FAMLog

WebサーバーとTomcatの接続に使用されるコネクター「Apache Tomcat JK Connector 1.2.46」が2018年10月中旬に公開されています。

Apache Tomcat JK Connector 1.2.46では、Apache HTTP Serverのmod_jk利用時におけるパストラバーサルのセキュリティ脆弱性（CVE-2018-11759）が修正されています。

なお、Mac版のFileMaker Server 7からFileMaker Server 11まではApache Tomcat JK Connector 1.2をベースにしたものがWebサーバーモジュールで使用されていました。macOS版のFileMaker Server 17ではmod_proxy_ajp.soが組み込まれたApache HTTP Serverを利用していますが、mod_proxy_ajpやApache Tomcat JK Connectorは特に内部では使われてはいません。

［関連］JVNVU#99875465: Apache Tomcat JK mod_jk Connector にパストラバーサルの脆弱性（Japan Vulnerability Notes）

Ruby 2.5.3、Ruby 2.4.5およびRuby 2.3.8が公開されています。

Ruby 2.5.3、Ruby 2.4.5およびRuby 2.3.8では、Array#packおよびString#unpackの一部のフォーマット指定においてtaintフラグが伝播しない脆弱性（CVE-2018-16396）と、OpenSSL::X509::Nameの同一性判定が機能していない脆弱性（CVE-2018-16395）が修正されています。

なお、当初Ruby 2.4.5およびRuby 2.3.8と同時にRuby 2.5.2が公開されていましたが、バージョン2.5.2のパッケージファイルにはパッケージングのミスによりビルドに必要ないくつかのファイルが含まれていませんでした。パッケージファイルの作り直しのためにRuby 2.5.3として修正版が公開された次第です。

Apache HTTP Server 2.4.35が公開されています。

バージョン2.4.35では、mod_http2のDoS脆弱性（CVE-2018-11763）が修正されています。また、mod_status、mod_proxy、mod_ratelimit、mod_watchdog、mod_md、mod_sslおよびmod_proxy_balancerにおける不具合の修正や改善も行われています。

なお、Apache HTTP Server 2.2系統はすでに保守が終了しており、今後はApache HTTP Server 2.4系統を利用することが推奨されます。

［関連］Apache HTTP Server 2.2系列の公式サポートが終了（FAMLog）

SSHプロトコルを使用するネットワーク接続ツールのフリーな実装であるOpenSSHの新バージョン「OpenSSH 7.8」が公開されています。

OpenSSH 7.8では、ユーザー名に関する情報漏洩の脆弱性（CVE-2018-15473）が修正されています。認証でRSA/SHA2署名を明示的に強制する署名アルゴリズムとして「rsa-sha2-256-cert-v01@openssh.com」と「rsa-sha2-512-cert-v01@openssh.com」が新たに追加され、sshd_configにおいて環境変数を管理者が明示的に指定できるようにするSetEnvディレクティブが追加された他、不具合が多数修正されています。

なお、バージョン7.8では、ssh-keygenコマンドがOpenSSLのPEM形式ではなくOpenSSH形式のプライベートキーを書き込むように挙動が変更されていますが、ssh-keygenコマンドの引数に「-m PEM」と加えることで引き続きPEM形式で書き込むことができます。

［参考］OpenSSH 7.8 がリリースされました（春山征吾のBlog）

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 1.0.2p」と「OpenSSL 1.1.0i」が公開されています。

OpenSSL 1.0.2pおよびOpenSSL 1.1.0iでは複数のセキュリティ脆弱性（CVE-2018-0732とCVE-2018-0737）が修正されています。なお、OpenSSLのバージョン1.0.2系統は2019年12月31日までサポートされる予定になっています。

FileMaker Pro 17 Advancedのバージョン17.0.2にはOpenSSL 1.0.2oが同梱されています。なお、OpenSSL 1.0.2系列が使用されているのはFileMaker Pro 14.0.4以降です。

Apache Tomcat 7.0.90、Apache Tomcat 8.0.53、Apache Tomcat 8.5.32およびApache Tomcat 9.0.10が2018年6月下旬から2018年7月上旬にかけて順次公開された後、セキュリティ修正に関する情報が2018年7月下旬に公開されています。

Apache Tomcat 7.0.90、8.0.53、8.5.32および9.0.10では、WebSocketクライアントのTLS接続においてホスト名が検証されない問題（CVE-2018-8034）、UTF-8デコーダにおける補助文字の取り扱い不備によりデコーダが無限ループとなる問題（CVE-2018-1336）、およびデフォルトのCORSフィルタ設定が安全ではなかった問題（CVE-2018-8014）が修正されています。また、Apache Tomcat 8.5.32および9.0.10では、コネクタNIO/NIO2におけるコネクションの管理不備に関する問題（CVE-2018-8037）も修正されています。

なお、FileMaker Server 17では、Java Web公開エンジンにApache Tomcat 7.0.82が使用されていますが、Admin Console用管理サーバーではApache Tomcatの代わりにNode.jsが使用されるようになっています。

［関連］JVNVU#90416738: Apache Tomcat の複数の脆弱性に対するアップデート（Japan Vulnerability Notes）、Apache Tomcat 7.0.88、8.0.52、8.5.31および9.0.8が公開（FAMLog）

Apache HTTP Server 2.4.34が公開されています。

バージョン2.4.34では、mod_mdのDoS脆弱性（CVE-2018-8011）とmod_http2のDoS脆弱性（CVE-2018-1333）が修正されています。ACMEv1を使用してLet's Encryptの証明書を取得・更新できるmod_mdの機能強化や不具合修正もあわせて行われています。

なお、Apache HTTP Server 2.2系統はすでに保守が終了しており、今後はApache HTTP Server 2.4系統を利用することが推奨されます。

［関連］Apache HTTP Server 2.2系列の公式サポートが終了（FAMLog）、Apache HTTP Server 2.4.33が公開（FAMLog）

AppleからmacOS High Sierra 10.13.6と、macOS Sierra 10.12.6およびOS X El Capitan v10.11.6用のSecurity Update 2018-004が公開されています。

上記の各アップデートにはセキュリティに関わる修正が含まれており、Intel CPUのLazy FP state restore脆弱性（CVE-2018-3665）が修正されています。

なお、バージョン17、16および15.0.2以降のFileMaker ServerはmacOS High Sierraと互換性がありますが、FileMaker Server 14はmacOS High Sierraには対応していません。

［関連］macOS版FileMaker Server 17の動作環境（FAMLog）、FileMaker Serverの運用環境としてOS X El Capitan v10.11がサポート対象外に（FAMLog）

WebサーバーとTomcatの接続に使用されるコネクター「Apache Tomcat JK Connector 1.2.43」が2018年3月上旬に公開されています。

Apache Tomcat JK Connector 1.2.43では、IIS利用時におけるパストラバーサルのセキュリティ脆弱性（CVE-2018-1323）が修正されています。

なお、Mac版のFileMaker Server 7からFileMaker Server 11まではApache Tomcat JK Connector 1.2をベースにしたものがWebサーバーモジュールで使用されていました。macOS版のFileMaker Server 16ではmod_proxy_ajp.soが組み込まれたApache HTTP Serverを利用していますが、mod_proxy_ajpやApache Tomcat JK Connectorは特に内部では使われてはいません。

Apache Tomcat 7.0.85、Apache Tomcat 8.0.50、Apache Tomcat 8.5.28およびApache Tomcat 9.0.5が2018年2月中旬に公開されています。

Apache Tomcat 7.0.85、8.0.50、8.5.28および9.0.5では、2点のセキュリティ脆弱性が修正されており、特定のURLパターンによるアクセス制限が適切に設定されない問題（CVE-2018-1304）とServletのアノテーションで定義されているアクセス制限が適切に設定されない問題（CVE-2018-1305）が修正されています。

なお、現時点でのApache Tomcatの最新安定バージョンはバージョン9.0.5ですが、FileMaker Server 13とFileMaker Server 14、FileMaker Server 15、FileMaker Server 16のWeb公開機能とAdmin Console用管理サーバーではTomcat 7.0系列が使用されています。

［関連］JVNVU#95970576: Apache Tomcat の複数の脆弱性に対するアップデート（Japan Vulnerability Notes）