7月13日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
米シスコApache Struts 2の脆弱性(CVE-2010-1870)への対応(2014/07/09)
Cisco Business Edition 3000シリーズ、Cisco Identity Services Engine、Cisco Media Experience Engine 3500シリーズ、Cisco Unified Contact Center EnterpriseのXWorksコンポーネントには、Struts 2.2.1で解決した任意のコード実行を許してしまう脆弱性(CVE-2010-1870)が存在します。
- シスコ:cisco-sa-20140709-struts2: Apache Struts 2 Command Execution Vulnerability in Multiple Cisco Products
- Apache Struts:S2-005: XWork ParameterInterceptors bypass allows remote command execution
マイクロソフト2014年7月の月例セキュリティアップデート(2014/07/09)
2014年7月の月例セキュリティアップデートでは、6件のセキュリティ更新プログラムが公開されました。これらにより、29件のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス拒否、アクセス権限の昇格、セキュリティ機能の迂回です(図1)。また、Windows 8、Windows Server 2012、Windows RT、Windows 8.1、Windows Server 2012 R2および Windows RT 8.1上で動作するInternet Explorer 10/11用のAdobe Flash Playerの更新プログラム(APSB14-17、Adobe Flash Player 14.0.0.145)対応がリリースされました。
- マイクロソフト:2014年7月のセキュリティ情報
- マイクロソフト:マイクロソフト セキュリティ アドバイザリー(2755801): Internet Explorer上のAdobe Flash Playerの脆弱性に対応する更新プログラム
米アドビ システムズAdobe Flash Player 14.0.0.145リリース:APSB14-17(2014/07/08)
Adobe Flash Player 14.0.0.145、Adobe AIR 14.0.0.137では、JSONP(JSON with padding)callback APIを利用したクロスサイトリクエストフォージェリーに起因する情報漏洩を許してしまう脆弱性(CVE-2014-4671)、セキュリティ機構の迂回を許してしまう脆弱性(CVE-2014-0537、CVE-2014-0539)を解決しています(図2)。
Tomcat Native 1.1.31リリース(2014/07/07)
TomcatからJava Native Interface(JNI)経由でApache Portable Runtime(APR)を利用するためのライブラリーであるTomcat Native 1.1.31がリリースされました。このリリースでは、Windows版バイナリーをOpenSSL 1.0.1hに対応させ、中間者攻撃により情報漏洩や改ざんを許してしまう脆弱性(CVE-2014-0224)を解決しています。また、FIPSモードでは、1024ビットよりも短いRSA鍵を生成できないように修正しています。
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
