3月20日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
Struts 2.3.28リリース(2016/03/18)
WebアプリケーションフレームワークStrutsのバージョン2.3.28がリリースされました。バージョン2.3.28では、クロスサイトスクリプティングの脆弱性(CVE-2016-2162)、任意のコード実行を許してしまう脆弱性(CVE-2016-0785)を解決しています。タグにおいてname="%{#request.xxx}"のような記述を使用している場合に、CVE-2016-0785の影響を受ける可能性があります。この問題の影響を受ける可能性があるのはStruts 2.0.0~Struts 2.3.24.1で、解決するには除外指定のパラメーターフィルターを適用するか、バージョン2.3.28にアップデートする必要があります。
- Apache Struts:Version Notes 2.3.28
- Apache Struts:Use of a JRE with broken URLDecoder implementation may lead to XSS vulnerability in Struts 2 based web applications.
- Apache Struts:Forced double OGNL evaluation, when evaluated on raw user input in tag attributes, may lead to remote code execution.
- Apache Struts:Possible XSS vulnerability in I18NInterceptor
Google Chrome 49.0.2623.87リリース(2016/03/08)
3月2日、バージョン49(49.0.2623.75)がリリースされました。このバージョンでは、メモリーの解放後使用(use-after-free:CWE-416)、領域外のメモリー参照(out-of-bounds read:CWE-125)、同一生成元ポリシー違反(CWE-346)など、計25件の脆弱性(CVE-2015-8126、CVE-2016-1630~CVE-2016-1641)を解決しています。3月8日リリースされたWindows/Mac/Linux版49.0.2623.87では、メモリーの解放後使用、型の取り違え(type confusion:CWE-84.4)、領域外メモリーへの書き出し(out-of-bounds write:CWE-787)による3件の脆弱性(CVE-2016-1643~CVE-2016-1645)を解決しています。
