Hitach Incident Response Team

 3月6日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

OpenSSL 1.0.2g、1.0.1sリリース(2016/03/01)

 OpenSSL 1.0.2g、1.0.1sでは、情報漏洩、サービス拒否攻撃を許してしまう計8件の脆弱性を解決しています。

 脆弱性CVE-2016-0800は、SSL v2と輸出グレード暗号をサポートしている場合に、ダウングレード攻撃によってTLS通信の暗号文の解読を許してしまう問題で、別名DROWN(Decrypting RSA using Obsolete and Weakened eNcryption)問題と呼ばれています。

 このほか、メモリー管理に起因して情報漏洩を許してしまう脆弱性(CVE-2016-0798、CVE-2016-0799)、秘密情報の取得を試みるIntelプロセッサーへのサイドチャネル攻撃、別名CacheBleed問題(CVE-2016-0702)、SSLv2に関連して情報漏洩を許してしまう脆弱性(CVE-2016-0703、CVE-2016-0704)を解決しています。また、サービス拒否攻撃を許してしまう脆弱性は、メモリーの2重解放(CVE-2016-0705)、NULLポインター参照(CVE-2016-0797)によるものです。

米シスコ製品

■Nexus 3000、3500シリーズ(2016/03/02)

 ネットワークスイッチNexus 3000、3500シリーズに搭載されているNX-OSには、管理者権限で装置にログインを許してしまう脆弱性(CVE-2016-1329)が存在します。この脆弱性は、デフォルトアカウントと固定パスワードに関する問題で、telnetサービスなどへの不正アクセスに悪用される可能性があります。

この先は会員の登録が必要です。有料会員(月額プラン)は登録月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら