8月3日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
Samba 4.1.11、4.0.21リリース(2014/08/01)
7月30日、バグ修正を目的としたSamba 4.0.20がリリースされました。このバージョンでは、s3-smb2、s3-nmbdなどに存在するバグを修正しています。
8月1日リリースされたSamba 4.1.11、4.0.21では、nmbd NetBIOSネームサービスに存在する任意のコード実行を許してしまう脆弱性(CVE-2014-3560)を解決してします。この問題は、不正なパケットを受信した際に、ヒープメモリーでの上書きが発生することに起因しています。
- Samba:Samba 4.1.11 Available for Download
- Samba:Samba 4.0.21 Available for Download
- Samba:Samba 4.0.20 Available for Download
Tomcat 7.0.55リリース(2014/07/27)
Tomcat 7.0.55は、バグの修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。バグ修正のほかに、Eclipse JDTコンパイラー4.4、Windows版バイナリーをOpenSSL 1.0.1hに対応させたTomcat Native 1.1.31へのアップデートがありました。
MySQL Community Server 5.6.20、5.5.39リリース(2014/07/31)
MySQL Community Server 5.6.20、5.5.39は、InnoDB Storage Engine、レプリケーション処理などに存在するバグ修正を目的としたリリースです。
なお、MySQL Community Server 5.6.20では、OpenSSLのバージョンを1.0.1hに更新し、中間者攻撃により情報漏洩や改ざんを許してしまう脆弱性(CVE-2014-0224)などを解決していること、yaSSLを使用しているOracle版のMySQL Community Server 5.6系には、中間者攻撃により情報漏洩や改ざんを許してしまう脆弱性(CVE-2014-0224)の影響はないこと報告しています。
