Hitach Incident Response Team

 6月12日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Apache Struts 1に脆弱性(2016/06/07)

 WebアプリケーションフレームワークApache Struts 1の脆弱性情報が掲載されました。報告された脆弱性は、クロスサイトスクリプティングやサービス拒否攻撃を許してしまう脆弱性(CVE-2016-1181、CVE-2016-1182)で、影響を受けるバージョンは1.1~1.3.10です。また、Apache Struts 1をベースとしたTERASOLUNA Server Framework for Javaについても、アクセス制限の迂回を許してしまう脆弱性(CVE-2016-1183)の存在が明らかとなりました。なお、Apache Struts 1のサポートは2013年4月5日に終了していますので、対策についてはApache Struts 1を使用する製品開発ベンダーから入手する必要があります。

Firefox 47.0、ESR 45.2リリース(2016/06/07)

 Firefox 47.0では、任意のコード実行を許してしまう脆弱性、サービス拒否攻撃、アクセス権限の昇格、情報漏洩、セキュリティ機能の迂回を許してしまう脆弱性など、13件のセキュリティアドバイザリーに含まれる計14件の脆弱性を解決しています。また、ESRとしてバージョン45.2がリリースされました。任意のコード実行は、ブラウザーエンジンでのメモリー破損の脆弱性に起因しています。

Red Hat Enterprise Linux Server(v.6)(2016/06/06)

 Red Hat Enterprise Linux Serverに搭載されているFirefox、spice-serverのセキュリティアップデート(RHSA-2016:1217、RHSA-2016:1204)がリリースされました。Firefoxのアップデートでは、Firefox ESR 45.2で解決した脆弱性に対応しています。デスクトップの仮想化を実現するサーバー機能spice-serverでは、任意のコード実行と情報漏洩を許してしまう2件の脆弱性を解決しています。

この先は会員の登録が必要です。今なら有料会員(月額プラン)は12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら