Hitach Incident Response Team

 2014年9月7日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Apache HTTPサーバー2.2.29リリース(2014/09/03)

 Apache HTTPサーバー2.2.28では、4件の脆弱性を解決しています。ただし、このバージョンは、リリースされていません。任意のコード実行を許してしまう脆弱性(CVE-2014-0226)は、Apacheの動作情報を取得モジュールmod_statusに存在するバッファオーバーフローに起因する問題です。サービス拒否攻撃を許してしまう脆弱性(CVE-2014-0231、CVE-2014-0118)は、CGI起動時の動作を軽量化するモジュールmod_cgid、圧縮された入出力を伸張するフィルターモジュールmod_deflateに関する問題です。セキュリティ機構の迂回を許してしまう脆弱性(CVE-2013-5704)は、データのトレーラー部分にヘッダーが配置された場合に、RequestHeader unsetディレクティブの迂回を許してしまう可能性があるというものです。なお、既存動作を保証するために、MergeTrailersディレクティブが導入されました。

 9月3日リリースされたApache HTTPサーバー2.2.29では、バージョン2.2.28で解決した脆弱性の対応が含まれています。

Tomcat 8.0.12リリース(2014/09/03)

 Tomcat 8.0.12は、バグの修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。バージョン8.0.11からの大きな変更としては、コンテキストリロード後に発生するHTTP Status 503 - Servlet jsp is currently unavailableの不具合修正、SessionIdGeneratorによるセッションID生成の拡張、WebSocketのデータ圧縮機能として、サーバー側でのpermessage-deflate対応などがあります。

ここからは会員の登録が必要です。