JPCERT コーディネーションセンター

Weekly Report 2013-07-24号

JPCERT-WR-2013-2901
JPCERT/CC
2013-07-24

<<< JPCERT/CC WEEKLY REPORT 2013-07-24 >>>

■07/14(日)〜07/20(土) のセキュリティ関連情報

目 次

【1】Apache Struts に複数の脆弱性

【2】2013年7月 Oracle Critical Patch Update について

【3】JBoss RichFaces に任意のコードが実行される脆弱性

【4】Cisco Intrusion Prevention System に複数の脆弱性

【今週のひとくちメモ】Apache HTTP Server 2.0 最後のリリース

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr132901.txt
https://www.jpcert.or.jp/wr/2013/wr132901.xml

【1】Apache Struts に複数の脆弱性

情報源

JC3 Bulletin
V-200: Apache Struts DefaultActionMapper Redirection and OGNL Security Bypass Vulnerabilities
http://energy.gov/cio/articles/v-200-apache-struts-defaultactionmapper-redirection-and-ognl-security-bypass

概要

Apache Struts には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意の OS コマンドを実行したり、ユーザを任意のサイトに誘導したりする可
能性があります。

対象となるバージョンは以下の通りです。

- Apache Struts 2.0.0 から 2.3.15

この問題は、Apache Struts Project が提供する修正済みのバージョンに
Apache Struts を更新することで解決します。詳細については、Apache
Struts Project が提供する情報を参照して下さい。

関連文書 (日本語)

JPCERT/CC Alert 2013-07-19
Apache Struts の脆弱性 (S2-016) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130033.html

関連文書 (英語)

Apache Security Bulletin
Apache Struts 2 Documentation S2-016
http://struts.apache.org/development/2.x/docs/s2-016.html

Apache Security Bulletin
Apache Struts 2 Documentation S2-017
http://struts.apache.org/development/2.x/docs/s2-017.html

【2】2013年7月 Oracle Critical Patch Update について

情報源

Oracle Technology Network
Oracle Critical Patch Update Advisory - July 2013
http://www.oracle.com/technetwork/topics/security/cpujuly2013-1899826.html

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。

詳細については、Oracle が提供する情報を参照して下さい。

関連文書 (日本語)

Oracle Technology Network
Critical Patch UpdatesとSecurity Alerts
http://www.oracle.com/technetwork/jp/topics/alerts-082677-ja.html

Japan Vulnerability Notes Notes JVN#07497769
Oracle Outside In におけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN07497769/index.html

Japan Vulnerability Notes Notes JVN#68663052
Oracle Outside In におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN68663052/index.html

【3】JBoss RichFaces に任意のコードが実行される脆弱性

情報源

Japan Vulnerability Notes JVN#38787103
JBoss RichFaces において任意のコードが実行される脆弱性
https://jvn.jp/jp/JVN38787103/index.html

概要

JBoss RichFaces には、脆弱性があります。結果として、遠隔の第三者が、サー
バ上で任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- RichFaces 5.x
- RichFaces 4.x
- RichFaces 3.x

この問題は、JBoss Community が提供する修正済みのバージョンに RichFaces
を更新することで解決します。詳細については、JBoss Community が提供する
情報を参照して下さい。

関連文書 (日本語)

Redhat CVEデータベース
CVE-2013-2165
https://access.redhat.com/security/cve/CVE-2013-2165

【4】Cisco Intrusion Prevention System に複数の脆弱性

情報源

JC3 Bulletin
V-201: Cisco Intrusion Prevention System SSP Fragmented Traffic Denial of Service Vulnerability
http://energy.gov/cio/articles/v-201-cisco-intrusion-prevention-system-ssp-fragmented-traffic-denial-service

概要

Cisco Intrusion Prevention System には、複数の脆弱性があります。結果と
して、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- Cisco ASA 5500-X Series Adaptive Security Appliances
- Cisco Intrusion Prevention System (IPS) 7.1

この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細については、Cisco が提供する情報を参照して下さ
い。

関連文書 (英語)

Cisco Security Advisory
Multiple Vulnerabilities in Cisco Intrusion Prevention System Software
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130717-ips

■今週のひとくちメモ

○Apache HTTP Server 2.0 最後のリリース

Apache HTTP Server 2.0 系最後のリリースとなる 2.0.65 が公開されました。
Apache HTTP Server Project では、このバージョンをもって 2.0 系の開発を
終了することを宣言しており、2.4 系あるいは 2.2 系への移行を強く推奨して
います。

参考文献 (英語)

Apache HTTP Server
Apache httpd 2.0.65 Released and Retired
http://httpd.apache.org/#apache-httpd-2065-released-and-retiredwzxhzdk42013-07-09wzxhzdk5

Apache HTTP Server
Apache HTTP Server 2.0.65 Released
http://www.apache.org/dist/httpd/Announcement2.0.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter