PR

Hitach Incident Response Team

 4月26日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Firefox 37.0.2リリース(2015/04/20)

 Firefox 37.0.2では、プラグイン初期化失敗時のメモリー破壊に起因して任意のコード実行などを許してしまう脆弱性(CVE-2015-2706)を解決しています。

米アップルOS X Server v4.1リリース(2015/04/08)

 OS X Server v4.1では、Dovecot、Firewall、Postfix、Wiki Serverに存在する計3件の脆弱性を解決しています。このうち、POP3とIMAPサーバーであるDovecot、メール転送エージェントのPostfixでは、POODLE(Padding Oracle On Downgraded Legacy Encryption)問題(CVE-2014-3566)に対応しています。

Red Hat Enterprise Linux Server(v.6)(2015/04/21)

 glibc、カーネル、仮想化環境を提供するqemu-kvmのセキュリティアップデート(RHSA-2015:0863、RHSA-2015:0864、RHSA-2015:0867)がリリースされました。

 glibcでは、gethostbyname_r関数に存在するバッファオーバーフローに起因して任意のコード実行を許してしまう脆弱性(CVE-2015-1781)、DNS要求処理に存在する情報漏洩を許してしまう脆弱性(CVE-2013-7423)を解決しています。

 カーネルでは、メモリーの解放後使用(use-after-free:CWE-416)、領域外のメモリー参照(out-of-bounds read:CWE-125)、競合(race condition:CWE-362)などに起因して、サービス拒否攻撃、アクセス権限の昇格を許してしまう、8件の脆弱性を解決しています。qemu-kvmでは、ヒープオーバーフローの脆弱性(CVE-2014-8106)を解決しています。