Hitach Incident Response Team

 5月29日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アドビ システムズ製品

■Adobe Connectに脆弱性:APSB16-17(2016/05/23)

 Windows版Adobe Connectのアドインインストーラーには、アクセス権限の昇格を許してしまう信頼できない検索パスの脆弱性(CVE-2016-4118)が存在します。

米シスコ製品

■シスコ製品のIPv6処理に脆弱性(2016/05/25)

シスコ製品のIPv6のNeighbor Discoveryパケット処理には、サービス拒否攻撃を許してしまう脆弱性(CVE-2016-1409)が存在します。処理手順が適切でないことに起因する問題で、脆弱性を悪用する不正なIPv6のNeighbor Discoveryパケットを受信した場合に影響を受ける可能性があります。

PHP 7.0.7、5.6.22、5.5.36リリース(2016/05/26)

 PHP 7.0.7では、GDと国際化用拡張コンポーネントに存在する領域外のメモリー参照(out-of-bounds read:CWE-125)の脆弱性(CVE-2013-7456、CVE-2016-5093)を解決しています。また、Core、Postgresコンポーネントなどに存在する28件の不具合を修正しています。不具合の中には、NULLポインター参照(NULL pointer dereference:CWE-476)、メモリーの解放後使用(use-after-free:CWE-416)の問題が含まれています。

 PHP 5.6.22、PHP 5.5.36では、Coreコンポーネントに存在する整数アンダーフロー、整数オーバーフローの脆弱性(CVE-2016-5096、CVE-2016-5094)、GDと国際化用拡張コンポーネントに存在する領域外のメモリー参照の脆弱性(CVE-2013-7456、CVE-2016-5093)、Pharに存在する未初期化のポインターの脆弱性(CVE-2016-4343)を解決しています。

VMwareセキュリティアップデート:VMSA-2016-0006(2016/05/24)

 VMSA-2016-0006では、vSphere Web Clientに存在するクロスサイトスクリプティングの脆弱性(CVE-2016-2078)を解決しています。

この先は会員の登録が必要です。今なら有料会員(月額プラン)が12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら