9月22日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
Struts 2.3.15.2リリース(2013/09/20)
WebアプリケーションフレームワークStrutsのバージョン2.3.15.2がリリースされました。このバージョンでは、セキュリティ機構の迂回を許してしまう脆弱性(CVE-2013-4310)、Dynamic Method Invocationにおける脆弱性(CVE-2013-4316)を解決しています。Dynamic Method Invocationは、アクションを発動するときに、メソッド名を指定できる機能です。バージョン2.3.15.2では、Dynamic Method Invocationをデフォルトで無効とします。なお、脆弱性の詳細については、セキュリティ更新プログラムが広く展開されてから公開するとしています。
- Apache Struts:Version Notes 2.3.15.2
- Apache Struts:Broken Access Control Vulnerability in Apache Struts2
- Apache Struts:Dynamic Method Invocation disabled by default
米シスコ製品に複数の脆弱性
■Cisco Prime Data Center Network Manager(2013/09/18)
データセンター向けの管理製品であるCisco Prime Data Center Network Managerには、情報漏洩を許してしまう脆弱性(CVE-2013-5487)、任意のコマンド実行を許してしまう脆弱性(CVE-2013-5486)、XML External Entityに関連して任意のファイル参照を許してしまう脆弱性(CVE-2013-5490)が存在します。
■Cisco Prime Central for HCS Assurance(2013/09/18)
複数の情報源からのデータを集約して表示するための製品Cisco Prime Central for HCS(Hosted Collaboration Solution)AssuranceのWebインタフェースには、ユーザーのアカウントとパスワード情報の漏洩を許してしまう脆弱性(CVE-2013-3473)が存在します。ポート番号8443/TCPあるいは9090/TCPで稼働するHTTPS接続でのWebインタフェースで不正なHTTP要求を受信した場合に、脆弱性を悪用されてしまう可能性があります。
米アップル製品
■OS X Server v2.2.2リリース(2013/09/17)
OS X Server v2.2.2では、ClamAVに存在する任意のコード実行を許してしまう脆弱性(CVE-2013-2020、CVE-2013-2021)、PostgreSQL 9.2.4で解決された脆弱性(CVE-2013-1899、CVE-2013-1900、CVE-2013-1901)、Wiki Serverに存在するクロスサイトスクリプティングの脆弱性(CVE-2013-1034)を解決しています。
■iTunes 11.1リリース(2013/09/18)
iTunes 11.1では、iTunes ActiveXコントロールに存在するサービス拒否攻撃や任意のコード実行を許してしまう脆弱性(CVE-2013-1035)を解決しています。この問題は、メモリー破損に起因しています。
■Xcode 5.0リリース(2013/09/18)
Xcode 5.0では、分散型バージョン管理システムであるgitコンポーネントに存在するなりすましを許してしまう脆弱性(CVE-2013-0308)を解決しています。
■Apple TV 6.0リリース(2013/09/19)
Apple TV 6.0では、不正なPDFファイルを開いた際にサービス拒否攻撃や任意のコード実行を許してしまう脆弱性2件、不正なWebサイトやページにアクセスした際にサービス拒否攻撃や任意のコード実行を許してしまう脆弱性44件など、計57件の脆弱性を解決しています。
Firefox 24.0、ESR 17.0.9リリース(2013/09/17)
Firefox 24.0では、バッファオーバーフロー、メモリー破損、メモリーの解放後使用(use-after-free)などに起因し、任意のコード実行を許してしまう脆弱性など、17件のセキュリティアドバイザリーに含まれる計19件の脆弱性を解決しています(図1)。
