9月27日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
Struts 2.3.24.1リリース(2015/09/24)
WebアプリケーションフレームワークStrutsのバージョン2.3.24.1がリリースされました。バージョン2.3.24.1では、内部オブジェクトを不正に操作される脆弱性(CVE-2015-5209)を解決しています。この問題の影響を受けるStruts 2.0.0~Struts Struts 2.3.24は、除外指定のパラメーターフィルターを適用するか、バージョン2.3.24.1にアップデートする必要があります。
- Apache Struts:Version Notes 2.3.24.1
- Apache Struts:Manipulation of Struts' internals, altering of user session
米シスコIOSに複数の脆弱性(2015/09/23)
Cisco IOS関連で、3件のセキュリティアドバイザリーが公開され、4件のセキュリティ問題が解決されています。脆弱性による影響はサービス拒否攻撃、ユーザー認証機構の迂回です。
■cisco-sa-20150923-fhs
Cisco IOSおよびCisco IOS XEのIPv6ファーストホップセキュリティ機能のIPv6スヌーピングパケット処理には、サービス拒否攻撃を許してしまう脆弱性(CVE-2015-6278、CVE-2015-6279)が存在します。不正なIPv6 Neighbor Discoveryパケットを受信した場合に、機器のリロードが発生する可能性があります。ファーストホップセキュリティ機能は、インタフェースまたはVLANに適用できる一連のIPv6セキュリティ機能を提供しています。
■cisco-sa-20150923-sshpk
Cisco IOSおよびCisco IOS XEのSSHバージョン2の実装には、RSAベースのユーザー認証機構の迂回を許してしまう脆弱性(CVE-2015-6280)が存在します。
■cisco-sa-20150923-iosxe
Cisco IOS XEのネットワークアドレス変換(NAT)ならびに、マルチプロトコルラベルスイッチング(MPLS)のIPv4パケット処理には、サービス拒否攻撃を許してしまう脆弱性(CVE-2015-6282)が存在します。NATとMPLSサービスを利用する不正なIPv4パケットを受信した場合に、機器のリロードが発生する可能性があります。