Hitach Incident Response Team
 11月9日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

制御システム製品

■ABBのABB RobotStudio、Test Signal Viewer(2014/11/04)  ABB(abb.com)のRobotStudio、Test Signal Viewerには、DLL(ダイナミックリンクライブラリー)ファイルを読み込む際に、攻撃者が細工した外部DLLの読み込みを許してしまう問題(DLLプリロード攻撃)が発生し得る脆弱性(CVE-2014-5430)が存在します。RobotStudioは、生産を中断することなくPC上でのロボットプログラミング作業を可能とする製品です。

米シスコSmall Business RVシリーズルーター(2014/11/05)

 Small Business RVシリーズのルーターには3件の脆弱性が存在します。Webインタフェースでのコマンドインジェクションの脆弱性(CVE-2014-2177)は管理者権限でのコマンド実行を、同じくWebインタフェースでのファイルアップロードの脆弱性(CVE-2014-2179)は設定ファイルの変更を許してしまう可能性があります。クロスサイトリクエストフォージェリーの脆弱性(CVE-2014-2178)は、管理者ページでの操作を許してしまう可能性があります。

Squid 3.4.9リリース(2014/10/31)

 Squid 3.4.9では、resolv.confにfamily inet4が設定されていると、エラーメッセージBad host/IP ::1を表示して起動できないなどのバグを修正しています。セキュリティアップデートは含まれていません。