Hitach Incident Response Team

 5月3日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

PowerDNS Authoritative Server、PowerDNS Recursor(2015/04/27)

 DNSコンテンツサーバー(権威DNSサーバー)であるPowerDNS Authoritative ServerとDNSキャッシュサーバーであるPowerDNS Recursorには、ドメイン名ラベルの圧縮を展開する処理に不具合があり、細工されたドメイン名を処理すると異常終了し、サービス拒否状態に陥る脆弱性(CVE-2015-1868)が存在します。

WordPress 4.2.1リリース(2015/04/27)

 WordPress 4.2.1では、コメント投稿処理に存在するクロスサイトスクリプティングの脆弱性(CVE-2015-3440)を解決しています。

Squid 3.5.4、3.4.13、3.3.14、3.2.14リリース(2015/05/01)

 Squid 3.5.4、3.4.13、3.3.14、3.2.14では、X.509サーバー証明書のドメイン名を適切に検証しないという脆弱性(CVE-2015-3455)を解決しています。この問題は、SquidをSSL Bumpのclient-firstあるいは、bumpモードに設定した場合に発生します。SSL BumpはSSL/TLS通信に介在する機能で、client-firstモードでは、クライアントとのSSL/TLS接続を確立した後、サーバーに接続します。影響を受けるバージョンは、Squid 3.2~3.2.13、Squid 3.3~3.3.13、Squid 3.4~3.4.12、Squid 3.5~3.5.3です。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら