PR

Hitach Incident Response Team

 5月24日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アップルWatch OS 1.0.1リリース(2015/05/19)

 Watch OS 1.0.1では、Certificate Trust Policy、FontParser、Foundation、IOAcceleratorFamily、IOHIDFamily、カーネル、セキュアトランスポートに存在する計13件の脆弱性を解決しています。このうち、セキュアトランスポートでは、SSL/TLS通信で使用する暗号アルゴリズムのダウングレード攻撃を許してしまうFREAK(Factoring RSA Export Keys)問題(CVE-2015-1067)に対応しています。

PostgreSQL 9.4.2、9.3.7、9.2.11、9.1.16、9.0.20(2015/05/22)

 PostgreSQL 9.4.2、9.3.7、9.2.11、9.1.16、9.0.20では、メモリーの2重解放(double free:CWE-415)に起因してサービス拒否攻撃を許してしまう脆弱性(CVE-2015-3165)、認証後の操作で、サービス拒否攻撃(CVE-2015-3166)、アクセス権限の昇格(CVE-2015-3167)を許してしまう脆弱性を解決してします。また、PostgreSQL 9.4.2、9.3.7では、複数トランザクションMultixact member wraparoundに対する保護が動作しないために、トランザクション量が多いシステムの場合、データ破損などが発生するという不具合を修正しています。