PR

Hitach Incident Response Team

 11月30日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アドビ システムズAdobe Flash Player 15.0.0.239リリース:APSB14-26(2014/11/25)

 Adobe Flash Player 15.0.0.239では、メモリーポインターの処理に存在する任意のコード実行を許してしまう脆弱性(CVE-2014-8439)を解決しています。

Ruby 2.1.5、Ruby 2.0.0-p598、Ruby 1.9.3-p551リリース(2014/11/13)

 Ruby 2.1.5、Ruby 2.0.0-p598、Ruby 1.9.3-p551では、標準添付ライブラリーREXMLのXML処理に存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2014-8090)を解決しています。この問題は、既に報告されているサービス拒否攻撃を許してしまう脆弱性(CVE-2013-1821、CVE-2014-8080)と類似していますが、異なる問題です。

Tomcat 8.0.15、Tomcat 7.0.57、Tomcat 6.0.43リリース(2014/11/22)

 Tomcat 8.0.15、Tomcat 7.0.57、Tomcat 6.0.43は、バグの修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。

 Tomcat 6.0.43、Tomcat 7.0.57では、バグ修正のほかに、Windows版バイナリーをOpenSSL 1.0.1jとAPR 1.5.1に対応させたTomcat Native 1.1.32へのアップデート、APRコネクターでのTLSv1.1/TLSv1.2のサポート、HTTPSコネクションでのSSLv3デフォルト無効化などが施されています。Tomcat 8.0.15では、APRコネクターでのTLSv1.1/TLSv1.2のサポート、HTTPSコネクションでのSSLv3デフォルト無効化に加え、RFC6265に準拠したCookie処理などの機能強化が施されています。