• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

CSIRTメモ

チェックしておきたい脆弱性情報<2014.09.30>

寺田真敏=Hitachi Incident Response Tearm 2014/09/30 日経コミュニケーション

Hitach Incident Response Team

 2014年9月7日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Apache HTTPサーバー2.2.29リリース(2014/09/03)

 Apache HTTPサーバー2.2.28では、4件の脆弱性を解決しています。ただし、このバージョンは、リリースされていません。任意のコード実行を許してしまう脆弱性(CVE-2014-0226)は、Apacheの動作情報を取得モジュールmod_statusに存在するバッファオーバーフローに起因する問題です。サービス拒否攻撃を許してしまう脆弱性(CVE-2014-0231、CVE-2014-0118)は、CGI起動時の動作を軽量化するモジュールmod_cgid、圧縮された入出力を伸張するフィルターモジュールmod_deflateに関する問題です。セキュリティ機構の迂回を許してしまう脆弱性(CVE-2013-5704)は、データのトレーラー部分にヘッダーが配置された場合に、RequestHeader unsetディレクティブの迂回を許してしまう可能性があるというものです。なお、既存動作を保証するために、MergeTrailersディレクティブが導入されました。

 9月3日リリースされたApache HTTPサーバー2.2.29では、バージョン2.2.28で解決した脆弱性の対応が含まれています。

Tomcat 8.0.12リリース(2014/09/03)

 Tomcat 8.0.12は、バグの修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。バージョン8.0.11からの大きな変更としては、コンテキストリロード後に発生するHTTP Status 503 - Servlet jsp is currently unavailableの不具合修正、SessionIdGeneratorによるセッションID生成の拡張、WebSocketのデータ圧縮機能として、サーバー側でのpermessage-deflate対応などがあります。

次ページ以降はITpro会員(無料)の方のみお読みいただけます。

次ページ NSD 4.1.0リリース(2014/09/04...
  • 1
  • 2
  • 3

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る