2014年8月24日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
PHP 5.5.16、5.4.32リリース(2014/08/22)
PHP 5.5.16では、Fileinfoコンポーネントでの正規表現による検索でサービス拒否攻撃を許してしまう脆弱性(CVE-2014-3538)、整数オーバーフローの脆弱性(CVE-2014-3587)、GDコンポーネントでのファイルの上書き(CVE-2014-5120)、NULLポインター参照(NULL pointer dereference)(CVE-2014-2497)、ネットワークコンポーネントでのバッファオーバーフローの脆弱性(CVE-2014-3597)を解決しています。
また、PHP 5.4.32では、これらに加えて、SPL(Standard PHP Library)でのメモリーの解放後使用(use-after-free)に起因するサービス拒否攻撃を許してしまう脆弱性(CVE-2014-4698、CVE-2014-4670)を解決しています。
Ruby 1.9.2-p330リリース(2014/08/19)
Ruby 1.9.2-p330では、URIのメソッドdecode_www_form_componentを利用して長い文字列を処理する際に発生するサービス拒否攻撃を許してしまう不具合を修正しています。この問題は、Ruby 1.9.2系にのみ影響します。また、Ruby 1.9.2系は、2014年7月31日まで延長していたサポートが終了することから、Ruby 1.9.2-p330が1.9.2系の最後のリリースになるとしています。
