Hitach Incident Response Team

 2014年10月12日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米シスコASA(Adaptive Security Appliances)(2014/10/08)

 Cisco ASA(Adaptive Security Appliances)には、アクセス権限の昇格、情報漏洩、サービス拒否攻撃を許してしまう計13件の脆弱性(CVE-2014-3382~CVE-2014-3394)が存在します。サービス拒否攻撃を許してしまう脆弱性は、SQL*NET、SunRPC、DNSインスペクションエンジンのパケット処理、IKE(Internet Key Exchange)並びにIKEバージョン2の処理などに関するものです。情報漏洩は、クライアントレスSSL VPNポータル機能において、入力パラメーターの検証が適切ではないことに起因しています。

GNU bashの脆弱性への対応

 2014年9月24日に明らかとなったGNU bashの複数の脆弱性(CVE-2014-6271、CVE-2014-7169他)について、製品開発ベンダーから発信されたセキュリティ情報を日ごと(10月1日~10月12日)に追いかけてみましょう。

2014年10月01日

2014年10月2日

2014年10月07日

2014年10月09日