Hitach Incident Response Team

 2月22日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

PHP 5.6.6、PHP 5.5.22、PHP 5.4.38リリース(2015/02/18)

 PHP 5.6.6、PHP 5.5.22、PHP 5.4.38では、unserialize関数に存在する任意のコード実行を許してしまう脆弱性(CVE-2015-0273)を解決し、GHOST(CVE-2015-0235)の緩和策を導入しました。脆弱性CVE-2015-0273は、メモリーの解放後使用(use-after-free:CWE-416)に起因しています。GHOSTの緩和策では、ホスト名の最大長#define MAXHOSTNAMELEN 255に対する長さチェックを実施しています。また、これらのバージョンでは、Core、Enchantなどのコンポーネントに存在する不具合を修正しています。

Apache Standard Taglib 1.2.3リリース(2015/02/20)

 JSTL(Java Server Pages Standard Tag Library)1.2仕様のタグライブラリーApache Standard Taglib 1.2.3がリリースされました。このリリースでは、JSTL XMLタグのx:parseやx:transform処理に存在する脆弱性(CVE-2015-0254)を解決しています。脆弱性の影響は、外部に置かれたファイルを呼び出すXXE(XML eXternal Entity)問題やコード実行を許してしまうというものです。

Tomcat 8.0.20リリース(2015/02/20)

 Tomcat 8.0.20は、バグの修正や改善を目的としたリリースです。署名付きJARを使用する際に発生する性能低下やServlet 3.0 async処理に作り込まれた不具合の修正、JNDIで使用されるBeanFactoryに新たな属性forceStringを導入するなど強化をしています。リリース時点で、セキュリティアップデートの報告はありません。