Hitach Incident Response Team

 6月21日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

PHP 5.6.10、5.5.26、5.4.42リリース(2015/06/11)

 PHP 5.6.10、5.5.26では、Core、FTP、Postgres、PCRE、Sqlite3コンポーネントに存在する8件の脆弱性を解決しています。PHP 5.4.42では、Core、Postgres、Sqlite3コンポーネントに存在する6件の脆弱性を解決しています。

 CoreコンポーネントにはOSコマンドインジェクション(CVE-2015-4642)、FTPにはバッファオーバーフロー問題(CVE-2015-4643)、PCREには任意のコード実行を許してしまう脆弱性(CVE-2015-2325、CVE-2015-2326)、Sqlite3コンポーネントにはサービス拒否攻撃を許してしまう脆弱性(CVE-2015-3414、CVE-2015-3415、CVE-2015-3416)が存在します。

Red Hat Enterprise Linux Server(v.6)(2015/06/15)

 OpenSSLとUNIX系のプリントサービスcupsのセキュリティアップデート(RHSA-2015:1115、RHSA-2015:1123)がリリースされました。

 Opensslでは、OpenSSL 1.0.1nで解決したOpenSSL 0.9.8~1.0.2に影響する脆弱性6件(CVE-2014-8176、CVE-2015-1789~CVE-2015-1792、CVE-2015-3216)に対応しています。

 cupsでは、任意のコード実行を許してしまう脆弱性(CVE-2015-1158)、cups web templating engineに存在するクロスサイトスクリプティング問題(CVE-2015-1159)、ラスタ画像ファイル処理に存在するバッファオーバーフローに起因してサービス拒否攻撃を許してしまう脆弱性(CVE-2014-9679)を解決しています。

日立 Hitachi Web Server(2015/06/10)

 Hitachi Web Serverには、複数の脆弱性が存在します。脆弱性は、OpenSSL 1.0.2a、1.0.1m、1.0.0r、0.9.8zfで解決したBase64デコード処理とSSLv2のCLIENT-MASTER-KEYメッセージ処理に存在するサービス拒否攻撃を許してしまう問題(CVE-2015-0292、CVE-2015-0293)です。