FAMLog

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョンであるOpenSSL 1.0.2nが公開されています。

OpenSSL 1.0.2nでは2点のセキュリティ脆弱性（CVE-2017-3737およびCVE-2017-3738）が修正されています。CVE-2017-3737はOpenSSL 1.1.0系統には影響せず、OpenSSL 1.1.0系統におけるCVE-2017-3738に対する修正はOpenSSL 1.1.0hで行われる予定ですが、CVE-2017-3738は影響度が低いことから今回OpenSSL 1.1.0系統の更新は行われていません。

FileMaker Pro 16.0.3にはOpenSSL 1.0.2lが同梱されています。なお、OpenSSL 1.0.2系列が使用されているのはFileMaker Pro 14.0.4以降です。

「Apache HTTP Server 2.4.29」が公開されています。

Apache HTTP Server 2.4.29は、Apache HTTP Server 2.4系統の最新版です。バージョン2.4.29では、mod_proxyの不具合が修正されている他、mod_http2がv0.10.12に更新されています。

Apache HTTP Server 2.2系統の保守はバージョン2.2.34をもって終了となっていて、今後はApache HTTP Server 2.4系統を利用することが推奨される状況となっています。バージョン2.2系統のセキュリティ修正は2017年12月までの予定となっており、CVE-2017-9798を修正するセキュリティパッチについてはhttps://www.apache.org/dist/httpd/patches/apply_to_2.2.34/で公開されています。

「Apache HTTP Server 2.4.28」が公開されています。

Apache HTTP Server 2.4.28は、Apache HTTP Server 2.4系統の最新版です。バージョン2.4.28では、OptionsBleed脆弱性（CVE-2017-9798）が修正されています。

Apache HTTP Server 2.2系統の保守はバージョン2.2.34をもって終了となっていて、今後はApache HTTP Server 2.4系統を利用することが推奨される状況となっています。バージョン2.2系統のセキュリティ修正は2017年12月までの予定となっており、CVE-2017-9798を修正するセキュリティパッチについてはhttps://www.apache.org/dist/httpd/patches/apply_to_2.2.34/で公開されています。

Apache Tomcat 8.0.47とApache Tomcat 7.0.82が公開されています。

Apache Tomcat 8.0.47およびApache Tomcat 7.0.82では、readonlyパラメーターをfalseに設定し、HTTP PUTリクエストを受付可能としている場合に、細工したリクエストを受けることで、遠隔から任意のコードが実行される可能性があるセキュリティ脆弱性（CVE-2017-12617）が修正されています。また、Tomcat Native Libraryがバージョン1.2.14に更新されています。

FileMaker Server 13、FileMaker Server 14、FileMaker Server 15およびFileMaker Server 16のWeb公開機能とAdmin Console用管理サーバーではTomcat 7.0系列が使用されていて、バージョン16.0.2ではApache Tomcat 7.0.77が使用されています。

［関連］Apache Tomcat 8.5.23が公開（FAMLog）、Apache Tomcat における脆弱性に関する注意喚起（JPCERT コーディネーションセンター）

（2017/10/14追記：「バージョン16.0.2ではApache Tomcat 7.0.78が使用されています」を「バージョン16.0.2ではApache Tomcat 7.0.77が使用されています」に変更・修正しました。）

Apache Tomcat 8.5.23が公開されています。

Apache Tomcat 8.5.23では、readonlyパラメーターをfalseに設定し、HTTP PUTリクエストを受付可能としている場合に、細工したリクエストを受けることで、遠隔から任意のコードが実行される可能性があるセキュリティ脆弱性（CVE-2017-12617）が修正されています。Apache Tomcatはバージョン9.0系統の開発も進められており、現在Apache Tomcat 9.0.1 (beta)が公開されている状況です。

なお、2017年10月3日時点では、CVE-2017-12617を修正したApache Tomcat 7.0系列の新バージョンは公開されていない状態です。

［関連］Apache Tomcat における脆弱性に関する注意喚起（JPCERT コーディネーションセンター）、Apache Tomcat 7.0.81ではセキュリティ脆弱性が修正済み（FAMLog）、Apache Tomcat 8.0.47とApache Tomcat 7.0.82が公開（FAMLog）

（2017/10/04追記：CVE-2017-12617を修正したApache Tomcat 8.0.47とApache Tomcat 7.0.82が公開されていたため、関連記事を追加・更新しました。）

Apache Tomcat 7.0.81では、2点の脆弱性（CVE-2017-12615およびCVE-2017-12616）が修正されています。Apache Tomcat 7.0.81が公開されたのは先月ですが、上記修正に関する情報は今月20日（日本時間）に公開されました。

CVE-2017-12615では、readonlyパラメーターをfalseに設定し、HTTP PUTリクエストを受付可能としている場合に、細工したリクエストを受けることで、遠隔から任意のコードが実行される可能性があります。CVE-2017-12616では、VirtualDirContextを利用している場合に、細工したリクエストを受けることで、セキュリティ制限がバイパスされ、VirtualDirContextを使用したリソース配下のJSPソースコードを閲覧される可能性があります。

なお、FileMaker Server 13、FileMaker Server 14、FileMaker Server 15およびFileMaker Server 16のWeb公開機能とAdmin Console用管理サーバーではTomcat 7.0系列が使用されています。

［関連］JVNVU#99259676: Apache Tomcat の複数の脆弱性に対するアップデート（Japan Vulnerability Notes）、Apache Tomcat における脆弱性に関する注意喚起（JPCERT コーディネーションセンター）

Ruby 2.4.2、Ruby 2.3.5およびRuby 2.2.8が公開されています。

Ruby 2.4.2、Ruby 2.3.5およびRuby 2.2.8では、複数のセキュリティ脆弱性（CVE-2017-0898、CVE-2017-10784、CVE-2017-14033、CVE-2017-14064、CVE-2017-0899、CVE-2017-0900、CVE-2017-0901、CVE-2017-0902）が修正されています。現在のところ、Ruby 2.4.2とRuby 2.3.5においてlibgmpおよびjemallocと正しくリンクできないという非互換性が発見されているので要注意です。

なお、Ruby 2.2系列は現在セキュリティメンテナンスフェーズにあり、このフェーズ中は重大なセキュリティ上の問題への対応のみが行われます。現在の予定では、2018年3月末頃を目処に、Ruby 2.2系列のセキュリティメンテナンスならびに公式サポートが終了する見込みとなっています。

［関連］RubyGems 2.6.13が公開（FAMLog）

Rubyの標準添付ライブラリであるRubyGemsに複数の脆弱性（CVE-2017-0902、CVE-2017-0899、CVE-2017-0900、CVE-2017-0901）が発見され、各セキュリティ脆弱性が修正されたRubyGems 2.6.13が2017年8月下旬に公開されています。

現時点では、上記脆弱性の修正に対応したRubyはリリースされていませんが、RubyGemsを最新版（バージョン2.6.13以降）に更新することによって各脆弱性が修正されます。

RubyGemsを更新するには以下のコマンドを実行します。

［実行例］
gem update --system

Apache Tomcat 7.0.79、Apache Tomcat 8.0.45およびApache Tomcat 8.5.16ではキャッシュポイズニングの問題（CVE-2017-7674）が修正されています。また、Apache Tomcat 8.5.16ではHTTP/2実装における認証回避の脆弱性（CVE-2017-7675）が修正されています。

Apache Tomcat 7.0.79、8.0.45および8.5.16が公開されたのは先月および先々月ですが、上記修正に関する情報は今月中旬に公開されました。

なお、FileMaker Server 13、FileMaker Server 14、FileMaker Server 15およびFileMaker Server 16のWeb公開機能とAdmin Console用管理サーバーではTomcat 7.0系列が使用されています。

［関連］JVNVU#91991349: Apache Tomcat の複数の脆弱性に対するアップデート（Japan Vulnerability Notes）

2017年5月に公開されたApache Tomcat 7.0.78、Apache Tomcat 8.0.44およびApache Tomcat 8.5.15ではエラーページ処理に関するセキュリティ制限回避の脆弱性（CVE-2017-5664）が修正されています。

Apache Tomcat 7.0.78、8.0.44および8.5.15が公開されたのは先月ですが、上記修正に関する情報は今月上旬に公開されました。

CVE-2017-5664がFileMaker Serverに影響を与えるかは現時点では不明です。なお、FileMaker Server 13、FileMaker Server 14、FileMaker Server 15およびFileMaker Server 16のWeb公開機能とAdmin Console用管理サーバーではTomcat 7.0系列が使用されています。

［関連］JVNVU#95420726:  Apache Tomcat にセキュリティ制限回避の脆弱性（Japan Vulnerability Notes）