドビ システムズ製品
■Adobe Flash Player 21.0.0.242リリース:APSB16-15(2016/05/12)
Adobe Flash Player 21.0.0.242では、計25件の脆弱性を解決しています。脆弱性は、型の取り違え(type confusion:CWE-843)、メモリーの解放後使用(use-after-free:CWE-416)、バッファオーバーフロー、メモリー破損(memory corruption:CWE-119)、ディレクトリーの検索パス問題に起因して任意のコード実行を許してしまう問題です。脆弱性を悪用された場合、攻撃者に対象システムを制御されてしまう可能性があります。
また、これらの問題を解決したデスクトップランタイム Windows/Mac版Adobe AIR 21.0.0.215がリリースされました。
- 米アドビ システムズ:APSB16-15: Adobe Flash Playerに関するセキュリティアップデート公開
- マイクロソフト:MS16-064: Adobe Flash Playerのセキュリティ更新プログラム(3157993)
■Adobe Reader XI(11.0.16)リリース:APSB16-14(2016/05/10)
Adobe ReaderならびにAcrobatのバージョンXI(11.0.16)、Acrobat Reader DCならびにAcrobat DC(15.016.20039 / 15.006.30172)では、任意のコード実行、情報漏洩、セキュリティ機構の迂回を許してしまう脆弱性、計92件の脆弱性を解決しています。任意のコード実行を許してしまう脆弱性は、メモリーの解放後使用(use-after-free:CWE-416)、メモリー破損(memory corruption:CWE-119)、バッファオーバーフロー、整数オーバーフローとディレクトリーの検索パス問題に起因しています。
Apache httpd 2.4.20での脆弱性対策(2016/04/11)
4月11日、Apache httpd 2.4.20で解決した脆弱性情報が掲載されました。報告された脆弱性はHTTP/2でのサービス拒否攻撃を許してしまう脆弱性(CVE-2016-1546)です。使用できるスレッドが不足してしまうことにより発生する問題で、バージョン2.4.17、2.4.18が影響を受けます。
Tomcat Native 1.2.7リリース(2016/05/08)
TomcatからJava Native Interface(JNI)経由でApache Portable Runtime(APR)を利用するためのライブラリーであるTomcat Native 1.2.7がリリースされました。このリリースでは、Windows版バイナリーをOpenSSL 1.0.2hとAPR 1.5.2に対応させています。
PostgreSQL 9.5.2、9.4.7、9.3.12、9.2.16、9.1.21(2016/05/13)
これらのバージョンは、バグの修正を目的とした累積的なリリースです。Python、Ruby、PHPのOpenSSLラッパーを使用したときのエラー処理の改善、全文検索を高速化するGIN(Generalized Inverted Index)で発生していたメモリーリークなどを修正しています。
