Hitach Incident Response Team

 10月11日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

PostgreSQL 9.4.5、9.3.10、9.2.14、9.1.19、9.0.23(2015/10/08)

 PostgreSQL 9.xのcore serverコンポーネントには、JSON、JSONBの入力検証が適切でないために、サービス拒否攻撃を許してしまう脆弱性(CVE-2015-5289)が存在します。また、contrib moduleコンポーネントで提供されているcrypt関数にはメモリーリーク問題に起因して情報漏洩を許してしまう脆弱性(CVE-2015-5288)が存在します。PostgreSQL 9.4.5、9.3.10、9.2.14、9.1.19、9.0.23では、この2件の脆弱性を解決しています。

VMwareセキュリティアップデート:VMSA-2015-0007(2015/10/10)

 VMware ESXi OpenSLPには、メモリーの2重解放(double free:CWE-415)に起因して任意のコード実行を許してしまう脆弱性(CVE-2015-5177)が存在します。OpenSLPは、SLP(Service Location Protocol)のオープンソースです。また、VMware vCenter Serverには、JMX/RMI(Java Management Extensions/Remote Method Invocation)サービスに任意のコード実行を許してしまう脆弱性(CVE-2015-2342)、vpxdサーバーにサービス拒否攻撃を許してしまう脆弱性(CVE-2015-1047)が存在します。

Squid 3.5.10リリース(2015/10/01)

 Squid 3.5.10は、バグの修正を目的としたリリースです。セキュリティ機構の迂回を許してしまう脆弱性(CVE-2015-5400)の解決後に作り込まれてしまった不具合、SSL、Base64まわりの不具合が修正されています。セキュリティアップデートは含まれていません。

制御システム製品

■EasyIO-30P-SF(2015/09/29)

 三菱電機(mitsubishielectric.co.jp)のMELSEC FXシリーズにビルトインされているHTTPアプリケーションには、長いパラメーターを適切に処理できないために、サービス拒否攻撃を許してしまう脆弱性(CVE-2015-3938)が存在します。MELSEC FXシリーズは、制御システム用のシーケンサーとして、商業施設、重要製造業、エネルギー、上下水道分野などで利用されています。