米Macromediaは米国時間9月23日,同社のサーバー製品「JRun」および「ColdFusion MX」にそれぞれ複数のセキュリティ・ホールが見つかったことを明らかにした。JRunのセキュリティ・ホールを悪用されると,セッション・ハイジャックを許したり,DoS(サービス妨害)攻撃を受けたりする。ColdFusion MXでは,サーバー上の情報を盗まれたり,DoS攻撃を受けたりする。対策は修正パッチを適用すること。
セキュリティ・ホールの影響を受けるのは,JRun 3.0/3.1/4.0およびColdFusion MX 6.0/6.1/J2EE-JRun。セキュリティ・ホールは,それぞれ複数報告されている。セキュリティ・ホールの詳細については,MacromediaやSecuniaなどが公開する情報を参照してほしい。
セキュリティ・ホールを悪用されると,JRunを利用しているWebアプリケーションにおいて,セッション・ハイジャックを許したり――すなわち,ユーザーのなりすましを許したり――,本来は公開すべきではないファイル(スクリプト・ファイル)にアクセスされたりする。Webアプリケーションを停止させられる可能性もある。
ColdFusion MXでは,JRun同様,本来は公開すべきではないファイルにアクセスされたり,サービスを停止させられる恐れがある。
Macromediaでは,いずれのセキュリティ・ホールについても,その深刻度を最悪の「Critical」に設定している(ほかには,「Important」「Moderate」「Low」といった深刻度がある)。これらの製品を使っているサーバーの管理者は,すぐに対策を施したい。
対策は修正パッチを適用すること。いずれの修正パッチも,過去に公開されたパッチをすべて含む“累積”パッチである。
なお,Macromediaは,米国時間9月22日付けで,先日公開されたセキュリティ・ホール「JPEG処理 (GDI+) のバッファオーバーランにより,コードが実行される」に関する同社製品の影響を公表している。それによれば,同社製品にはセキュリティ・ホールのある「gdiplus.dll」が含まれるものの,JPEGの処理には利用しないという。このため,同社製品はセキュリティ・ホールの影響を受けないとしている。
◎参考資料
◆MPSB04-08 - Cumulative Security Patch available for JRun server
◆MPSB04-09 - Cumulative Security Patch available for ColdFusion MX
◆MPSB04-07 - Macromedia Products Not Affected by Microsoft JPEG/GDIPlus Vulnerability
◆Macromedia JRun Server Multiple Vulnerabilities
◆ColdFusion MX Sensitive Information Disclosure and Denial of Service
(勝村 幸博=IT Pro)
