セキュリティ関係(7/19)
■ バージョン 3.0.1 リリースノート (Mozilla, 7/16)
Firefox 3.0.1 もでました。3件の脆弱性が修正されています。
- MFSA 2008-36 Mac OS X 上での悪質な GIF ファイルによるクラッシュ
- MFSA 2008-35 Firefox が起動していないときに、コマンドライン URL によって複数のタブが開かれる
- MFSA 2008-34 CSS 参照カウンタのオーバーフローによるリモートコード実行
関連:
- Firefox 3で初のアップデートが公開 (ITmedia, 7/17)
- 「Firefox 3」に初めてのアップデート版、危険な脆弱性を3件修正 (日経ITpro, 7/17)
- モジラ、Firefox 3のセキュリティアップデートをリリース (CNET Japan, 7/18)
■ ブログソフトの「WordPress」が新版をリリース (ITmedia, 7/17)
194件のバグが修正され、脆弱性にも対処したそうだ。
■ FreeStyleWiki (FSWiki) における Session Cookie ディレクトリトラバーサルの脆弱性 (vuln.sg, 7/16)
概要
FreeStyleWiki に使われる CGI::Session には、ディレクトリトラバーサルの脆弱性が存在します。悪意のある人は、この脆弱性を利用し FSWiki の管理者のパスワードを知らないで、 FSWiki にログインすることができます。FSWiki は、Windows のシステム上で使えば、その脆弱性に影響されます。Linux のシステム上でインストールすれば、この脆弱性に影響されません。
問題を確認したバージョン
- FreeStyleWiki Stable Version 3.6.2
- * FreeStyleWiki Development Version 3.6.3dev3
関連:
■ JVN#81667751 WebLogic Server および WebLogic Express に付属するプラグインにおけるディレクトリトラバーサルの脆弱性 (JVN, 7/18)
影響があるのは、2008年7月15日より前の WebLogic Server および WebLogic Express に付属する
- Apache 用プラグイン
- NSAPI(Netscape Server Application Program Interface)用プラグイン
- ISAPI(Internet Server Application Program Interface)用プラグイン
各ベンダの情報を参照し、最新版にアップデートする。
■ JVN#49704543 LunarNight Laboratory 製 WebProxy におけるクロスサイトスクリプティングの脆弱性 (JVN, 7/18)
影響があるのは、WebProxy Ver1.7.8 およびそれ以前。対策は、最新版へアップデートする。