FAMLog

SSHプロトコルを使用するネットワーク接続ツールのフリーな実装であるOpenSSHの新バージョン「OpenSSH 8.5」が公開されています。

sshおよびsshdで最優先の署名アルゴリズムがECDSAからED25519に変更されたOpenSSH 8.5では、バージョン8.2以降のssh-agentにおけるメモリーの二重解放に関する問題が修正され、移植版sshdにおいてSolarisのPAMユーザー名を扱う際のバッファオーバーフロー（CVE-2020-14871）に対する緩和策が追加されています。

なお、SHA-1アルゴリズムの危殆化により、近い将来のリリースで「ssh-rsa」公開鍵署名アルゴリズムがデフォルトでは無効化される予定となっています。

［参考］OpenSSH 8.5 がリリースされました（春山征吾のBlog）

Apache Tomcat 7.0.108、Apache Tomcat 8.5.63、Apache Tomcat 9.0.43およびApache Tomcat 10.0.2が2021年2月上旬に公開されています。

Apache Tomcat 8.5.63、Apache Tomcat 9.0.43およびApache Tomcat 10.0.2では、2点のセキュリティ脆弱性（CVE-2021-25329およびCVE-2021-25122）が修正されています。また、Apache Tomcat 7.0.108では、1点のセキュリティ脆弱性（CVE-2021-25329）が修正されています。Apache Tomcat 7.0.108、8.5.63、9.0.43および10.0.2が公開されたのは先月上旬ですが、上述の修正に関する情報は今日になって公開されました。

現時点でのApache Tomcatの最新安定バージョンはバージョン10.0.2です。なお、Apache Tomcat 7.0系列は2021年3月31日にサポートが終了する予定となっています。

［関連］JVNVU#97014415: Apache Tomcat に対するアップデート（Japan Vulnerability Notes）、Apache Tomcat 7.0系列のサポート終了予定日（FAMLog）

OpenSSL 1.1.1iが公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 1.1.1iでは、影響度高と位置付けられているセキュリティ脆弱性（CVE-2020-1971）が修正されています。

OpenSSLは現在バージョン3.0系統の開発も進められており、バージョン1.1.1系統の次のバージョンはバージョン3.0になる予定となっています。なお、バージョン1.0.2系列のサポートは2019年12月31日に終了したので、現状はバージョン1.1.1系列にアップグレードする必要がある状況です。

［関連］JVNVU#91053554: OpenSSL における NULL ポインタ参照の脆弱性（Japan Vulnerability Notes）

Apache Tomcat 8.5.58およびApache Tomcat 9.0.38ではHTTP/2使用時のセキュリティ脆弱性（CVE-2020-13943）が修正されています。

Apache Tomcat 8.5.58およびApache Tomcat 9.0.38が公開されたのは先月中旬ですが、上述の修正に関する情報は今月中旬になって公開されました。

現時点でのApache Tomcatの最新安定バージョンはバージョン9.0.39です。なお、Claris FileMaker Server 19.0.1やFileMaker Server 18.0.4ではJava Web公開エンジンにApache Tomcat 8.5.46が使用されています。

［関連］Apache Tomcat 7.0.106、Apache Tomcat 8.5.58およびApache Tomcat 9.0.38が公開（FAMLog）

Ruby 2.7.2が公開されています。

Rubyに標準添付されているWebrickの脆弱性（CVE-2020-25613）が修正されているRuby 2.7.2には、deprecetedカテゴリの警告についての意図的な非互換が含まれています。バージョン2.7.2以降ではdeprecatedカテゴリの警告はデフォルトの状態で出力が抑制されるようになっています。

なお、2020年3月31日をもってRuby 2.4系列の公式サポートが終了しています。バージョン2.4のサポート終了に伴い、今後Ruby 2.4系列に対するセキュリティパッチは提供されなくなるため、より新しいバージョンのRubyに移行することが強く推奨されます。

Apache Tomcat 7.0.105、Apache Tomcat 8.5.57およびApache Tomcat 9.0.37が2020年7月上旬に公開されています。

Apache Tomcat 7.0.105、Apache Tomcat 8.5.57およびApache Tomcat 9.0.37では、WebSocketフレームのペイロード長が適切に検証されずサービス運用妨害（DoS）状態になる脆弱性（CVE-2020-13935）が修正されています。Apache Tomcat 8.5.57とApache Tomcat 9.0.37では、遠隔の第三者からh2c direct connectionによるHTTP/2へのアップグレードの要求が大量に行われるとOutOfMemoryExceptionが発生しサービス運用妨害（DoS）状態になる脆弱性（CVE-2020-13934）も修正されています。

現時点でのApache Tomcatの最新安定バージョンはバージョン9.0.37です。なお、Claris FileMaker Server 19.0.1やFileMaker Server 18.0.4ではJava Web公開エンジンにApache Tomcat 8.5.46が使用されています。

［関連］JVNVU#96390265:   Apache Tomcat における複数のサービス運用妨害 (DoS) の脆弱性（Japan Vulnerability Notes）

Apache Tomcat 8.5.56とApache Tomcat 9.0.36が2020年6月上旬に公開されています。

Apache Tomcat 8.5.56およびApache Tomcat 9.0.36では、HTTP/2プロトコルの処理においてリソース制御が適切に行われておらず、遠隔の第三者によってサービス運用妨害（DoS）攻撃を受ける可能性がある脆弱性（CVE-2020-11996）が修正されています。

現時点でのApache Tomcatの最新安定バージョンはバージョン9.0.36です。なお、FileMaker Server 19.0.1やFileMaker Server 18.0.4ではJava Web公開エンジンにApache Tomcat 8.5.46が使用されています。

［関連］JVNVU#99474519: Apache Tomcat におけるサービス運用妨害 (DoS) の脆弱性（Japan Vulnerability Notes）、Apache Tomcat 8 vulnerabilities（Apache Tomcat）

AppleからXcode 11.5が2020年5月中旬に公開されています。

Xcode 11.5ではGitのセキュリティ脆弱性（CVE-2020-11008）が修正されています。

Xcode 11.5はApp Storeもしくはhttps://developer.apple.com/xcode/downloads/から入手可能で、動作条件としてmacOS Catalina 10.15.2以降が必要です。

Apache Tomcat 7.0.104、Apache Tomcat 8.5.55およびApache Tomcat 9.0.35が2020年5月中旬に公開されています。

Apache Tomcat 7.0.104、Apache Tomcat 8.5.55およびApache Tomcat 9.0.35では、1点のセキュリティ脆弱性（CVE-2020-9484）が修正されています。

現時点でのApache Tomcatの最新安定バージョンはバージョン9.0.35です。なお、FileMaker Server 19.0.1やFileMaker Server 18.0.4ではJava Web公開エンジンにApache Tomcat 8.5.46が使用されています。

［関連］JVNVU#98086086:  Apache Tomcat に安全でないデシリアライゼーションの問題（Japan Vulnerability Notes）

AppleからXcode 11.4.1が2020年4月中旬に公開されています。

バージョン11.4.1ではGitのセキュリティ脆弱性（CVE-2020-5260）が修正されており、Gitがバージョン2.24.2に更新されます。改行文字を含む特別に細工されたURLを処理する際にgitの認証情報が任意のホストに送信される問題が対処されています。

Xcode 11.4.1はApp Storeもしくはhttps://developer.apple.com/xcode/downloads/から入手可能で、動作条件としてmacOS Catalina 10.15.2以降が必要です。

［関連］JVNVU#95670817: Apple Xcode における脆弱性に対するアップデート（Japan Vulnerability Notes）