FAMLog
Apache HTTP Server 2.4.34が公開
July 19, 2018
Apache HTTP Server 2.4.34が公開されています。
バージョン2.4.34では、mod_mdのDoS脆弱性(CVE-2018-8011)とmod_http2のDoS脆弱性(CVE-2018-1333)が修正されています。ACMEv1を使用してLet's Encryptの証明書を取得・更新できるmod_mdの機能強化や不具合修正もあわせて行われています。
なお、Apache HTTP Server 2.2系統はすでに保守が終了しており、今後はApache HTTP Server 2.4系統を利用することが推奨されます。
[関連]Apache HTTP Server 2.2系列の公式サポートが終了(FAMLog)、Apache HTTP Server 2.4.33が公開(FAMLog)
APPLE-SA-2018-7-9-4 macOS High Sierra 10.13.6, Security Update 2018-004 Sierra, Security Update 2018-004 El Capitan
July 12, 2018
AppleからmacOS High Sierra 10.13.6と、macOS Sierra 10.12.6およびOS X El Capitan v10.11.6用のSecurity Update 2018-004が公開されています。
上記の各アップデートにはセキュリティに関わる修正が含まれており、Intel CPUのLazy FP state restore脆弱性(CVE-2018-3665)が修正されています。
なお、バージョン17、16および15.0.2以降のFileMaker ServerはmacOS High Sierraと互換性がありますが、FileMaker Server 14はmacOS High Sierraには対応していません。
[関連]macOS版FileMaker Server 17の動作環境(FAMLog)、FileMaker Serverの運用環境としてOS X El Capitan v10.11がサポート対象外に(FAMLog)
Apache Tomcat JK Connector 1.2.43が公開
March 13, 2018
WebサーバーとTomcatの接続に使用されるコネクター「Apache Tomcat JK Connector 1.2.43」が2018年3月上旬に公開されています。
Apache Tomcat JK Connector 1.2.43では、IIS利用時におけるパストラバーサルのセキュリティ脆弱性(CVE-2018-1323)が修正されています。
なお、Mac版のFileMaker Server 7からFileMaker Server 11まではApache Tomcat JK Connector 1.2をベースにしたものがWebサーバーモジュールで使用されていました。macOS版のFileMaker Server 16ではmod_proxy_ajp.soが組み込まれたApache HTTP Serverを利用していますが、mod_proxy_ajpやApache Tomcat JK Connectorは特に内部では使われてはいません。
Apache Tomcat 7.0.85、8.0.50、8.5.28および9.0.5が公開
February 23, 2018
Apache Tomcat 7.0.85、Apache Tomcat 8.0.50、Apache Tomcat 8.5.28およびApache Tomcat 9.0.5が2018年2月中旬に公開されています。
Apache Tomcat 7.0.85、8.0.50、8.5.28および9.0.5では、2点のセキュリティ脆弱性が修正されており、特定のURLパターンによるアクセス制限が適切に設定されない問題(CVE-2018-1304)とServletのアノテーションで定義されているアクセス制限が適切に設定されない問題(CVE-2018-1305)が修正されています。
なお、現時点でのApache Tomcatの最新安定バージョンはバージョン9.0.5ですが、FileMaker Server 13とFileMaker Server 14、FileMaker Server 15、FileMaker Server 16のWeb公開機能とAdmin Console用管理サーバーではTomcat 7.0系列が使用されています。
[関連]JVNVU#95970576: Apache Tomcat の複数の脆弱性に対するアップデート(Japan Vulnerability Notes)
APPLE-SA-2018-1-23-2 macOS High Sierra 10.13.3, Security Update 2018-001 Sierra, and Security Update 2018-001 El Capitan
January 24, 2018
AppleからmacOS High Sierra 10.13.3、macOS Sierra 10.12.6およびOS X El Capitan v10.11.6用のSecurity Update 2018-001が公開されています。
上記の各アップデートにはセキュリティに関わる修正が含まれていますが、OS X Yosemite用のアップデートは用意されていません。
なお、macOS Sierra 10.12.6およびOS X El Capitan v10.11.6用のSecurity Update 2018-001にはMeltdown脆弱性(CVE-2017-5754)の影響緩和策が含まれているとのことです。
[関連]ARM ベースおよび Intel CPU の投機的実行の脆弱性について(Apple)、About speculative execution vulnerabilities in ARM-based and Intel CPUs(Apple)
APPLE-SA-2018-1-8-3 Safari 11.0.2
January 11, 2018
AppleからSpectre脆弱性(CVE-2017-5753およびCVE-2017-5715)の影響緩和策が含まれているmacOS SierraおよびOS X El Capitan用のSafari 11.0.2が配布されています。
Spectre脆弱性の影響緩和策が含まれているSafariに更新すると、macOS Sierra 10.12.6用のSafariはバージョン11.0.2 (12604.4.7.1.6)に、OS X El Capitan 10.11.6用のSafariはバージョン11.0.2 (11604.4.7.1.6)に更新されます。
なお、SpectreだけでなくMeltdownという名称の脆弱性(CVE-2017-5754)も今月上旬に公表されましたが、2018年1月11日現在、macOSではmacOS High Sierra 10.13.2にMeltdownの影響緩和策が含まれていますが、macOS Sierra以前向けのmacOSにはMeltdownの影響緩和策はリリースされていない状況です。
[関連]About speculative execution vulnerabilities in ARM-based and Intel CPUs(Apple)、APPLE-SA-2017-12-13-5 Safari 11.0.2(FAMLog)、APPLE-SA-2018-1-8-2 macOS High Sierra 10.13.2 Supplemental Update(FAMLog)
APPLE-SA-2018-1-8-2 macOS High Sierra 10.13.2 Supplemental Update
January 10, 2018
AppleからmacOS High Sierra 10.13.2 追加アップデートが公開されています。
macOS High Sierra 10.13.2 追加アップデートにはセキュリティアップデートが含まれ、SafariとWebKitにおけるSpectre脆弱性(CVE-2017-5753およびCVE-2017-5715)の影響緩和策が含まれています。
なお、SpectreだけでなくMeltdownという名称の脆弱性(CVE-2017-5754)も最近公表されましたが、AppleはiOS 11.2、macOS 10.13.2およびtvOS 11.2にMeltdownの影響緩和策を含めていたと発表しており、Apple WatchについてはMeltdownとSpectreのどちらの影響も受けないとのことです。
[関連]ARM ベースおよび Intel CPU の投機的実行の脆弱性について(Apple)、APPLE-SA-2017-12-6-1 macOS High Sierra 10.13.2(FAMLog)、APPLE-SA-2018-1-8-1 iOS 11.2.2(FAMLog)
APPLE-SA-2018-1-8-1 iOS 11.2.2
January 09, 2018
iOSデバイス向けのソフトウェアアップデートとなるiOS 11.2.2の提供が開始されています。
iOS 11.2.2にはセキュリティアップデートが含まれ、SafariとWebKitにおけるSpectre脆弱性(CVE-2017-5753およびCVE-2017-5715)の影響緩和策が含まれています。
なお、SpectreだけでなくMeltdownという名称の脆弱性(CVE-2017-5754)も最近公表されましたが、AppleはiOS 11.2、macOS 10.13.2およびtvOS 11.2にMeltdownの影響緩和策を含めていたと発表しており、Apple WatchについてはMeltdownとSpectreのどちらの影響も受けないとのことです。
[関連]ARM ベースおよび Intel CPU の投機的実行の脆弱性について(Apple)、APPLE-SA-2017-12-6-1 macOS High Sierra 10.13.2(FAMLog)、APPLE-SA-2017-12-6-2 iOS 11.2(FAMLog)
Ruby 2.4.3、Ruby 2.3.6およびRuby 2.2.9が公開
December 26, 2017
Ruby 2.4.3、Ruby 2.3.6およびRuby 2.2.9が2017年12月中旬に公開されています。
Ruby 2.4.3、Ruby 2.3.6およびRuby 2.2.9では、Net::FTPにおけるコマンドインジェクションの脆弱性(CVE-2017-17405)が修正されています。また、Ruby 2.3.6およびRuby 2.2.9ではRubyGemsにおける安全でないオブジェクトの逆シリアル化の脆弱性も修正されています。
なお、Ruby 2.2系列は現在セキュリティメンテナンスフェーズにあり、このフェーズ中は重大なセキュリティ上の問題への対応のみが行われます。現在の予定では、2018年3月末頃を目処に、Ruby 2.2系列のセキュリティメンテナンスならびに公式サポートが終了する見込みとなっています。
Node.js v8.9.3、Node.js v6.12.2およびNode.js v4.8.7が公開
December 19, 2017
Node.js v8.9.3、Node.js v6.12.2およびNode.js v4.8.7が2017年12月上旬に公開されています。
Node.js v8.9.3、Node.js v6.12.2およびNode.js v4.8.7では、OpenSSLがバージョン1.0.2nに更新されてCVE-2017-3738に対する修正が行われています。また、Node.js v8系列以降に存在する複数のセキュリティ脆弱性も修正されています。
FileMaker Server 16とFileMaker Cloud 1.16のFileMaker Data API エンジンではNode.js v6系列が使われていて、FileMaker Server 16.0.3ではNode.js v6.9.2、FileMaker Cloud 1.16.0ではNode.js v6.9.4が使用されています。
[関連]OpenSSL 1.0.2nが公開(FAMLog)