■ バージョン 3.0.1 リリースノート (Mozilla, 7/16)

Firefox 3.0.1 もでました。3件の脆弱性が修正されています。

• Firefox 3.0 セキュリティアドバイザリ

Firefox 3.0.1 で修正済みの脆弱性：

• MFSA 2008-36 Mac OS X 上での悪質な GIF ファイルによるクラッシュ
• MFSA 2008-35 Firefox が起動していないときに、コマンドライン URL によって複数のタブが開かれる
• MFSA 2008-34 CSS 参照カウンタのオーバーフローによるリモートコード実行

関連：

• Firefox 3で初のアップデートが公開 (ITmedia, 7/17)
• 「Firefox 3」に初めてのアップデート版、危険な脆弱性を3件修正 (日経ITpro, 7/17)
• モジラ、Firefox 3のセキュリティアップデートをリリース (CNET Japan, 7/18)

■ ブログソフトの「WordPress」が新版をリリース (ITmedia, 7/17)

194件のバグが修正され、脆弱性にも対処したそうだ。

■ FreeStyleWiki (FSWiki) における Session Cookie ディレクトリトラバーサルの脆弱性 (vuln.sg, 7/16)

概要

FreeStyleWiki に使われる CGI::Session には、ディレクトリトラバーサルの脆弱性が存在します。悪意のある人は、この脆弱性を利用し FSWiki の管理者のパスワードを知らないで、 FSWiki にログインすることができます。FSWiki は、Windows のシステム上で使えば、その脆弱性に影響されます。Linux のシステム上でインストールすれば、この脆弱性に影響されません。

問題を確認したバージョン

• FreeStyleWiki Stable Version 3.6.2
• * FreeStyleWiki Development Version 3.6.3dev3

関連：

• ■ FreeStyleWiki (FSWiki) における Session Cookie ディレクトリトラバーサルの脆弱性 (CGI::Session の欠陥)(vuln.sg, 2008.07.16) (セキュリティホールmemo, 7/18)

■ JVN#81667751 WebLogic Server および WebLogic Express に付属するプラグインにおけるディレクトリトラバーサルの脆弱性 (JVN, 7/18)

影響があるのは、2008年7月15日より前の WebLogic Server および WebLogic Express に付属する

• Apache 用プラグイン
• NSAPI（Netscape Server Application Program Interface）用プラグイン
• ISAPI（Internet Server Application Program Interface）用プラグイン

各ベンダの情報を参照し、最新版にアップデートする。

■ JVN#49704543 LunarNight Laboratory 製 WebProxy におけるクロスサイトスクリプティングの脆弱性 (JVN, 7/18)

影響があるのは、WebProxy Ver1.7.8 およびそれ以前。対策は、最新版へアップデートする。