Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - July 2017)

oss.sios.com 四半期恒例のJAVAの脆弱性情報と更新が来ましたね。

MySQLの脆弱性情報(Oracle Critical Patch Update Advisory Jul)

oss.sios.com 四半期恒例のOracle CPUが出ましたね。まずはMySQLの方から。

Linux Kernelの脆弱性(CVE-2017-11472, CVE-2017-11473)

oss.sios.com Linux Kernelの脆弱性情報です。権限昇格の可能性もあるようですが、ローカルユーザ が対象になるので、うまく迂回しながらなるべく早くパッチを当てたほうが 良いと思われます。

wiresharkに複数の脆弱性(CVE-2017-11406, CVE-2017-11407, CVE-2017-11408, CVE-2017-11409, CVE-2017-11410, CVE-2017-11411 )

oss.sios.com Wiresharkに複数の脆弱性が出ています。更新できる場合には 更新したほうが良いと思われます。

FreeRADIUSに複数の脆弱性 ( CVE-2017-10978, CVE-2017-10979, CVE-2017-10980, CVE-2017-10981, CVE-2017-10982, CVE-2017-10983, CVE-2017-10984, CVE-2017-10985, CVE-2017-10986, CVE-2017-10987, CVE-2017-10988 )

oss.sios.com FreeRADIUSに脆弱性情報がいっぱい出てますね。注意が必要です。

PHPの脆弱性( CVE-2017-11362 )

oss.sios.com PHPの脆弱性ということです。PHP 7系のようですが、PHP 5系でも 関係ありそうなので(Debianではvulnerableになってる)注意が必要ですね。

QEMUの脆弱性( CVE-2017-11334 )

oss.sios.com 日本では海の日でお休みですが、海外では関係ないので脆弱性が 出てますね。今回はQEMUです。

linux kernelの脆弱性( CVE-2017-11176 )

oss.sios.com linux kernelの脆弱性が出てますね。Mediumぐらいの様子。

Apache httpd に複数の脆弱性 ( CVE-2017-9788, CVE-2017-9789 )

oss.sios.com またApacheに複数の脆弱性が出ていますね。2.4.27へのアップデートが推奨されてます。

Sambaに権限昇格の脆弱性(CVE-2017-11103)

oss.sios.com Sambaの脆弱性です。Heimdalの脆弱性ということで、影響はSamba以外にもありそうです。

PHPに複数の脆弱性(CVE-2017-11142, CVE-2017-11143, CVE-2017-11144, CVE-2017-11145, CVE-2017-11146, CVE-2017-11147, CVE-2016-10397)

oss.sios.com PHPに複数の脆弱性が出ているようです。

Xenの脆弱性 ( XSA-216, XSA-217, XSA-218, XSA-219, XSA-220, XSA-221, XSA-222, XSA-223, XSA-224, XSA-225)

oss.sios.com Xenに複数の脆弱性が出ています。

ncursesに関しての複数の脆弱性(CVE-2017-11112, CVE-2017-11113)

oss.sios.com ncursesに関しての複数の脆弱性のようです。あんまりterminfoとか意識して 無いだけに、微妙ですね。

systemdの脆弱性( CVE-2017-1000082 )

oss.sios.com systemdの脆弱性(?)が出ています。脆弱性というか、バグですねぇ、これ。

libgcryptの脆弱性( CVE-2017-7526 )

oss.sios.com libgcryptの脆弱性のようです。ちょっとエライコッチャかもしれません。

linux kernelの脆弱性( CVE-2017-8797 )

oss.sios.com またkernelの脆弱性です。今日日はNFSv4でしょうから、影響あるかもしれません。

bind 9 に複数の脆弱性 ( CVE-2017-3142 , CVE-2017-3143 )

oss.sios.com またまたbindに脆弱性です。6/15にも出ていたので、今月は二回目ですね。 相変わらずなので、unboundとかのalternativeを見たほうが良いのかも。

systemd-resolvedの脆弱性(CVE-2017-9445)

oss.sios.com systemd-resolvedの脆弱性のようです。

linux kernelの脆弱性( CVE-2017-9984, CVE-2017-9985, CVE-2017-9986 )

oss.sios.com linux kernelの複数の脆弱性が公開されました。 実際には、所謂"ダブルフェッチの脆弱性"という一種類の 脆弱性が幾つかの関数にあったようです。

linux kernelの脆弱性( CVE-2017-7482 )

oss.sios.com またlinux kernelの脆弱性です。Moderateですのでそれほど影響度は高くないと 思いますが、可能であればパッチを当てるほうが良いというところでしょうか。

Apache httpd に複数の脆弱性 ( CVE-2017-3167, CVE-2017-3169, CVE-2017-7659, CVE-2017-7668, CVE-2017-7679 )

oss.sios.com 先程のmod_http2は、この複数の脆弱性の中の一つだったようです。

Apache mod_http2の脆弱性 ( CVE-2017-7659 )

oss.sios.com Apacheの方も脆弱性ですね。まだMitreの方は更新されていないようです。

linux kernelにStack Guard迂回の脆弱性( CVE-2017-1000364 ) / glibcにStack Guard迂回の脆弱性(CVE-2017-1000366)

oss.sios.com oss.sios.com glibc/linux kernelに脆弱性です。一次情報源の https://www.qualys.com/2017/06/19/stack-clash/stack-clash.txt も合わせてみたほうが良いですね。ちょっと長めですが。。。

GnuTLS の 脆弱性 (GNUTLS-SA-2017-4 : CVE-2017-7507 )

oss.sios.com GnuTLSの脆弱性です。TLS Fuzzerというのがあるんですね。

bind 9 に緊急を含む複数の脆弱性 ( CVE-2017-3140 , CVE-2017-3141 )

oss.sios.com またまたbindに脆弱性らしい。 ただ、緊急の方はBIND for Windowsパッケージらしいので、Windows上で BIND利用しているユーザがどの程度なのかなぁと。 一方、3140の方はModerateだけどリモートからやれるらしいので、そこそこかな。

linux kernelの脆弱性( CVE-2017-1000380 )

oss.sios.com これは範囲は広いですが、情報漏えいということなのでPriorityがどうなるのか ですね。ローカルユーザというところからMediumっぽいですが。。。

SambaにDoSの脆弱性(CVE-2017-9461)

oss.sios.com SambaにDoSの脆弱性が出たようです。Samba本家のSecurityのサイトには まだ情報は上がっていないようですねぇ。

Tomcatの脆弱性 ( CVE-2017-5664 )

oss.sios.com Tomcatの脆弱性が出ています。

sudoに任意のコマンド実行と情報漏えいの脆弱性( CVE-2017-1000368 )

oss.sios.com 前回のsudo(CVE-2017-1000367)の件、修正が改行文字を含んだ場合が 想定されていなくて不完全だった模様。

wiresharkに複数の脆弱性(CVE-2017-9343, CVE-2017-9344, CVE-2017-9345, CVE-2017-9346, CVE-2017-9347, CVE-2017-9348, CVE-2017-9349, CVE-2017-9350, CVE-2017-9351, CVE-2017-9352, CVE-2017-9353, CVE-2017-9354 )

oss.sios.com Wiresharkに複数の脆弱性が出てます。基本、クラッシュか リソースバカ食いの脆弱性のようです。

Xenの複数の脆弱性 (XSA-213: CVE-2017-8903 / XSA-214: CVE-2017-8904 / XSA-215: CVE-2017-8905)

oss.sios.com Xenに複数の脆弱性が出てます。

FreeRADIUSの脆弱性 ( CVE-2017-9148 )

oss.sios.com FreeRADIUSに脆弱性のようです。認証の迂回ということで、ちょっとプライオリティは高めかと思います。

OpenLDAPの脆弱性 ( CVE-2017-9287 )

oss.sios.com OpenLDAPにも脆弱性です。前提条件があるのでMediumみたいですね。 可能であれば更新が必要かと。

sudoに完全な特権昇格の脆弱性( CVE-2017-1000367 )

oss.sios.com sudoの脆弱性です。面白いことに、SELinuxの動きも悪用しているので SELinuxが有効になっているシステムで発生します。 いずれにせよ、対処は必要ですね。

linux kernelの脆弱性( CVE-2017-9242 )

oss.sios.com またlinux kernelの脆弱性が出ているようです。ipv6関連のようですので、前回と同じようにipv6周りも精査しているということみたいですね。

Puppetサーバにリモートからのコード実行の脆弱性(CVE-2017-2295)

oss.sios.com PuppetサーバにHighレベルの脆弱性です。リモートからのコード実行 なので、Puppetを使って管理をしている場合には対処が必要です。

Sambaにリモートからのコード実行の脆弱性(CVE-2017-7494)

oss.sios.com Sambaの脆弱性です。結構影響度合いが大きそうですね。

linux kernelの脆弱性( CVE-2017-1000363 )

oss.sios.com linux-2.2以降全てのバージョンに影響ありということできつそうですが config_printer=yにしてる必要があるということで、その辺で救われるかも。

linux kernelの脆弱性( CVE-2017-9150, CVE-2017-9211 )

oss.sios.com またlinux kernelに脆弱性情報がいくつか出ていますね。 最近はほぼ毎日出ているので、どこかでまとめた情報に したほうが良さそうです。

JBOSSの脆弱性(CVE-2017-7504)

oss.sios.com JBOSSでCriticalの脆弱性のようですが、バージョンから判断するとRedHatの バージョンよりも新しいやつで出ているようですね。

linux kernelの脆弱性( CVE-2017-9074, CVE-2017-9075, CVE-2017-9076, CVE-2017-9077 )

oss.sios.com ipv6関連の関数で問題があるようですね。複数出ていますがModerateです。

openvpnの脆弱性(CVE-2017-7478, CVE-2017-7479)

oss.sios.com OpenVPNの脆弱性情報です。

linux kernelの脆弱性( CVE-2017-7495 )

oss.sios.com こっちはkernelの脆弱性です。ファイル情報漏えいの問題のようです。

authconfigの脆弱性 ( CVE-2017-8422 )

oss.sios.com authconfigの脆弱性です。RedHat系列だけが対象のようです。

KDE KAuthの特権昇格の脆弱性 ( CVE-2017-8422 )

oss.sios.com KDEに特権昇格の脆弱性のようです。普段GNOME使いの方は あんまり関係無いと思いますが、KDEをお使いの方は気をつけて下さい。

PostgreSQLに複数の脆弱性(2017-05-11 Security Update Release : CVE-2017-7484, CVE-2017-7485, CVE-2014-7486)

oss.sios.com PostgreSQLサーバに複数の脆弱性が出ているようです。対象バージョンも 広いので、注意が必要です。

PHPの脆弱性( CVE-2017-8923 )

oss.sios.com PHPの脆弱性が出ています。リモートからのDoSが可能のようです。

kernelの脆弱性( CVE-2017-7487 )

oss.sios.com またkernelの脆弱性らしいです。続きますね。。。

linux kernelの脆弱性( CVE-2017-7472 )

oss.sios.com またlinux kernelの脆弱性です。GW中もですが相変わらずのペースで 脆弱性が色々公開されていますね。この調子で悪い所がどんどん 無くなっていけば良いんですが。

linux kernelの脆弱性( CVE-2017-8890 )

oss.sios.com またkernelの脆弱性のようです。