日本ではゴールデンウィークの真っ只中ですが、4月末から5月頭にかけて、サーバ管理者にとっては重要な脆弱性情報(セキュリティ・アドバイザリー)がいくつか公開されています。
Apache Struts 以外は多くのサーバ環境で利用されていると思いますので、何らかの対応が必要かと思います。
- OpenSSL: OpenSSL Security Advisory [3rd May 2016]
- ImageMagick: ImageMagick Security Issue, ImageTragick
- PHP: PHP 7.0.6 Released, PHP 5.6.21 is available, PHP 5.5.35 Release
- Apache Struts 2: Apache Struts 2 S2-032 - Remote Code Execution can be performed via method: prefix when Dynamic Method Invocation is enabled.
日本語での情報。
OpenSSL の脆弱性
上記の通り事前予告されていましたが、予定通り 5月 3日に深刻度が 「最高」 とされるいくつかのセキュリティ上の欠陥を修正した OpenSSL 1.0.2h / 1.0.1t が公開されました。
ImageMagick の脆弱性 「ImageTragick」
下記のバージョンを対象に、コード実行の脆弱性を含むいくつかの脆弱性が報告され、脆弱性を修正した ImageMagick の最新バージョンが公開されています。
- ImageMagick 6.9.3-9 以前のバージョン
- ImageMagick 7.0.1-0 以前のバージョン
脆弱性修正版
- ImageMagick 7.0.1-1
- ImageMagick 6.9.3-10
回避策として下記も案内されています。
- 処理対象ファイルが画像ファイルであるか Magic Byte (マジックバイト) による確認を行う (「Magic Byte」というのは、フォーマット識別のためにファイル先頭に置かれる数バイト程度のデータのことです)。
- ImageMagick の設定ファイルに含まれる 「policy.xml」 に下記の設定を加える。
<policymap> <policy domain="coder" rights="none" pattern="EPHEMERAL" /> <policy domain="coder" rights="none" pattern="URL" /> <policy domain="coder" rights="none" pattern="HTTPS" /> <policy domain="coder" rights="none" pattern="MVG" /> <policy domain="coder" rights="none" pattern="MSL" /> <policy domain="coder" rights="none" pattern="TEXT" /> <policy domain="coder" rights="none" pattern="SHOW" /> <policy domain="coder" rights="none" pattern="WIN" /> <policy domain="coder" rights="none" pattern="PLT" /> </policymap>
PHP の最新版が公開
下記の通り、各バージョンの最新版が公開されています。脆弱性の修正に加えて、バグフィックスも行われていますので、バージョンアップが推奨されます。
Apache Struts 2 の脆弱性
Java Webアプリケーションフレームワーク 「Apache Struts 2」 に任意のコードを実行される可能性がある脆弱性が報告されています。影響を受けるバージョンは下記。
- Apache Struts 2.3.20 から 2.3.28 まで (2.3.20.3 および 2.3.24.3 を除く)
- かつ、Dynamic Method Invocation (DMI) が有効な環境
Apache Struts 2.3.15.2 以降では、DMI はデフォルトで無効になっていますが、有効にしている環境では早急な対応が必要とのこと。
脆弱性修正版
- Apache Struts 2.3.20.3
- Apache Struts 2.3.24.3
- Apache Struts 2.3.28.1
