PR

Hitach Incident Response Team

 8月30日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Struts 2.xの脆弱性(2015/08/26)

 WebアプリケーションフレームワークStrutsのバージョン2.0.0〜2.3.16.3のデバックモードには、Problem Repor画面にクロスサイトスクリプティングの脆弱性(CVE-2015-5169)が存在します。対策として、デバックモードの無効化あるいは、Struts 2.3.20以降へのアップデートを推奨しています。

Firefox 40.0.3、ESR 38.2.1リリース(2015/08/27)

 8月13日、起動時に異常終了する不具合を修正したFirefox 40.0.2がリリースされました。8月27日には、canvas要素に関するメモリーの解放後使用(use-after-free:CWE-416)などに起因してサービス拒否攻撃を許してしまう脆弱性など、2件のセキュリティアドバイザリーに含まれる計3件の脆弱性を解決しています(図1)。

図1●Firefox 40.0.3での対応
図1●Firefox 40.0.3での対応