Hitach Incident Response Team

 12月7日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Struts 2.3.20リリース(2014/12/07)

 WebアプリケーションフレームワークStrutsのバージョン2.3.20がリリースされました。バージョン2.3.20では、クロスサイトリクエストフォージェリーの脆弱性(CVE-2014-7809)を解決しています。この問題は、tokenで使用している乱数が推定可能であることに起因しており、<s:token/>タグを使用している場合に影響があります。

米アップル製品

■iOS 8.1.2リリース(2014/12/09)

 iOS 8.1.2は、着信音がデバイスから削除される不具合など、バグの修正を目的としたリリースです。iOS 8.1.2では、iOS 8.1.1で解決した脆弱性に対応しています。

■Safari 8.0.2、Safari 7.1.2、Safari 6.2.2リリース(2014/12/11)

 12月3日にリリースされたSafari 8.0.1、Safari 7.1.1、Safari 6.2.1では、Webkitに存在する任意のコード実行やサービス拒否攻撃、セキュリティ機構の迂回、なりすましを許してしまう脆弱性13件を解決しています。12月11日、Safari 8.0.2、Safari 7.1.2、Safari 6.2.2がリリースされました。このリリースでは、Safari 8.0.1でインストール後に稀に発生する、アプリが起動できなくなるという不具合などを修正しています。

Firefox 34.0、ESR 31.3.0リリース(2014/12/01)

 12月1日にリリースされたFirefox 34.0では、メモリーの解放後使用(use-after-free)、メモリー破損、バッファオーバーフローなどに起因し、任意のコード実行を許してしまう脆弱性、サービス拒否攻撃、情報漏洩、セキュリティ機構の迂回を許してしまう脆弱性など、9件のセキュリティアドバイザリーに含まれる計11件の脆弱性を解決しています(図1)。また、同日、北米におけるデフォルトの検索エンジンがYahoo!に変更されたFirefox 34.0.5がリリースされました。

図1●Firefox 34.0、Thunderbird 31.3での対応
図1●Firefox 34.0、Thunderbird 31.3での対応

Thunderbird 31.3リリース(2014/12/01)

 Thunderbird 31.3では、任意のコード実行を許してしまう脆弱性、サービス拒否攻撃を許してしまう脆弱性など、6件のセキュリティアドバイザリーに含まれる計7件の脆弱性を解決しています。

Samba 4.1.14、Samba 4.0.23リリース(2014/12/01)

 12月1日、s3-nmbd、s3-libsmbclient-smb2、s4-dns、nss_winbind、pdb_tdb、s3-smbd、s3-keytabなどに存在する16件のバグを修正したSamba 4.1.14がリリースされました。12月8日、s3-daemons、s3-nmbd、s3-smb2clis3-libnet、pdb_tdb、s3-smbd、s3-winbindd、s3-libnet、s3-libadsなどに存在する22件のバグを修正したSamba 4.0.23がリリースされました。いずれもセキュリティアップデートは含まれていません。