FAMLog

OpenSSL 1.1.1gが公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 1.1.1gでは、バージョン1.1.1d、1.1.1eおよび1.1.1fに存在していた、影響度高と位置付けられているセキュリティ脆弱性（CVE-2020-1967）が修正されています。

OpenSSLは現在バージョン3.0系統の開発も進められており、バージョン1.1.1系統の次のバージョンはバージョン3.0になる予定となっています。なお、バージョン1.0.2系列のサポートは2019年12月31日に終了したので、今後はバージョン1.1.1系列にアップグレードする必要がある状況です。

Ruby 2.7.1、Ruby 2.6.6、Ruby 2.5.8およびRuby 2.4.10が2020年3月下旬に公開されています。

Ruby 2.7.1、Ruby 2.6.6、Ruby 2.5.8およびRuby 2.4.10では、RubyにバンドルされているJSON gemにおける安全でないオブジェクトを生成できる脆弱性（CVE-2020-10663）が修正されています。Ruby 2.7.1、Ruby 2.6.6およびRuby 2.5.8では、socketライブラリに存在していた脆弱性（CVE-2020-10933）も修正されています。

なお、2020年3月31日をもってRuby 2.4系列の公式サポートが終了しています。バージョン2.4のサポート終了に伴い、今後Ruby 2.4系列に対するセキュリティパッチは提供されなくなるため、より新しいバージョンのRubyに移行することが強く推奨されます。

［関連］RubyにバンドルされているJSON gem 2.3.0ではセキュリティ脆弱性が修正済み（FAMLog）

RubyにバンドルされているJSON gem 2.3.0ではセキュリティ脆弱性（CVE-2020-10663）が修正されています。

JSON gem 2.3.0が公開されたのは昨年12月ですが、上述の修正に関する情報は今月中旬に公開されました。

JSON gemを更新することが強く推奨されており、更新するにはgem update jsonを実行します。なお、Bundlerを使用している場合はGemfileにgem "json", ">= 2.3.0"を追加します。

OpenSSL 1.1.1eが公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 1.1.1eでは影響度低と位置付けられているセキュリティ脆弱性（CVE-2019-1551）が修正されています。

OpenSSLは現在バージョン3.0系統の開発も進められており、バージョン1.1.1系統の次のバージョンはバージョン3.0になる予定となっています。なお、バージョン1.0.2系列のサポートは2019年12月31日に終了したので、今後はバージョン1.1.1系列にアップグレードする必要がある状況です。

［関連］OpenSSL 1.0.2uが公開（FAMLog）

Apache Tomcat 7.0.100、Apache Tomcat 8.5.51およびApache Tomcat 9.0.31では複数の脆弱性（CVE-2020-1935、CVE-2019-17569およびCVE-2020-1938）が修正されています。

Apache Tomcat 7.0.100、Apache Tomcat 8.5.51およびApache Tomcat 9.0.31が公開されたのは今月中旬ですが、上記修正に関する情報は今月下旬に公開されました。

なお、現時点でのApache Tomcatの最新安定バージョンはバージョン9.0.31ですが、FileMaker Server 18ではJava Web公開エンジンにApache Tomcat 8.5.34が使用されています。

［関連］Apache Tomcat 7.0.100、Apache Tomcat 8.5.51およびApache Tomcat 9.0.31が公開（FAMLog）

OpenSSL 1.0.2uが公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 1.0.2uでは影響度低と位置付けられているセキュリティ脆弱性（CVE-2019-1551）が修正されています。

OpenSSLは現在バージョン3.0系統の開発も進められており、バージョン1.1.1系統の次のバージョンはバージョン3.0になる予定となっています。なお、バージョン1.0.2系列のサポートは2019年12月31日に終了する予定となっているので、今後はバージョン1.1.1系列にアップグレードする必要がある状況です。

Apache Tomcat 7.0.99、Apache Tomcat 8.5.50およびApache Tomcat 9.0.30が2019年12月中旬に公開されています。

Apache Tomcat 7.0.99、Apache Tomcat 8.5.50およびApache Tomcat 9.0.30では、Apache TomcatがJMX Remote Lifecycle Listenerで構成されている場合にRMIレジストリの操作による中間者攻撃が行われてJMXインターフェースのアクセスに使用されるユーザー名とパスワードを取得される可能性があるセキュリティ脆弱性（CVE-2019-12418）と、FORM認証を使用する際にセッション固定攻撃が可能な短い時間帯が存在するセキュリティ脆弱性（CVE-2019-17563）が修正されています。

現時点でのApache Tomcatの最新安定バージョンはバージョン9.0.30です。なお、FileMaker Server 18ではJava Web公開エンジンにApache Tomcat 8.5.34が使用されています。

［関連］JVNVU#98104709: Apache Tomcat の複数の脆弱性に対するアップデート（Japan Vulnerability Notes）

Ruby 2.6.5、Ruby 2.5.7およびRuby 2.4.9が2019年10月上旬に公開されています。

Ruby 2.6.5、Ruby 2.5.7およびRuby 2.4.9では、Shell#[]およびShell#testのコード挿入脆弱性（CVE-2019-16255）、WEBrickにおけるHTTPレスポンス偽装の脆弱性（CVE-2019-16254）、File.fnmatchのNUL文字挿入脆弱性（CVE-2019-15845）およびWEBrickのDigest認証に関する正規表現Denial of Serviceの脆弱性（CVE-2019-16201）が修正されています。

なお、Ruby 2.4.8のtarballはインストールができないという問題があったため、その問題を修正したバージョン2.4.9が急遽公開された次第です。Ruby 2.4.9はRuby 2.4.8の再パッケージであり、バージョン2.4.8とバージョン2.4.9の間ではバージョン番号以外の本質的な変更はないとのことです。

Ruby 2.6.4、Ruby 2.5.6およびRuby 2.4.7が公開されています。

Ruby 2.6.4、Ruby 2.5.6およびRuby 2.4.7では、Rubyの標準添付ライブラリであるRDocに含まれるjQueryに存在していたクロスサイトスクリプティング脆弱性（CVE-2012-6708、CVE-2015-9251）が修正されています。

なお、2020年3月末頃を目処に、Ruby 2.4系列のセキュリティメンテナンスならびに公式サポートが終了する予定となっています。現在バージョン2.4系列以前を使用している場合には、早期にRuby 2.5系列以降に移行することが推奨される状況となっています。

Apache Tomcat 8.5.42とApache Tomcat 9.0.21が2019年6月上旬に公開されています。

Apache Tomcat 8.5.42およびApache Tomcat 9.0.21では、HTTP/2プロトコルの処理においてリソース制御が適切に行われておらず、遠隔の第三者によってサービス運用妨害（DoS）攻撃を受ける可能性がある脆弱性（CVE-2019-10072）が修正されています。

現時点でのApache Tomcatの最新安定バージョンはバージョン9.0.21です。なお、FileMaker Server 18ではJava Web公開エンジンにApache Tomcat 8.5.34が使用されています。

［関連］JVNVU#99826833: Apache Tomcat におけるサービス運用妨害 (DoS) の脆弱性（Japan Vulnerability Notes）、Apache Tomcat 8 vulnerabilities（Apache Tomcat）