FAMLog

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 1.1.1c」、「OpenSSL 1.1.0k」および「OpenSSL 1.0.2s」が2019年5月下旬に公開されています。

OpenSSL 1.1.1cとOpenSSL 1.1.0kでは1点のセキュリティ脆弱性（CVE-2019-1543）が修正されていますが、同時に公開されたOpenSSL 1.0.2sには特にセキュリティ上の修正は含まれていないとのことです。

なお、バージョン1.0.2系列のサポートは2019年12月31日に終了する予定、バージョン1.1.0系列のサポートは2019年9月頃に終了する予定となっているので、来年までに計画的にバージョン1.1.1系列にアップグレードする必要がある状況です。

SSHプロトコルを使用するネットワーク接続ツールのフリーな実装であるOpenSSHの新バージョン「OpenSSH 8.0」が公開されています。

OpenSSH 8.0では、scpの脆弱性（CVE-2019-6111）に対する緩和策が導入され、リモートのサーバーからローカルのディレクトリにscpでファイルをコピーする際に、サーバーから送られたファイル名がクライアント側の要求と一致するかどうかチェックするように変更されています。

なお、scpのプロトコルは旧式であるため、ファイル転送にはscpの代わりにsftpやrsyncといったプロトコルの利用が推奨されています。

［参考］OpenSSH 8.0 がリリースされました（春山征吾のBlog）

Apache HTTP Server 2.4.39が公開されています。

Apache HTTP ServerはオープンソースのWebサーバーソフトウェアです。バージョン2.4.39では、mod_http2の脆弱性（CVE-2019-0196、CVE-2019-0197）やmod_sslの脆弱性（CVE-2019-0215）、mod_auth_digestの脆弱性（CVE-2019-0217）などが修正されています。

なお、OpenSSL 1.1.1を併用してApache HTTP ServerでTLS 1.3に対応させる場合には、バージョン2.4.39以降を使用する必要があるとのことです。

Apache Tomcat 8.5.38およびApache Tomcat 9.0.16ではHTTP/2利用時のサービス運用妨害（DoS）の脆弱性（CVE-2019-0199）が修正されています。

Apache Tomcat 8.5.38および9.0.16が公開されたのは先月上旬ですが、上記修正に関する情報は今月下旬に公開されました。

現時点でのApache Tomcatの最新安定バージョンはバージョン9.0.17です。なお、FileMaker Server 17では、Java Web公開エンジンにApache Tomcat 7.0.82が使用されていますが、Admin Console用管理サーバーではApache Tomcatの代わりにNode.jsが使用されるようになっています。

［関連］Apache Tomcat 8.5.38とApache Tomcat 9.0.16が公開（FAMLog）

Ruby on Rails 4.2.11.1、Ruby on Rails 5.0.7.2、Ruby on Rails 5.1.6.2およびRuby on Rails 5.2.2.1が公開されています。

Ruby on RailsはRubyで記述されたオープンソースのWebアプリケーションフレームワークです。Rails 4.2.11.1、Rails 5.0.7.2、Rails 5.1.6.2およびRails 5.2.2.1ではActive Viewにおけるセキュリティ脆弱性（CVE-2019-5418とCVE-2019-5419）が修正されています。

さらに、Rails 5.2.2.1ではDevelopmentモードにおけるセキュリティ脆弱性（CVE-2019-5420）も修正されています。

Rubyの標準添付ライブラリであるRubyGemsに複数の脆弱性（CVE-2019-8320、CVE-2019-8321、CVE-2019-8322、CVE-2019-8323、CVE-2019-8324、CVE-2019-8325）が発見され、各セキュリティ脆弱性が修正されたRubyGems 2.7.9およびRubyGems 3.0.3が公開されています。

現時点では、上記脆弱性の修正に対応したRubyはリリースされていませんが、RubyGemsを最新版（バージョン2.7.9もしくはバージョン3.0.3）に更新することによって各脆弱性が修正されます。

RubyGemsを更新するには以下のコマンドを実行します。

［実行例］
gem update --system

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 1.0.2r」が公開されています。

OpenSSL 1.0.2rでは1点のセキュリティ脆弱性（CVE-2019-1559）が修正されています。なお、OpenSSLのバージョン1.0.2系統は2019年12月31日までサポートされる予定になっています。

FileMaker Pro 17 Advancedのバージョン17.0.4にはOpenSSL 1.0.2oが同梱されています。なお、OpenSSL 1.0.2系列が使用されているのはFileMaker Pro 14.0.4以降です。

Apache HTTP Server 2.4.38が公開されています。

Apache HTTP ServerはオープンソースのWebサーバーソフトウェアです。バージョン2.4.38では、mod_sslのDoS脆弱性（CVE-2019-0190）とmod_http2のDoS脆弱性（CVE-2018-17189）、および mod_session_cookieの脆弱性（CVE-2018-17199）が修正されています。

なお、Apache HTTP Server 2.2系統はすでに保守が終了しており、今後はApache HTTP Server 2.4系統を利用することが推奨されます。

LibreSSL 2.8.3とLibreSSL 2.7.5が2018年12月中旬に公開されています。

LibreSSLは、OpenSSLからフォークしたものであり、OpenBSDの標準TLSライブラリとして採用されています。LibreSSL 2.8.3にはPortSmash脆弱性（CVE-2018-5407）に対する影響低減策が追加されています。

現時点でのLibreSSLの最新安定バージョンはバージョン2.8.3です。LibreSSLはバージョン2.9系統の開発も進められており、今回同時に開発版のバージョン2.9.0が公開された次第です。

Ruby on Rails 4.2.11、Ruby on Rails 5.0.7.1、Ruby on Rails 5.1.6.1およびRuby on Rails 5.2.1.1が公開されています。

Ruby on RailsはRubyで記述されたオープンソースのWebアプリケーションフレームワークです。Rails 4.2.11、Rails 5.0.7.1、Rails 5.1.6.1およびRails 5.2.1.1ではActive Jobにおけるセキュリティ脆弱性（CVE-2018-16476）が修正されています。さらに、Rails 5.2.1.1ではActive Storageにおけるセキュリティ脆弱性（CVE-2018-16477）も修正されています。

Ruby on Railsは今年の4月にバージョン5.2が公開されており、バージョン5.2では、Redisキャッシュストアが組み込まれ、HTTP/2 Early Hintsをサポートするようになっています。その他、config/credentials.yml.encファイルが追加されて、productionアプリの秘密情報（secret）をここに保存できるようになるなど、数多くの新機能が追加されています。

（2019/03/15追記：「Rails 5.2.11ではActive Storageにおけるセキュリティ脆弱性（CVE-2018-16477）も修正」を「Rails 5.2.1.1ではActive Storageにおけるセキュリティ脆弱性（CVE-2018-16477）も修正」に変更・修正しました。）