FAMLog

Ruby on Rails 4.2.11.1、Ruby on Rails 5.0.7.2、Ruby on Rails 5.1.6.2およびRuby on Rails 5.2.2.1が公開されています。

Ruby on RailsはRubyで記述されたオープンソースのWebアプリケーションフレームワークです。Rails 4.2.11.1、Rails 5.0.7.2、Rails 5.1.6.2およびRails 5.2.2.1ではActive Viewにおけるセキュリティ脆弱性（CVE-2019-5418とCVE-2019-5419）が修正されています。

さらに、Rails 5.2.2.1ではDevelopmentモードにおけるセキュリティ脆弱性（CVE-2019-5420）も修正されています。

Rubyの標準添付ライブラリであるRubyGemsに複数の脆弱性（CVE-2019-8320、CVE-2019-8321、CVE-2019-8322、CVE-2019-8323、CVE-2019-8324、CVE-2019-8325）が発見され、各セキュリティ脆弱性が修正されたRubyGems 2.7.9およびRubyGems 3.0.3が公開されています。

現時点では、上記脆弱性の修正に対応したRubyはリリースされていませんが、RubyGemsを最新版（バージョン2.7.9もしくはバージョン3.0.3）に更新することによって各脆弱性が修正されます。

RubyGemsを更新するには以下のコマンドを実行します。

［実行例］
gem update --system

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 1.0.2r」が公開されています。

OpenSSL 1.0.2rでは1点のセキュリティ脆弱性（CVE-2019-1559）が修正されています。なお、OpenSSLのバージョン1.0.2系統は2019年12月31日までサポートされる予定になっています。

FileMaker Pro 17 Advancedのバージョン17.0.4にはOpenSSL 1.0.2oが同梱されています。なお、OpenSSL 1.0.2系列が使用されているのはFileMaker Pro 14.0.4以降です。

Apache HTTP Server 2.4.38が公開されています。

Apache HTTP ServerはオープンソースのWebサーバーソフトウェアです。バージョン2.4.38では、mod_sslのDoS脆弱性（CVE-2019-0190）とmod_http2のDoS脆弱性（CVE-2018-17189）、および mod_session_cookieの脆弱性（CVE-2018-17199）が修正されています。

なお、Apache HTTP Server 2.2系統はすでに保守が終了しており、今後はApache HTTP Server 2.4系統を利用することが推奨されます。

LibreSSL 2.8.3とLibreSSL 2.7.5が2018年12月中旬に公開されています。

LibreSSLは、OpenSSLからフォークしたものであり、OpenBSDの標準TLSライブラリとして採用されています。LibreSSL 2.8.3にはPortSmash脆弱性（CVE-2018-5407）に対する影響低減策が追加されています。

現時点でのLibreSSLの最新安定バージョンはバージョン2.8.3です。LibreSSLはバージョン2.9系統の開発も進められており、今回同時に開発版のバージョン2.9.0が公開された次第です。

Ruby on Rails 4.2.11、Ruby on Rails 5.0.7.1、Ruby on Rails 5.1.6.1およびRuby on Rails 5.2.1.1が公開されています。

Ruby on RailsはRubyで記述されたオープンソースのWebアプリケーションフレームワークです。Rails 4.2.11、Rails 5.0.7.1、Rails 5.1.6.1およびRails 5.2.1.1ではActive Jobにおけるセキュリティ脆弱性（CVE-2018-16476）が修正されています。さらに、Rails 5.2.1.1ではActive Storageにおけるセキュリティ脆弱性（CVE-2018-16477）も修正されています。

Ruby on Railsは今年の4月にバージョン5.2が公開されており、バージョン5.2では、Redisキャッシュストアが組み込まれ、HTTP/2 Early Hintsをサポートするようになっています。その他、config/credentials.yml.encファイルが追加されて、productionアプリの秘密情報（secret）をここに保存できるようになるなど、数多くの新機能が追加されています。

（2019/03/15追記：「Rails 5.2.11ではActive Storageにおけるセキュリティ脆弱性（CVE-2018-16477）も修正」を「Rails 5.2.1.1ではActive Storageにおけるセキュリティ脆弱性（CVE-2018-16477）も修正」に変更・修正しました。）

WebサーバーとTomcatの接続に使用されるコネクター「Apache Tomcat JK Connector 1.2.46」が2018年10月中旬に公開されています。

Apache Tomcat JK Connector 1.2.46では、Apache HTTP Serverのmod_jk利用時におけるパストラバーサルのセキュリティ脆弱性（CVE-2018-11759）が修正されています。

なお、Mac版のFileMaker Server 7からFileMaker Server 11まではApache Tomcat JK Connector 1.2をベースにしたものがWebサーバーモジュールで使用されていました。macOS版のFileMaker Server 17ではmod_proxy_ajp.soが組み込まれたApache HTTP Serverを利用していますが、mod_proxy_ajpやApache Tomcat JK Connectorは特に内部では使われてはいません。

［関連］JVNVU#99875465: Apache Tomcat JK mod_jk Connector にパストラバーサルの脆弱性（Japan Vulnerability Notes）

Ruby 2.5.3、Ruby 2.4.5およびRuby 2.3.8が公開されています。

Ruby 2.5.3、Ruby 2.4.5およびRuby 2.3.8では、Array#packおよびString#unpackの一部のフォーマット指定においてtaintフラグが伝播しない脆弱性（CVE-2018-16396）と、OpenSSL::X509::Nameの同一性判定が機能していない脆弱性（CVE-2018-16395）が修正されています。

なお、当初Ruby 2.4.5およびRuby 2.3.8と同時にRuby 2.5.2が公開されていましたが、バージョン2.5.2のパッケージファイルにはパッケージングのミスによりビルドに必要ないくつかのファイルが含まれていませんでした。パッケージファイルの作り直しのためにRuby 2.5.3として修正版が公開された次第です。

Apache HTTP Server 2.4.35が公開されています。

バージョン2.4.35では、mod_http2のDoS脆弱性（CVE-2018-11763）が修正されています。また、mod_status、mod_proxy、mod_ratelimit、mod_watchdog、mod_md、mod_sslおよびmod_proxy_balancerにおける不具合の修正や改善も行われています。

なお、Apache HTTP Server 2.2系統はすでに保守が終了しており、今後はApache HTTP Server 2.4系統を利用することが推奨されます。

［関連］Apache HTTP Server 2.2系列の公式サポートが終了（FAMLog）

SSHプロトコルを使用するネットワーク接続ツールのフリーな実装であるOpenSSHの新バージョン「OpenSSH 7.8」が公開されています。

OpenSSH 7.8では、ユーザー名に関する情報漏洩の脆弱性（CVE-2018-15473）が修正されています。認証でRSA/SHA2署名を明示的に強制する署名アルゴリズムとして「rsa-sha2-256-cert-v01@openssh.com」と「rsa-sha2-512-cert-v01@openssh.com」が新たに追加され、sshd_configにおいて環境変数を管理者が明示的に指定できるようにするSetEnvディレクティブが追加された他、不具合が多数修正されています。

なお、バージョン7.8では、ssh-keygenコマンドがOpenSSLのPEM形式ではなくOpenSSH形式のプライベートキーを書き込むように挙動が変更されていますが、ssh-keygenコマンドの引数に「-m PEM」と加えることで引き続きPEM形式で書き込むことができます。

［参考］OpenSSH 7.8 がリリースされました（春山征吾のBlog）