PR

Hitach Incident Response Team

 10月25日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

NTP 4.2.8p4リリース(2015/10/21)

 NTP 4.2.8p4では、不正なAutoKeyメッセージの受信やメモリー破損に起因してサービス拒否攻撃を許してしまう脆弱性、認証機構の迂回を許してしまう脆弱性(CVE-2015-7871)など計16件の脆弱性を解決しています。脆弱性CVE-2015-7871は、暗号化された不正なNAKパケットを受信した場合に、認証機構の迂回を許してしまう問題です。悪用された場合、システムの時刻設定を操作される可能性があります。

米シスコ製品

■ASA(Adaptive Security Appliances)のDNSパケット処理(2015/10/21)

 Cisco ASA(Adaptive Security Appliances)には、DNSパケット処理にサービス拒否攻撃を許してしまう脆弱性(CVE-2015-6325、CVE-2015-6326)が存在します。不正なDNS要求パケットを受信し、さらに、その要求に対応する不正なDNS応答パケットを受信した場合に影響を受けます。この問題は、DNSパケットの検証が十分でないことに起因します。

■ASAのDHCPパケット処理(2015/10/21)

 Cisco ASAのDHCPv6中継処理には、サービス拒否攻撃を許してしまう脆弱性(CVE-2015-6324)が存在します。不正なDHCPv6パケットを受信した場合に、機器が再起動する可能性があります。この問題は、DHCPv6パケットの検証が十分でないことに起因します。

■ASAのISAKMPパケット処理(2015/10/21)

 Cisco ASAのIKE(Internet Key Exchange)バージョン1処理には、サービス拒否攻撃を許してしまう脆弱性(CVE-2015-6327)が存在します。不正なISAKMP(Internet Security Association and Key Management Protocol)パケットを受信した場合に、機器が再起動する可能性があります。この問題は、ISAKMPパケット処理が適切でないことに起因します。

Java SE 8 Update 65リリース(2015/10/20)

 Java SE 8 Update 65には、2D、CORBA、Deployment、JAXP、JGSS、JavaFX、ライブラリ、RMI、セキュリティ、Serialization コンポーネントに関する計25件のセキュリティアップデートが含まれています(図1)。報告された脆弱性のうち、認証操作なしでリモートからの攻撃を許してしまう脆弱性の件数は24件です。また、計25件のセキュリティアップデートに加えて複数バグの修正を含むJava SE 8 Update 66がリリースされています。

図1●四半期毎のJava脆弱性対策件数の推移
図1●四半期毎のJava脆弱性対策件数の推移

この記事は会員登録で続きをご覧いただけます

日経クロステック登録会員になると…

新着が分かるメールマガジンが届く
キーワード登録、連載フォローが便利

さらに、有料会員に申し込むとすべての記事が読み放題に!
日経電子版セット今なら2カ月無料