チェックしておきたい脆弱性情報＜2016.04.04＞

　3月20日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Struts 2.3.28リリース（2016/03/18）

　WebアプリケーションフレームワークStrutsのバージョン2.3.28がリリースされました。バージョン2.3.28では、クロスサイトスクリプティングの脆弱性（CVE-2016-2162）、任意のコード実行を許してしまう脆弱性（CVE-2016-0785）を解決しています。タグにおいてname="%{#request.xxx}"のような記述を使用している場合に、CVE-2016-0785の影響を受ける可能性があります。この問題の影響を受ける可能性があるのはStruts 2.0.0～Struts 2.3.24.1で、解決するには除外指定のパラメーターフィルターを適用するか、バージョン2.3.28にアップデートする必要があります。

• Apache Struts：Version Notes 2.3.28
• Apache Struts：Use of a JRE with broken URLDecoder implementation may lead to XSS vulnerability in Struts 2 based web applications.
• Apache Struts：Forced double OGNL evaluation, when evaluated on raw user input in tag attributes, may lead to remote code execution.
• Apache Struts：Possible XSS vulnerability in I18NInterceptor

Google Chrome 49.0.2623.87リリース（2016/03/08）

　3月2日、バージョン49（49.0.2623.75）がリリースされました。このバージョンでは、メモリーの解放後使用（use-after-free：CWE-416）、領域外のメモリー参照（out-of-bounds read：CWE-125）、同一生成元ポリシー違反（CWE-346）など、計25件の脆弱性（CVE-2015-8126、CVE-2016-1630～CVE-2016-1641）を解決しています。3月8日リリースされたWindows/Mac/Linux版49.0.2623.87では、メモリーの解放後使用、型の取り違え（type confusion：CWE-84.4）、領域外メモリーへの書き出し（out-of-bounds write：CWE-787）による3件の脆弱性（CVE-2016-1643～CVE-2016-1645）を解決しています。

• Google：Stable Channel Update（49.0.2623.87）
• Google：Stable Channel Update（49.0.2623.75）