PR

Hitach Incident Response Team

 11月22日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

VMwareセキュリティアップデート:VMSA-2015-0008(2015/11/18)

 Apache Flex BlazeDSを使用しているVMware vCenter Server、vCloud Director、VMware Horizon Viewには、情報漏洩を許してしまう脆弱性(CVE-2015-3269)が存在します。この問題は、Apache Flex BlazeDSに存在する、外部に置かれたファイルを呼び出すXXE(XML eXternal Entity)問題に起因しています。

米アドビ システムズ製品

■ColdFusion:APSB15-29(2015/11/17)

 Windows、Mac、UNIX版ColdFusion 11および10のバージョンには、クロスサイトスクリプティング問題(CVE-2015-8052、CVE-2015-8053)、サーバー側でのリクエストフォージェリ(SSRF:Server-Side Request Forgery)問題(CVE-2015-5255)が存在します。SSRF問題は、Adobe BlazeDSコンポーネントに起因しています。

■LiveCycle Data Services:APSB15-30(2015/11/17)

 Windows、Mac、UNIX版LiveCycle Data Services 4.x、3.xには、サーバー側のリクエストフォージェリ(SSRF)問題(CVE-2015-5255)が存在します。SSRF問題は、Adobe BlazeDSコンポーネントに起因しています。

■Adobe Premiere Clip:APSB15-31(2015/11/17)

 iPhone対応動画編集アプリケーションAdobe Premiere Clip for iOSには、入力検証が適切でない問題(CVE-2015-8051)が存在します。