セキュリティ関係(12/13)
>HPのノートPCソフトに未パッチの脆弱性 (ITmedia, 12/13)
HPノートPCの各種機能にワンタッチでアクセスするためのHP Info Centerに脆弱性。エクスプロイトが公開。パッチまだはない。
>サイボウズOfficeやガルーンに脆弱性--XSSやHTTPヘッダインジェクションなど (CNET Japan, 12/12)
JVNの以下の4つの件
- JVN#90712589 複数のサイボウズ製品におけるクロスサイトスクリプティングの脆弱性
- JVN#77730435 複数のサイボウズ製品における HTTP ヘッダインジェクションの脆弱性
- JVN#50342989 複数のサイボウズ製品におけるクロスサイトスクリプティングの脆弱性
- JVN#77414947 サイボウズ Office におけるサービス運用妨害 (DoS) の脆弱性
いずれも、サイボウズのサイトでは7月時点で情報公開済みのもの。パッチも公開済み。
>JVN#52846259 JP1/Cm2/Network Node Manager におけるクロスサイトスクリプティングの脆弱性 (JVN, 12/13)
近辺には使用している人いないと思うけど。パッチが出ている。
>JVN#80057925 Apache HTTP Server の mod_imap および mod_imagemap におけるクロスサイトスクリプティングの脆弱性 (JVN, 12/13)
影響があるのは、
- Apache HTTP Server 2.2.6 およびそれ以前
- Apache HTTP Server 2.0.61 およびそれ以前
- Apache HTTP Server 1.3.39 およびそれ以前
対策方法は、
- パッチを適用する
ベンダが提供する情報をもとにパッチを適用 - ワークアラウンドを実施する
イメージマップ機能を使用する場合には、サーバサイドイメージマップ機能を使用せず、クライアントサイドイメージマップ機能を使用。
だそうです。