FAMLog

Apache Tomcat 7.0.99、Apache Tomcat 8.5.50およびApache Tomcat 9.0.30が2019年12月中旬に公開されています。

Apache Tomcat 7.0.99、Apache Tomcat 8.5.50およびApache Tomcat 9.0.30では、Apache TomcatがJMX Remote Lifecycle Listenerで構成されている場合にRMIレジストリの操作による中間者攻撃が行われてJMXインターフェースのアクセスに使用されるユーザー名とパスワードを取得される可能性があるセキュリティ脆弱性（CVE-2019-12418）と、FORM認証を使用する際にセッション固定攻撃が可能な短い時間帯が存在するセキュリティ脆弱性（CVE-2019-17563）が修正されています。

現時点でのApache Tomcatの最新安定バージョンはバージョン9.0.30です。なお、FileMaker Server 18ではJava Web公開エンジンにApache Tomcat 8.5.34が使用されています。

［関連］JVNVU#98104709: Apache Tomcat の複数の脆弱性に対するアップデート（Japan Vulnerability Notes）

Ruby 2.6.5、Ruby 2.5.7およびRuby 2.4.9が2019年10月上旬に公開されています。

Ruby 2.6.5、Ruby 2.5.7およびRuby 2.4.9では、Shell#[]およびShell#testのコード挿入脆弱性（CVE-2019-16255）、WEBrickにおけるHTTPレスポンス偽装の脆弱性（CVE-2019-16254）、File.fnmatchのNUL文字挿入脆弱性（CVE-2019-15845）およびWEBrickのDigest認証に関する正規表現Denial of Serviceの脆弱性（CVE-2019-16201）が修正されています。

なお、Ruby 2.4.8のtarballはインストールができないという問題があったため、その問題を修正したバージョン2.4.9が急遽公開された次第です。Ruby 2.4.9はRuby 2.4.8の再パッケージであり、バージョン2.4.8とバージョン2.4.9の間ではバージョン番号以外の本質的な変更はないとのことです。

Ruby 2.6.4、Ruby 2.5.6およびRuby 2.4.7が公開されています。

Ruby 2.6.4、Ruby 2.5.6およびRuby 2.4.7では、Rubyの標準添付ライブラリであるRDocに含まれるjQueryに存在していたクロスサイトスクリプティング脆弱性（CVE-2012-6708、CVE-2015-9251）が修正されています。

なお、2020年3月末頃を目処に、Ruby 2.4系列のセキュリティメンテナンスならびに公式サポートが終了する予定となっています。現在バージョン2.4系列以前を使用している場合には、早期にRuby 2.5系列以降に移行することが推奨される状況となっています。

Apache Tomcat 8.5.42とApache Tomcat 9.0.21が2019年6月上旬に公開されています。

Apache Tomcat 8.5.42およびApache Tomcat 9.0.21では、HTTP/2プロトコルの処理においてリソース制御が適切に行われておらず、遠隔の第三者によってサービス運用妨害（DoS）攻撃を受ける可能性がある脆弱性（CVE-2019-10072）が修正されています。

現時点でのApache Tomcatの最新安定バージョンはバージョン9.0.21です。なお、FileMaker Server 18ではJava Web公開エンジンにApache Tomcat 8.5.34が使用されています。

［関連］JVNVU#99826833: Apache Tomcat におけるサービス運用妨害 (DoS) の脆弱性（Japan Vulnerability Notes）、Apache Tomcat 8 vulnerabilities（Apache Tomcat）

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 1.1.1c」、「OpenSSL 1.1.0k」および「OpenSSL 1.0.2s」が2019年5月下旬に公開されています。

OpenSSL 1.1.1cとOpenSSL 1.1.0kでは1点のセキュリティ脆弱性（CVE-2019-1543）が修正されていますが、同時に公開されたOpenSSL 1.0.2sには特にセキュリティ上の修正は含まれていないとのことです。

なお、バージョン1.0.2系列のサポートは2019年12月31日に終了する予定、バージョン1.1.0系列のサポートは2019年9月頃に終了する予定となっているので、来年までに計画的にバージョン1.1.1系列にアップグレードする必要がある状況です。

SSHプロトコルを使用するネットワーク接続ツールのフリーな実装であるOpenSSHの新バージョン「OpenSSH 8.0」が公開されています。

OpenSSH 8.0では、scpの脆弱性（CVE-2019-6111）に対する緩和策が導入され、リモートのサーバーからローカルのディレクトリにscpでファイルをコピーする際に、サーバーから送られたファイル名がクライアント側の要求と一致するかどうかチェックするように変更されています。

なお、scpのプロトコルは旧式であるため、ファイル転送にはscpの代わりにsftpやrsyncといったプロトコルの利用が推奨されています。

［参考］OpenSSH 8.0 がリリースされました（春山征吾のBlog）

Apache HTTP Server 2.4.39が公開されています。

Apache HTTP ServerはオープンソースのWebサーバーソフトウェアです。バージョン2.4.39では、mod_http2の脆弱性（CVE-2019-0196、CVE-2019-0197）やmod_sslの脆弱性（CVE-2019-0215）、mod_auth_digestの脆弱性（CVE-2019-0217）などが修正されています。

なお、OpenSSL 1.1.1を併用してApache HTTP ServerでTLS 1.3に対応させる場合には、バージョン2.4.39以降を使用する必要があるとのことです。

Apache Tomcat 8.5.38およびApache Tomcat 9.0.16ではHTTP/2利用時のサービス運用妨害（DoS）の脆弱性（CVE-2019-0199）が修正されています。

Apache Tomcat 8.5.38および9.0.16が公開されたのは先月上旬ですが、上記修正に関する情報は今月下旬に公開されました。

現時点でのApache Tomcatの最新安定バージョンはバージョン9.0.17です。なお、FileMaker Server 17では、Java Web公開エンジンにApache Tomcat 7.0.82が使用されていますが、Admin Console用管理サーバーではApache Tomcatの代わりにNode.jsが使用されるようになっています。

［関連］Apache Tomcat 8.5.38とApache Tomcat 9.0.16が公開（FAMLog）

Ruby on Rails 4.2.11.1、Ruby on Rails 5.0.7.2、Ruby on Rails 5.1.6.2およびRuby on Rails 5.2.2.1が公開されています。

Ruby on RailsはRubyで記述されたオープンソースのWebアプリケーションフレームワークです。Rails 4.2.11.1、Rails 5.0.7.2、Rails 5.1.6.2およびRails 5.2.2.1ではActive Viewにおけるセキュリティ脆弱性（CVE-2019-5418とCVE-2019-5419）が修正されています。

さらに、Rails 5.2.2.1ではDevelopmentモードにおけるセキュリティ脆弱性（CVE-2019-5420）も修正されています。

Rubyの標準添付ライブラリであるRubyGemsに複数の脆弱性（CVE-2019-8320、CVE-2019-8321、CVE-2019-8322、CVE-2019-8323、CVE-2019-8324、CVE-2019-8325）が発見され、各セキュリティ脆弱性が修正されたRubyGems 2.7.9およびRubyGems 3.0.3が公開されています。

現時点では、上記脆弱性の修正に対応したRubyはリリースされていませんが、RubyGemsを最新版（バージョン2.7.9もしくはバージョン3.0.3）に更新することによって各脆弱性が修正されます。

RubyGemsを更新するには以下のコマンドを実行します。

［実行例］
gem update --system