6月12日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
Apache Struts 1に脆弱性(2016/06/07)
WebアプリケーションフレームワークApache Struts 1の脆弱性情報が掲載されました。報告された脆弱性は、クロスサイトスクリプティングやサービス拒否攻撃を許してしまう脆弱性(CVE-2016-1181、CVE-2016-1182)で、影響を受けるバージョンは1.1~1.3.10です。また、Apache Struts 1をベースとしたTERASOLUNA Server Framework for Javaについても、アクセス制限の迂回を許してしまう脆弱性(CVE-2016-1183)の存在が明らかとなりました。なお、Apache Struts 1のサポートは2013年4月5日に終了していますので、対策についてはApache Struts 1を使用する製品開発ベンダーから入手する必要があります。
- JVN#65044642: Apache Struts 1における入力値検証機能に関する脆弱性
- JVN#03188560: Apache Struts 1におけるメモリー上にあるコンポーネントを操作可能な脆弱性
- JVN#74659077:TERASOLUNA Server Framework for Java(WEB)の拡張子直接アクセス禁止機能における制限回避の脆弱性
Firefox 47.0、ESR 45.2リリース(2016/06/07)
Firefox 47.0では、任意のコード実行を許してしまう脆弱性、サービス拒否攻撃、アクセス権限の昇格、情報漏洩、セキュリティ機能の迂回を許してしまう脆弱性など、13件のセキュリティアドバイザリーに含まれる計14件の脆弱性を解決しています。また、ESRとしてバージョン45.2がリリースされました。任意のコード実行は、ブラウザーエンジンでのメモリー破損の脆弱性に起因しています。
Red Hat Enterprise Linux Server(v.6)(2016/06/06)
Red Hat Enterprise Linux Serverに搭載されているFirefox、spice-serverのセキュリティアップデート(RHSA-2016:1217、RHSA-2016:1204)がリリースされました。Firefoxのアップデートでは、Firefox ESR 45.2で解決した脆弱性に対応しています。デスクトップの仮想化を実現するサーバー機能spice-serverでは、任意のコード実行と情報漏洩を許してしまう2件の脆弱性を解決しています。
