Hitach Incident Response Team

 5月29日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アドビ システムズ製品

■Adobe Connectに脆弱性:APSB16-17(2016/05/23)

 Windows版Adobe Connectのアドインインストーラーには、アクセス権限の昇格を許してしまう信頼できない検索パスの脆弱性(CVE-2016-4118)が存在します。

米シスコ製品

■シスコ製品のIPv6処理に脆弱性(2016/05/25)

シスコ製品のIPv6のNeighbor Discoveryパケット処理には、サービス拒否攻撃を許してしまう脆弱性(CVE-2016-1409)が存在します。処理手順が適切でないことに起因する問題で、脆弱性を悪用する不正なIPv6のNeighbor Discoveryパケットを受信した場合に影響を受ける可能性があります。

PHP 7.0.7、5.6.22、5.5.36リリース(2016/05/26)

 PHP 7.0.7では、GDと国際化用拡張コンポーネントに存在する領域外のメモリー参照(out-of-bounds read:CWE-125)の脆弱性(CVE-2013-7456、CVE-2016-5093)を解決しています。また、Core、Postgresコンポーネントなどに存在する28件の不具合を修正しています。不具合の中には、NULLポインター参照(NULL pointer dereference:CWE-476)、メモリーの解放後使用(use-after-free:CWE-416)の問題が含まれています。

 PHP 5.6.22、PHP 5.5.36では、Coreコンポーネントに存在する整数アンダーフロー、整数オーバーフローの脆弱性(CVE-2016-5096、CVE-2016-5094)、GDと国際化用拡張コンポーネントに存在する領域外のメモリー参照の脆弱性(CVE-2013-7456、CVE-2016-5093)、Pharに存在する未初期化のポインターの脆弱性(CVE-2016-4343)を解決しています。

VMwareセキュリティアップデート:VMSA-2016-0006(2016/05/24)

 VMSA-2016-0006では、vSphere Web Clientに存在するクロスサイトスクリプティングの脆弱性(CVE-2016-2078)を解決しています。