7月12日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
米アドビ システムズ製品の脆弱性
■Adobe Flash Player 18.0.0.203リリース:APSB15-16(2015/07/08)
Adobe Flash Player 18.0.0.203では、計36件の脆弱性を解決しています(図1)。脆弱性は、ヒープバッファオーバーフロー、メモリー破損、メモリーの解放後使用(use-after-free:CWE-416)、型の取り違え(type confusion:CWE-843)に起因して任意のコード実行を許してしまう問題27件(CVE-2015-5119 他)、情報漏洩を許してしまう問題、アドレス空間配置のランダム化に関連する問題、NULLポインター参照(NULL pointer dereference:CWE-476)問題です。
BIND 9.10.2-P2、9.9.7-P1リリース(2015/07/08)
BIND 9.10.2-P2、9.9.7-P1では、サービス拒否攻撃を許してしまう脆弱性(CVE-2015-4620)を解決しています。この問題は、DNSSEC検証処理の不具合により、不正なDNS要求を受信した場合にnamedが異常終了するというものです。BIND 9.7.1以降のBIND 9.xが稼働するDNSSEC検証を有効にしているキャッシュDNSサーバーに影響があります。
- ISC:BIND 9 Security Vulnerability Matrix
- ISC:CVE-2015-4620: Specially Constructed Zone Data Can Cause a Resolver to Crash when Validating
- JPRS:(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について
OpenSSL 1.0.2d、1.0.1pリリース(2015/07/09)
OpenSSL 1.0.2d、1.0.1pでは、代替の証明書チェインを検証する処理に存在する脆弱性を(CVE-2015-1793)を解決しています。この脆弱性は、証明書のなりすましを許してしまう問題で、OpenSSL 1.0.2c、1.0.2b、1.0.1n、1.0.1oが影響を受けます。なお、OpenSSL 1.0.0系、0.9.8系は2015年12月末でEOL(End-Of-Life)に入ることから、アップグレードを推奨しています。
- OpenSSL:OpenSSL 1.0.2 Branch Release notes
- OpenSSL:OpenSSL 1.0.1 Branch Release notes
- OpenSSL:OpenSSL Security Advisory [9 Jul 2015]
