2014年10月12日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
米シスコASA(Adaptive Security Appliances)(2014/10/08)
Cisco ASA(Adaptive Security Appliances)には、アクセス権限の昇格、情報漏洩、サービス拒否攻撃を許してしまう計13件の脆弱性(CVE-2014-3382~CVE-2014-3394)が存在します。サービス拒否攻撃を許してしまう脆弱性は、SQL*NET、SunRPC、DNSインスペクションエンジンのパケット処理、IKE(Internet Key Exchange)並びにIKEバージョン2の処理などに関するものです。情報漏洩は、クライアントレスSSL VPNポータル機能において、入力パラメーターの検証が適切ではないことに起因しています。
GNU bashの脆弱性への対応
2014年9月24日に明らかとなったGNU bashの複数の脆弱性(CVE-2014-6271、CVE-2014-7169他)について、製品開発ベンダーから発信されたセキュリティ情報を日ごと(10月1日~10月12日)に追いかけてみましょう。
2014年10月01日
2014年10月2日
2014年10月07日
2014年10月09日
- USN-2380-1: Bash vulnerabilities(CVE-2014-6277,CVE-2014-6278)