12月7日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
Struts 2.3.20リリース(2014/12/07)
WebアプリケーションフレームワークStrutsのバージョン2.3.20がリリースされました。バージョン2.3.20では、クロスサイトリクエストフォージェリーの脆弱性(CVE-2014-7809)を解決しています。この問題は、tokenで使用している乱数が推定可能であることに起因しており、<s:token/>タグを使用している場合に影響があります。
- Apache Struts:Version Notes 2.3.20
- Apache Struts:The attacker make a specially craft form using the predicted token that force an action to a logged-in user(CSRF).
米アップル製品
■iOS 8.1.2リリース(2014/12/09)
iOS 8.1.2は、着信音がデバイスから削除される不具合など、バグの修正を目的としたリリースです。iOS 8.1.2では、iOS 8.1.1で解決した脆弱性に対応しています。
■Safari 8.0.2、Safari 7.1.2、Safari 6.2.2リリース(2014/12/11)
12月3日にリリースされたSafari 8.0.1、Safari 7.1.1、Safari 6.2.1では、Webkitに存在する任意のコード実行やサービス拒否攻撃、セキュリティ機構の迂回、なりすましを許してしまう脆弱性13件を解決しています。12月11日、Safari 8.0.2、Safari 7.1.2、Safari 6.2.2がリリースされました。このリリースでは、Safari 8.0.1でインストール後に稀に発生する、アプリが起動できなくなるという不具合などを修正しています。
- 米アップル:Safari 8.0.2、Safari 7.1.2、Safari 6.2.2のセキュリティコンテンツについて
- 米アップル:Safari 8.0.1、Safari 7.1.1、Safari 6.2.1のセキュリティコンテンツについて
Firefox 34.0、ESR 31.3.0リリース(2014/12/01)
12月1日にリリースされたFirefox 34.0では、メモリーの解放後使用(use-after-free)、メモリー破損、バッファオーバーフローなどに起因し、任意のコード実行を許してしまう脆弱性、サービス拒否攻撃、情報漏洩、セキュリティ機構の迂回を許してしまう脆弱性など、9件のセキュリティアドバイザリーに含まれる計11件の脆弱性を解決しています(図1)。また、同日、北米におけるデフォルトの検索エンジンがYahoo!に変更されたFirefox 34.0.5がリリースされました。
Thunderbird 31.3リリース(2014/12/01)
Thunderbird 31.3では、任意のコード実行を許してしまう脆弱性、サービス拒否攻撃を許してしまう脆弱性など、6件のセキュリティアドバイザリーに含まれる計7件の脆弱性を解決しています。
Samba 4.1.14、Samba 4.0.23リリース(2014/12/01)
12月1日、s3-nmbd、s3-libsmbclient-smb2、s4-dns、nss_winbind、pdb_tdb、s3-smbd、s3-keytabなどに存在する16件のバグを修正したSamba 4.1.14がリリースされました。12月8日、s3-daemons、s3-nmbd、s3-smb2clis3-libnet、pdb_tdb、s3-smbd、s3-winbindd、s3-libnet、s3-libadsなどに存在する22件のバグを修正したSamba 4.0.23がリリースされました。いずれもセキュリティアップデートは含まれていません。
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
