PR

Hitach Incident Response Team

 9月27日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Struts 2.3.24.1リリース(2015/09/24)

 WebアプリケーションフレームワークStrutsのバージョン2.3.24.1がリリースされました。バージョン2.3.24.1では、内部オブジェクトを不正に操作される脆弱性(CVE-2015-5209)を解決しています。この問題の影響を受けるStruts 2.0.0~Struts Struts 2.3.24は、除外指定のパラメーターフィルターを適用するか、バージョン2.3.24.1にアップデートする必要があります。

米シスコIOSに複数の脆弱性(2015/09/23)

 Cisco IOS関連で、3件のセキュリティアドバイザリーが公開され、4件のセキュリティ問題が解決されています。脆弱性による影響はサービス拒否攻撃、ユーザー認証機構の迂回です。

■cisco-sa-20150923-fhs
 Cisco IOSおよびCisco IOS XEのIPv6ファーストホップセキュリティ機能のIPv6スヌーピングパケット処理には、サービス拒否攻撃を許してしまう脆弱性(CVE-2015-6278、CVE-2015-6279)が存在します。不正なIPv6 Neighbor Discoveryパケットを受信した場合に、機器のリロードが発生する可能性があります。ファーストホップセキュリティ機能は、インタフェースまたはVLANに適用できる一連のIPv6セキュリティ機能を提供しています。

■cisco-sa-20150923-sshpk
 Cisco IOSおよびCisco IOS XEのSSHバージョン2の実装には、RSAベースのユーザー認証機構の迂回を許してしまう脆弱性(CVE-2015-6280)が存在します。

■cisco-sa-20150923-iosxe
 Cisco IOS XEのネットワークアドレス変換(NAT)ならびに、マルチプロトコルラベルスイッチング(MPLS)のIPv4パケット処理には、サービス拒否攻撃を許してしまう脆弱性(CVE-2015-6282)が存在します。NATとMPLSサービスを利用する不正なIPv4パケットを受信した場合に、機器のリロードが発生する可能性があります。