4月27日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
Struts 2.3.16.2リリース(2014/04/25)
WebアプリケーションフレームワークStrutsのバージョン2.3.16.2がリリースされました。バージョン2.3.16.2では、ParametersInterceptorからClassLoaderの操作を許してしまう脆弱性(CVE-2014-0094)、CVE-2014-0094の修正漏れによる脆弱性(CVE-2014-0112)、CookieInterceptorからClassLoaderの操作を許してしまう脆弱性(CVE-2014-0113)を解決しています。
また4月29日、Apache Struts project teamにおいて、Strutsのバージョン1.xにもClassLoaderの操作を許してしまう脆弱性の存在が確認され、新たな脆弱性識別番号(CVE-2014-0114)が割り当てられました(図1)。
図1●脆弱性(CVE-2014-0094)の対応経緯
- Apache Struts:Version Notes 2.3.16.2
- Apache Struts:Improves excluded params in ParametersInterceptor and CookieInterceptor to avoid ClassLoader manipulation
- Apache Struts:[ANN][SECURITY] ClassLoader manipulation issue confirmed for Struts 1 - CVE-2014-0114
- 日本シーサート協議会:Struts: ClassLoaderの操作を許してしまう脆弱性(CVE-2014-0094, CVE-2014-0112, CVE-2014-0113)について
米アップル製品
■Apple TV 6.1.1リリース(2014/04/22)
Apple TV 6.1.1では、任意のコード実行、サービス拒否攻撃、情報漏洩を許してしまう脆弱性19件を解決しています。任意のコード実行を許してしまう脆弱性は16件で、WebKitコンポーネントに存在するメモリー破損に起因しています。情報漏洩は、HTTPヘッダーのSet-Cookie処理、カーネルのアドレス空間配置のランダム化、SSL/TLSの再ネゴシエーション時のX.509サーバー証明書の検証に関するものです。
