• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

CSIRTメモ

チェックしておきたい脆弱性情報<2014.09.30>

寺田真敏=Hitachi Incident Response Tearm 2014/09/30 日経コミュニケーション

Hitach Incident Response Team

 2014年9月7日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Apache HTTPサーバー2.2.29リリース(2014/09/03)

 Apache HTTPサーバー2.2.28では、4件の脆弱性を解決しています。ただし、このバージョンは、リリースされていません。任意のコード実行を許してしまう脆弱性(CVE-2014-0226)は、Apacheの動作情報を取得モジュールmod_statusに存在するバッファオーバーフローに起因する問題です。サービス拒否攻撃を許してしまう脆弱性(CVE-2014-0231、CVE-2014-0118)は、CGI起動時の動作を軽量化するモジュールmod_cgid、圧縮された入出力を伸張するフィルターモジュールmod_deflateに関する問題です。セキュリティ機構の迂回を許してしまう脆弱性(CVE-2013-5704)は、データのトレーラー部分にヘッダーが配置された場合に、RequestHeader unsetディレクティブの迂回を許してしまう可能性があるというものです。なお、既存動作を保証するために、MergeTrailersディレクティブが導入されました。

 9月3日リリースされたApache HTTPサーバー2.2.29では、バージョン2.2.28で解決した脆弱性の対応が含まれています。

Tomcat 8.0.12リリース(2014/09/03)

 Tomcat 8.0.12は、バグの修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。バージョン8.0.11からの大きな変更としては、コンテキストリロード後に発生するHTTP Status 503 - Servlet jsp is currently unavailableの不具合修正、SessionIdGeneratorによるセッションID生成の拡張、WebSocketのデータ圧縮機能として、サーバー側でのpermessage-deflate対応などがあります。

ここから先はITpro会員(無料)の登録が必要です。

次ページ NSD 4.1.0リリース(2014/09/04...
  • 1
  • 2
  • 3

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【クラウド女子】

    リクルートでも異端、生粋クラウド女子の凄み

     起業家精神を尊ぶ企業文化で知られるリクルートグループ。そのITとネットマーケティングのスピード感の源泉となるクラウド基盤を支えるのが、リクルートテクノロジーズの宮崎幸恵さん(サイトリライアビリティエンジニアリング部クラウドグループ)だ。異動の激しいリクルート内では珍しく、新卒入社から6年超、クラウ…

  • 【北川 賢一のIT業界乱反射】

    富士通株価上昇のナゾ

     春の珍事と言うべきか、はたまた当然の結果と見るべきか。富士通の株価が急上昇し、2年ぶりの高値を付けた。富士通は4月28日の取引終了後に前年度比5%の減収、2%増益の2016年度連結決算を報告したが、その後の2週間で株価が15%上昇し、5月11日には800円の高値を付けたのである。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る