11月22日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
VMwareセキュリティアップデート:VMSA-2015-0008(2015/11/18)
Apache Flex BlazeDSを使用しているVMware vCenter Server、vCloud Director、VMware Horizon Viewには、情報漏洩を許してしまう脆弱性(CVE-2015-3269)が存在します。この問題は、Apache Flex BlazeDSに存在する、外部に置かれたファイルを呼び出すXXE(XML eXternal Entity)問題に起因しています。
- VMware:VMSA-2015-0008: VMware product updates address information disclosure issue.
- 米アドビ システムズ:APSB15-20: LiveCycle Data Services対象のセキュリティホットフィックス
米アドビ システムズ製品
■ColdFusion:APSB15-29(2015/11/17)
Windows、Mac、UNIX版ColdFusion 11および10のバージョンには、クロスサイトスクリプティング問題(CVE-2015-8052、CVE-2015-8053)、サーバー側でのリクエストフォージェリ(SSRF:Server-Side Request Forgery)問題(CVE-2015-5255)が存在します。SSRF問題は、Adobe BlazeDSコンポーネントに起因しています。
■LiveCycle Data Services:APSB15-30(2015/11/17)
Windows、Mac、UNIX版LiveCycle Data Services 4.x、3.xには、サーバー側のリクエストフォージェリ(SSRF)問題(CVE-2015-5255)が存在します。SSRF問題は、Adobe BlazeDSコンポーネントに起因しています。
■Adobe Premiere Clip:APSB15-31(2015/11/17)
iPhone対応動画編集アプリケーションAdobe Premiere Clip for iOSには、入力検証が適切でない問題(CVE-2015-8051)が存在します。