-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2013-2901 JPCERT/CC 2013-07-24 <<< JPCERT/CC WEEKLY REPORT 2013-07-24 >>> ―――――――――――――――――――――――――――――――――――――― ■07/14(日)〜07/20(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Apache Struts に複数の脆弱性 【2】2013年7月 Oracle Critical Patch Update について 【3】JBoss RichFaces に任意のコードが実行される脆弱性 【4】Cisco Intrusion Prevention System に複数の脆弱性 【今週のひとくちメモ】Apache HTTP Server 2.0 最後のリリース ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2013/wr132901.html https://www.jpcert.or.jp/wr/2013/wr132901.xml ============================================================================ 【1】Apache Struts に複数の脆弱性 情報源 JC3 Bulletin V-200: Apache Struts DefaultActionMapper Redirection and OGNL Security Bypass Vulnerabilities http://energy.gov/cio/articles/v-200-apache-struts-defaultactionmapper-redirection-and-ognl-security-bypass 概要 Apache Struts には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意の OS コマンドを実行したり、ユーザを任意のサイトに誘導したりする可 能性があります。 対象となるバージョンは以下の通りです。 - Apache Struts 2.0.0 から 2.3.15 この問題は、Apache Struts Project が提供する修正済みのバージョンに Apache Struts を更新することで解決します。詳細については、Apache Struts Project が提供する情報を参照して下さい。 関連文書 (日本語) JPCERT/CC Alert 2013-07-19 Apache Struts の脆弱性 (S2-016) に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130033.html 関連文書 (英語) Apache Security Bulletin Apache Struts 2 Documentation S2-016 http://struts.apache.org/development/2.x/docs/s2-016.html Apache Security Bulletin Apache Struts 2 Documentation S2-017 http://struts.apache.org/development/2.x/docs/s2-017.html 【2】2013年7月 Oracle Critical Patch Update について 情報源 Oracle Technology Network Oracle Critical Patch Update Advisory - July 2013 http://www.oracle.com/technetwork/topics/security/cpujuly2013-1899826.html 概要 Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。 詳細については、Oracle が提供する情報を参照して下さい。 関連文書 (日本語) Oracle Technology Network Critical Patch UpdatesとSecurity Alerts http://www.oracle.com/technetwork/jp/topics/alerts-082677-ja.html Japan Vulnerability Notes Notes JVN#07497769 Oracle Outside In におけるバッファオーバーフローの脆弱性 https://jvn.jp/jp/JVN07497769/index.html Japan Vulnerability Notes Notes JVN#68663052 Oracle Outside In におけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/jp/JVN68663052/index.html 【3】JBoss RichFaces に任意のコードが実行される脆弱性 情報源 Japan Vulnerability Notes JVN#38787103 JBoss RichFaces において任意のコードが実行される脆弱性 https://jvn.jp/jp/JVN38787103/index.html 概要 JBoss RichFaces には、脆弱性があります。結果として、遠隔の第三者が、サー バ上で任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - RichFaces 5.x - RichFaces 4.x - RichFaces 3.x この問題は、JBoss Community が提供する修正済みのバージョンに RichFaces を更新することで解決します。詳細については、JBoss Community が提供する 情報を参照して下さい。 関連文書 (日本語) Redhat CVEデータベース CVE-2013-2165 https://access.redhat.com/security/cve/CVE-2013-2165 【4】Cisco Intrusion Prevention System に複数の脆弱性 情報源 JC3 Bulletin V-201: Cisco Intrusion Prevention System SSP Fragmented Traffic Denial of Service Vulnerability http://energy.gov/cio/articles/v-201-cisco-intrusion-prevention-system-ssp-fragmented-traffic-denial-service 概要 Cisco Intrusion Prevention System には、複数の脆弱性があります。結果と して、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - Cisco ASA 5500-X Series Adaptive Security Appliances - Cisco Intrusion Prevention System (IPS) 7.1 この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Cisco が提供する情報を参照して下さ い。 関連文書 (英語) Cisco Security Advisory Multiple Vulnerabilities in Cisco Intrusion Prevention System Software http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130717-ips ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Apache HTTP Server 2.0 最後のリリース Apache HTTP Server 2.0 系最後のリリースとなる 2.0.65 が公開されました。 Apache HTTP Server Project では、このバージョンをもって 2.0 系の開発を 終了することを宣言しており、2.4 系あるいは 2.2 系への移行を強く推奨して います。 参考文献 (英語) Apache HTTP Server Apache httpd 2.0.65 Released and Retired http://httpd.apache.org/#apache-httpd-2065-released-and-retiredwzxhzdk42013-07-09wzxhzdk5 Apache HTTP Server Apache HTTP Server 2.0.65 Released http://www.apache.org/dist/httpd/Announcement2.0.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2013 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJR7yjeAAoJEDF9l6Rp7OBIzmAH/AgtQP7hhKKdwhh9YAyffJY4 wu6TgqwZ3dv1VvzBWB3dtQnHdfSHR2/dnaHC1u3fmKAiUG1P3jWxGNSYEFekdLcy HBuLV6oAMos1v11yOthxU28woG2im6N3sQLmci37AzTXcKFqxYLrnj+8q74HimIN ogKzm7ryDdL4Hj6Bv1YpFqhua4uAyGcu9ZLOBctBHIlDZm/6ss9C1PNzNz7R4VHu mDS4iKib24KEqcEZx9455wHQo+otGFw9vgLn1YsZcPbhL00c8ufoS1qmPHvG80VF 96CvYlJmVj5UscislrLk/qjf2rDh5/BFT0skTe9z53TcGDHCWxAue48+ejwFufg= =JBtU -----END PGP SIGNATURE-----