Hitach Incident Response Team

 8月23日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

マイクロソフト2015年8月の定例外セキュリティアップデートMS15-093(2015/08/19)

 2015年8月の定例外セキュリティアップデートMS15-093では、メモリー破損(memory corruption:CWE-119)に起因して任意のコード実行を許してしまう脆弱性(CVE-2015-2502)を解決しています。更新プログラムがリリースされた8月19日時点で、脆弱性を悪用した侵害活動は報告されていません。

OpenSSH 7.1、7.1p1リリース(2015/08/21)

 OpenSSH 7.1、7.1p1では、OpenSSH 7.0で作り込まれてしまった不具合を修正しています。この問題は、OpenSSH 7.0で導入したPermitRootLogin=without-password/prohibit-passwordが適切に機能しない可能性があるというものです。PermitRootLoginは、管理者アクセスの可否を指定するパラメーターです。OpenSSH 7.x以降、管理者アクセスでのインタラクティブな認証を禁止し、公開鍵、ホストベースあるいは、GSSAPI(Generic Security Standard Application Programming Interface)による認証のみを有効とするwithout-password/prohibit-passwordが追加されました。