Hitach Incident Response Team

 11月30日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アドビ システムズAdobe Flash Player 15.0.0.239リリース:APSB14-26(2014/11/25)

 Adobe Flash Player 15.0.0.239では、メモリーポインターの処理に存在する任意のコード実行を許してしまう脆弱性(CVE-2014-8439)を解決しています。

Ruby 2.1.5、Ruby 2.0.0-p598、Ruby 1.9.3-p551リリース(2014/11/13)

 Ruby 2.1.5、Ruby 2.0.0-p598、Ruby 1.9.3-p551では、標準添付ライブラリーREXMLのXML処理に存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2014-8090)を解決しています。この問題は、既に報告されているサービス拒否攻撃を許してしまう脆弱性(CVE-2013-1821、CVE-2014-8080)と類似していますが、異なる問題です。

Tomcat 8.0.15、Tomcat 7.0.57、Tomcat 6.0.43リリース(2014/11/22)

 Tomcat 8.0.15、Tomcat 7.0.57、Tomcat 6.0.43は、バグの修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。

 Tomcat 6.0.43、Tomcat 7.0.57では、バグ修正のほかに、Windows版バイナリーをOpenSSL 1.0.1jとAPR 1.5.1に対応させたTomcat Native 1.1.32へのアップデート、APRコネクターでのTLSv1.1/TLSv1.2のサポート、HTTPSコネクションでのSSLv3デフォルト無効化などが施されています。Tomcat 8.0.15では、APRコネクターでのTLSv1.1/TLSv1.2のサポート、HTTPSコネクションでのSSLv3デフォルト無効化に加え、RFC6265に準拠したCookie処理などの機能強化が施されています。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら