WWW Watch

ゴールデンウィーク中ですが、各所から脆弱性情報が出ている件

日本ではゴールデンウィークの真っ只中ですが、4月末から5月頭にかけていくつかサーバ管理者にとっては重要な脆弱性情報が公開されています。

日本ではゴールデンウィークの真っ只中ですが、4月末から5月頭にかけて、サーバ管理者にとっては重要な脆弱性情報(セキュリティ・アドバイザリー)がいくつか公開されています。

Apache Struts 以外は多くのサーバ環境で利用されていると思いますので、何らかの対応が必要かと思います。

日本語での情報。

OpenSSL の脆弱性

上記の通り事前予告されていましたが、予定通り 5月 3日に深刻度が 「最高」 とされるいくつかのセキュリティ上の欠陥を修正した OpenSSL 1.0.2h / 1.0.1t が公開されました。

ImageMagick の脆弱性 「ImageTragick」

下記のバージョンを対象に、コード実行の脆弱性を含むいくつかの脆弱性が報告され、脆弱性を修正した ImageMagick の最新バージョンが公開されています。

  • ImageMagick 6.9.3-9 以前のバージョン
  • ImageMagick 7.0.1-0 以前のバージョン

脆弱性修正版

  • ImageMagick 7.0.1-1
  • ImageMagick 6.9.3-10

回避策として下記も案内されています。

  • 処理対象ファイルが画像ファイルであるか Magic Byte (マジックバイト) による確認を行う (「Magic Byte」というのは、フォーマット識別のためにファイル先頭に置かれる数バイト程度のデータのことです)。
  • ImageMagick の設定ファイルに含まれる 「policy.xml」 に下記の設定を加える。
<policymap>
  <policy domain="coder" rights="none" pattern="EPHEMERAL" />
  <policy domain="coder" rights="none" pattern="URL" />
  <policy domain="coder" rights="none" pattern="HTTPS" />
  <policy domain="coder" rights="none" pattern="MVG" />
  <policy domain="coder" rights="none" pattern="MSL" />
  <policy domain="coder" rights="none" pattern="TEXT" />
  <policy domain="coder" rights="none" pattern="SHOW" />
  <policy domain="coder" rights="none" pattern="WIN" />
  <policy domain="coder" rights="none" pattern="PLT" />
</policymap>

PHP の最新版が公開

下記の通り、各バージョンの最新版が公開されています。脆弱性の修正に加えて、バグフィックスも行われていますので、バージョンアップが推奨されます。

Apache Struts 2 の脆弱性

Java Webアプリケーションフレームワーク 「Apache Struts 2」 に任意のコードを実行される可能性がある脆弱性が報告されています。影響を受けるバージョンは下記。

  • Apache Struts 2.3.20 から 2.3.28 まで (2.3.20.3 および 2.3.24.3 を除く)
  • かつ、Dynamic Method Invocation (DMI) が有効な環境

Apache Struts 2.3.15.2 以降では、DMI はデフォルトで無効になっていますが、有効にしている環境では早急な対応が必要とのこと。

脆弱性修正版

  • Apache Struts 2.3.20.3
  • Apache Struts 2.3.24.3
  • Apache Struts 2.3.28.1

関連エントリー

Recent Entry

全ての記事一覧を見る

Hot Entry

逆引きおすすめエントリー