Hitach Incident Response Team

 12月7日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Struts 2.3.20リリース(2014/12/07)

 WebアプリケーションフレームワークStrutsのバージョン2.3.20がリリースされました。バージョン2.3.20では、クロスサイトリクエストフォージェリーの脆弱性(CVE-2014-7809)を解決しています。この問題は、tokenで使用している乱数が推定可能であることに起因しており、<s:token/>タグを使用している場合に影響があります。

米アップル製品

■iOS 8.1.2リリース(2014/12/09)

 iOS 8.1.2は、着信音がデバイスから削除される不具合など、バグの修正を目的としたリリースです。iOS 8.1.2では、iOS 8.1.1で解決した脆弱性に対応しています。

■Safari 8.0.2、Safari 7.1.2、Safari 6.2.2リリース(2014/12/11)

 12月3日にリリースされたSafari 8.0.1、Safari 7.1.1、Safari 6.2.1では、Webkitに存在する任意のコード実行やサービス拒否攻撃、セキュリティ機構の迂回、なりすましを許してしまう脆弱性13件を解決しています。12月11日、Safari 8.0.2、Safari 7.1.2、Safari 6.2.2がリリースされました。このリリースでは、Safari 8.0.1でインストール後に稀に発生する、アプリが起動できなくなるという不具合などを修正しています。

Firefox 34.0、ESR 31.3.0リリース(2014/12/01)

 12月1日にリリースされたFirefox 34.0では、メモリーの解放後使用(use-after-free)、メモリー破損、バッファオーバーフローなどに起因し、任意のコード実行を許してしまう脆弱性、サービス拒否攻撃、情報漏洩、セキュリティ機構の迂回を許してしまう脆弱性など、9件のセキュリティアドバイザリーに含まれる計11件の脆弱性を解決しています(図1)。また、同日、北米におけるデフォルトの検索エンジンがYahoo!に変更されたFirefox 34.0.5がリリースされました。

図1●Firefox 34.0、Thunderbird 31.3での対応

Thunderbird 31.3リリース(2014/12/01)

 Thunderbird 31.3では、任意のコード実行を許してしまう脆弱性、サービス拒否攻撃を許してしまう脆弱性など、6件のセキュリティアドバイザリーに含まれる計7件の脆弱性を解決しています。

Samba 4.1.14、Samba 4.0.23リリース(2014/12/01)

 12月1日、s3-nmbd、s3-libsmbclient-smb2、s4-dns、nss_winbind、pdb_tdb、s3-smbd、s3-keytabなどに存在する16件のバグを修正したSamba 4.1.14がリリースされました。12月8日、s3-daemons、s3-nmbd、s3-smb2clis3-libnet、pdb_tdb、s3-smbd、s3-winbindd、s3-libnet、s3-libadsなどに存在する22件のバグを修正したSamba 4.0.23がリリースされました。いずれもセキュリティアップデートは含まれていません。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら