FAMLog

Security Update 2004-12-02を適用することで、Apacheで「.DS_Store」ファイルおよび「.ht」で始まるファイルに対するアクセスを完全にブロックしていなかった問題（CAN-2004-1083）が修正されます。

Apacheの設定ファイルでは下記のように変更されており、この変更により「.ht」または「.DS_S」からはじまるすべてのファイルに対するアクセスを、大文字を使っているかに関わらず、制限するように修正されています。

［変更前］
<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
    Satisfy All
</Files>

［変更後］
<Files ~ "^\.([Hh][Tt]|[Dd][Ss]_[Ss])">
    Order allow,deny
    Deny from all
    Satisfy All
</Files>

Mac OS XのファイルシステムであるHFS+は通常のままではファイル名の大文字と小文字を区別しないため、Apacheのデフォルト設定ではURLの大文字小文字を意図的に変えることで非公開ファイルの閲覧が可能になってしまう場面があります。そのため、Mac OS XでApacheを動作させる場合には、上記のように設定を変更することが必須と言えます。

「mod_security 1.8.6」がリリースされています。mod_security 1.8.6では、検知モードでのみ動作させたい場合に対応するように動作に変更が加えられています。

データの妥当性チェックがリクエストを最初に処理するときにのみ行われるようになり、さらにリクエストヘッダーにも妥当性チェックが行われるように拡張されています。これにより、すべてのリクエストデータに対して妥当性チェックが行われます。

ただし、現状ではいくつか制限もあり、検知モードで動作させるにあたって一部利用できないオプションがあります。バージョン1.9世代でこういった制限を緩めていく方針のようです。

その他、バージョン1.8.6では下記3点の不具合が修正されています。

・skipアクションが正しく動作しない不具合
・ファイルアップロード時にmod_securityが無限ループに陥る場合がある不具合
・Apache 2.0用mod_security 1.8.5で、メモリーバッファよりサイズが大きいファイルをアップロードすると承認過程がスキップされてしまう不具合

AppleからSecurity Update 2004-10-27がリリースされています。

このセキュリティアップデートはMac OS X v10.3.xのApple Remote Desktop Client v1.2.4向けに提供され、loginwindowの裏でアプリケーションを起動でき、root権限で動作してしまう問題が修正されます。この問題は以下の条件を満たすシステムで発生し、ファーストユーザスイッチ機能のないMac OS X v10.2.x以下のシステムには影響しません。

・Apple Remote Desktop Clientがインストールされている
・「アプリケーションの起動と終了」権限付きでApple Remote Desktopが有効になっている
・ARDユーザーのユーザー名とパスワードが知られている
・ファーストユーザスイッチが有効になっている
・ユーザーがログインしていて、ファーストユーザスイッチによって loginwindowが前面にきている

本アップデートでは、loginwindowが前面にきている時にApple Remote Desktopでアプリケーションを起動できないようになっています。この修正内容はApple Remote Desktop 2.1 Clientにも含まれています。

アップルから、セキュリティ脆弱性の修正を含んだ「QuickTime 6.5.2」がリリースされています。

BMPイメージタイプのデコード処理がヒープメモリを上書きし、イメージに隠された任意のコードの実行を許可する恐れがある脆弱性（CAN-2004-0926）が修正されていますが、Mac版についてはSecurity Update 2004-09-30を適用していればすでに修正されているものです。

QuickTime 6.5.2では上記修正の適用可能なシステムが新たに増え、Windowsプラットフォームでの脆弱性にも対処されています。

Windowsプラットフォームでは上記の他に、整数オーバーフローによりリモートのアタッカーからDoS攻撃を受けてしまう脆弱性（CAN-2004-0988）も修正されています。この問題はMac OS X版QuickTimeには存在しません。

Apache 1.3.31用のモジュール「mod_ssl 2.8.20」がリリースされています。このバージョンでは2点のセキュリティ脆弱性の修正が含まれています。

1点目は、OpenSSL 0.9.7を使用していて、DirectoryあるいはLocationコンテキストにおいてSSLCipherSuiteディレクティブが使われ、特定の暗号アルゴリズムを指定している場合に、実際にはバーチャルホスト設定で許可されているあらゆる暗号アルゴリズムが許可されてしまう脆弱性（CAN-2004-0885）です。この脆弱性はApache 2.0.35からApache 2.0.52までのmod_sslにも存在します。

2点目は、mod_sslのログレベルがtraceもしくはdebugの場合に、サーバーのクラッシュを引き起こすprintf関数の書式文字列に関わる脆弱性です。

なお、Apache HTTP Server 1.3.32が近日中にリリースされる見込みなので、Apache 1.3用のmod_sslは再度アップデートされると思われます。

Apache HTTP Server 2.0.52がリリースされています。Apache 2.0.51のみに存在したセキュリティ脆弱性の修正が含まれています。

Apache 2.0.51にはSatisfyディレクティブの処理に欠陥があり（CAN-2004-0811）、アクセス制御機能が正常に機能せずに、アクセスを許可してしまう脆弱性がありました。この脆弱性はバージョン2.0.52で修正されています。

Appleから2004年9月14日にSecurity Update 2004-09-07 v1.1がリリースされました。Security Update 2004-09-07 v1.0で発生していた問題が修正され、同アップデートを更新したものとなっています。

Security Update 2004-09-07 v1.1では、v1.0に含まれていたlukemftpdでFTPサービスが利用不可となる問題が修正され、長いログイン名が再度利用できるようになっています。

また、Safariを別のブラウザーと間違って認識してしまうWebサイトとの互換性を提供するために、Safariのバージョン番号についても変更が加えられています。

mod_security 1.8.4がリリースされています。mod_security 1.8.3で発見された問題点が修正された、バージョン1.8系列のメンテナンスリリースです。

設定ファイルにおいてSecFilterDefaultActionディレクティブの設定ミスがあるとmod_securityがWebサーバーをクラッシュさせる不具合が修正され、内部リダイレクトやサブリクエストで入力フィルタの内容がApache 2.0で失われてしまう問題に対処されるなど、4点の問題点が修正されています。

Apache HTTP Server 2.0.50がリリースされています。このバージョンでは2点のセキュリティ脆弱性の修正が含まれています。

ヘッダーの解析処理に問題があるためにDoS攻撃を受けてしまう問題（CAN-2004-0493）、mod_sslを利用していて「SSLOptions +FakeBasicAuth」を指定していた場合に、クライアント証明書の所有者識別情報（Subject-DN）が6KBを越えているとバッファーオーバーフローが発生する問題（CAN-2004-0488）が修正されています。その他にも多くの不具合が修正されています。

AppleからSecurity Update 2004-05-24がリリースされました。Mac OS X (Server) v10.3.3、Mac OS X (Server) v10.2.8用のセキュリティアップデートが用意されています。

Web閲覧中に悪意のあるページにより任意のスクリプトが実行されてしまうHelp Viewerアプリケーションの脆弱性（CAN-2004-0486）が修正されています。

10.2.8用のセキュリティアップデートでは上記と同種の脆弱性（CAN-2004-0485）が修正されTerminalが更新されていますが、10.3.3用のセキュリティアップデートにはこの更新内容が含まれていません。

RCDefaultAppを利用して、「help」「disk」「disks」「telnet」のURIハンドラを無効にしておいた方がよさそうです。