Hitach Incident Response Team

 2014年9月14日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Tomcat 7.0.0~7.0.39に任意のコード実行を許してしまう脆弱性(2014/09/10)

 9月10日、任意のコード実行を許してしまう脆弱性情報(CVE-2013-4444)が新たに掲載されました。この問題は、2014年9月5日に確認されたもので、Oracle Java 1.7.0 update 25あるいは、それ以前を使用しているなどの条件が重なった場合に、任意のコード実行を許してしまう可能性があるというものです。影響を受けるバージョンは、Tomcat 7.0.0~7.0.39です。

米シスコCisco Unified Computing System E-Series Blade(2014/09/08)

 Cisco Unified Computing System E-Series BladeサーバーのIntegrated Management Controller SSHモジュールには、認証操作なしでリモートからのサービス拒否攻撃を許してしまう脆弱性(CVE-2014-3348.)が存在します。この問題は、SSHパケット処理が適切ではないことに起因しています。

VMware

■セキュリティアップデート:VMSA-2014-0008(2014/09/09)

 vCenter Server、ESXiに存在する複数の脆弱性を解決しています。

 vCenter Serverでは、Apache Struts 1に存在するClassLoaderの操作を許してしまう脆弱性(CVE-2014-0114)と、Apache Tomcatをバージョン7.0.52にアップデートし、サービス拒否攻撃を許してしまう脆弱性(CVE-2013-4322、CVE-2014-0050)、情報漏洩を許してしまう脆弱性(CVE-2013-4590)を解決しています。またJRE(Java Runtime Environment)では、vCenter Server、Update Managerのバージョンを2014年4月にリリースされたJRE 1.7 Update 55にアップデートします。ESXiでは、glibcに存在するバッファオーバーフローの脆弱性(CVE-2013-0242、CVE-2013-1914)を解決しています。