Hitach Incident Response Team

 7月13日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米シスコApache Struts 2の脆弱性(CVE-2010-1870)への対応(2014/07/09)

 Cisco Business Edition 3000シリーズ、Cisco Identity Services Engine、Cisco Media Experience Engine 3500シリーズ、Cisco Unified Contact Center EnterpriseのXWorksコンポーネントには、Struts 2.2.1で解決した任意のコード実行を許してしまう脆弱性(CVE-2010-1870)が存在します。

マイクロソフト2014年7月の月例セキュリティアップデート(2014/07/09)

 2014年7月の月例セキュリティアップデートでは、6件のセキュリティ更新プログラムが公開されました。これらにより、29件のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス拒否、アクセス権限の昇格、セキュリティ機能の迂回です(図1)。また、Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2および Windows RT 8.1上で動作するInternet Explorer 10/11用のAdobe Flash Playerの更新プログラム(APSB14-17、Adobe Flash Player 14.0.0.145)対応がリリースされました。

図1●脆弱性による影響(7月の月例セキュリティアップデート)
図1●脆弱性による影響(7月の月例セキュリティアップデート)

米アドビ システムズAdobe Flash Player 14.0.0.145リリース:APSB14-17(2014/07/08)

 Adobe Flash Player 14.0.0.145、Adobe AIR 14.0.0.137では、JSONP(JSON with padding)callback APIを利用したクロスサイトリクエストフォージェリーに起因する情報漏洩を許してしまう脆弱性(CVE-2014-4671)、セキュリティ機構の迂回を許してしまう脆弱性(CVE-2014-0537、CVE-2014-0539)を解決しています(図2)。

図2●Adobe Flash Playerの脆弱性対策件数
図2●Adobe Flash Playerの脆弱性対策件数

Tomcat Native 1.1.31リリース(2014/07/07)

 TomcatからJava Native Interface(JNI)経由でApache Portable Runtime(APR)を利用するためのライブラリーであるTomcat Native 1.1.31がリリースされました。このリリースでは、Windows版バイナリーをOpenSSL 1.0.1hに対応させ、中間者攻撃により情報漏洩や改ざんを許してしまう脆弱性(CVE-2014-0224)を解決しています。また、FIPSモードでは、1024ビットよりも短いRSA鍵を生成できないように修正しています。