PR

Hitach Incident Response Team

 10月4日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アップル製品

■Safari 9リリース(2015/09/30)

 Safari 9では、Safari関連、WebKit関連コンポーネントに存在する、計45件の脆弱性などの問題点を解決しています。対象となった脆弱性は、任意のコード実行、サービス拒否攻撃、なりすましを許してしまうものです。

■iOS 9.0.2リリース(2015/09/30)

 iOS 9.0.2では、ロック画面を迂回し、ロックされたデバイス上の写真や連絡先へのアクセスを許してしまう脆弱性(CVE-2015-5923)を解決しています。

■OS X El Capitan 10.11リリース(2015/09/30)

 OS X El Capitan 10.11では、Address Book、AirScan、apache_mod_php、Apple Online Store Kit、AppleEvents、オーディオ、bash、証明書信頼ポリシー、CFNetwork関連、カーネル、メール、マルチピア接続、Network拡張機能、OpenSSH、OpenSSL、procmail、Ruby、セキュリティ、SMB、SQLite、Telephonyなどのコンポーネントに存在する、計99件の脆弱性などの問題点を解決しています。対象となった脆弱性は、メモリー破損(memory corruption:CWE-119)に起因して任意のコード実行、サービス拒否攻撃、情報漏洩を許してしまうものです。

PHP 5.6.14、5.5.30リリース(2015/10/01)

 PHP 5.6.14、5.5.30では、Phar(PHP Archive)コンポーネントに存在するNULLポインター参照(NULL pointer dereference:CWE-476)に起因する脆弱性(CVE-2015-7803)を解決しています。また、5.6.14では、CLI server、Core、DOM、ldap、Mysqlnd、OpenSSL、PDO、Phar、Standard、Streams、Zipコンポーネントに存在する、計15件の不具合を解決しています。

Tomcat 8.0.27リリース(2015/10/01)

 Tomcat 8.0.27は、8.0.26のバグ修正と改善を目的としたリリースです。JSPとJSP式言語でのエスケープ処理、Non-blocking I/OとSSL上でのファイル送信、TLD(Top Level Domain)処理、同時並行処理に存在する不具合を修正しています。エスケープ処理では、JSP式言語における"\${"は"${"として、JSPにおける"\$"は"$"として取り扱うとしています。リリース時点で、セキュリティアップデートの報告はありません。