FAMLog

Apache Tomcat 6.0.51が2017年3月中旬に公開されています。

Apache Tomcat 6.0.51では、Apache Tomcat 8.5.9で修正されたセキュリティ脆弱性（CVE-2016-8745）が修正されています。当該脆弱性は、公表当初、Apache Tomcat 8.5より前のバージョンは影響を受けないとされていましたが、バージョン8.0系列以前も影響を受けることが後から判明した次第です。

Apache Tomcat 6.0系列は2016年12月31日にサポートが終了し、2017年3月末にはApache Tomcat 6.0のダウンロードページが削除される予定となっています。なお、FileMaker Server 12およびFileMaker Server 12 AdvancedのWeb公開機能とAdmin Console用管理サーバーではTomcat 6.0系列が使用されていました。

［関連］JVNVU#97321122: Apache Tomcat に情報漏えいの脆弱性（Japan Vulnerability Notes）、Apache Tomcat 8.5.9が公開（FAMLog）、Apache Tomcat 8.0.41とApache Tomcat 7.0.75が公開（FAMLog）

Apache Tomcat 8.5.9が公開されています。

Apache Tomcat 8.5.9では、複数のリクエストを処理する際に同一の「Processor」が用いられ、セッションIDやレスポンス情報が漏洩する恐れがある脆弱性（CVE-2016-8745）が修正されています。この脆弱性は、Apache Tomcat 8.5系統において行われたConnectorコードのリファクタリングが原因で作りこまれたものであるとのことです。

現時点でのApache Tomcatの最新安定バージョンはバージョン8.5系統です。Apache Tomcatはバージョン9.0系統の開発も進められており、現在Apache Tomcat 9.0.0.M15 (alpha)が公開されている状況です。なお、Apache Tomcat 8.5.9と同時に公開されたApache Tomcat 9.0.0.M15 (alpha)では上記の脆弱性が修正されています。

［関連］JVNVU#97321122: Apache Tomcat に情報漏えいの脆弱性（Japan Vulnerability Notes）、Apache Tomcat 8.0.41とApache Tomcat 7.0.75が公開（FAMLog）

（2017/02/01追記：関連記事へのリンクを更新・追加しました。CVE-2016-8745は、公表当初、Apache Tomcat 8.5より前のバージョンは影響を受けないとされていましたが、バージョン8.0系列以前も影響を受けることが後から判明しました。）

Apache HTTP ServerでHTTP/2を利用できるようにするmod_http2のセキュリティパッチが公開されています。

今回公開されたセキュリティパッチは、バージョン2.4.17からバージョン2.4.23までのApache HTTP Serverに含まれるmod_http2におけるHTTP/2利用時のDoS脆弱性（CVE-2016-8740）を修正するものです。

mod_http2は、Apache HTTP Server 2.4.17以降に同梱されており、通常は有効化されていません。今回公開されたセキュリティパッチは、Apache HTTP Serverの次回更新時に含まれる予定となっています。

WebサーバーとTomcatの接続に使用されるコネクター「Apache Tomcat JK Connector 1.2.42」が2016年10月上旬に公開されています。

Apache Tomcat JK Connector 1.2.42では、バッファーオーバーフローが発生する可能性のあるセキュリティ脆弱性（CVE-2016-6808）が修正されています。

なお、Mac版のFileMaker Server 7からFileMaker Server 11まではApache Tomcat JK Connector 1.2をベースにしたものがWebサーバーモジュールで使用されていましたが、Mac版のFileMaker Server 12以降ではApache Tomcat JK Connector 1.2の代わりにmod_proxy_ajpが利用されるようになっています。

Ruby on Rails 3.2.22.3、Ruby on Rails 4.2.7.1およびRuby on Rails 5.0.0.1が2016年8月中旬に公開されています。

Ruby on RailsはRubyで記述されたオープンソースのWebアプリケーションフレームワークです。Rails 3.2.22.3、Rails 4.2.7.1およびRails 5.0.0.1では、セキュリティ上の問題点が修正されています。

Rails 3.2.22.3、Rails 4.2.7.1およびRails 5.0.0.1ではAction ViewにおけるXSS脆弱性（CVE-2016-6316）が修正されています。また、Rails 4.2.7.1ではActive RecordでWHERE句に“IS NULL”や空文字を指定してしまうことがある問題（CVE-2016-6317）も修正されています。

IPA（独立行政法人情報処理推進機構）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）が、OS X版FileMaker Server 14以前においてPHPソースコードが閲覧可能な問題に関する情報を公開しています。

脆弱性の内容は、OS X版FileMaker Server（バージョン9から14まで、バージョン13.0v10を除く）においてAdmin Consoleで展開アシスタントの設定を編集するとサーバーに設置したPHPスクリプトのソースコードが閲覧されてしまう時間が発生するというものです。脆弱性が確認されているFileMaker製品は下記の通りです。

・OS X版FileMaker Server 14（バージョン14.0.4、14.0.4a、14.0.4bを含む）
・OS X版FileMaker Server 13（バージョン13.0v10を除く）
・OS X版FileMaker Server 12、OS X版FileMaker Server 12 Advanced
・OS X版FileMaker Server 11、OS X版FileMaker Server 11 Advanced
・OS X版FileMaker Server 10、OS X版FileMaker Server 10 Advanced
・OS X版FileMaker Server 9、OS X版FileMaker Server 9 Advanced

インターネットに接続している最中にFileMaker Server Admin Consoleの展開アシスタントを使用しなければ本脆弱性の脅威はありません。展開アシスタントの設定を編集する際には、インターネットに接続しない状態で実行することで上記の問題を回避できます。さらに、PHPスクリプトファイルをサーバーに設置する際には、展開アシスタントにおいてPHPの利用を無効化しないようにする必要があります。

［関連］OS X版FileMaker Server 14以前においてPHPソースコードが閲覧可能な問題に関するご案内（株式会社エミック）

Java 8 Update 77が2016年3月下旬に公開されています。

バージョン8 Update 77ではデスクトップのWebブラウザーでJava SEを利用かつ細工されたWebサイトを訪問した場合に影響するセキュリティ脆弱性（CVE-2016-0636）が修正されています。

なお、Java 7の公式アップデートはすでに終了しており、バージョン7およびそれ以前のJavaを利用している場合には、Java 8への更新を検討および実行する必要がある状況です。

［関連］FileMaker Server 10/11のAdmin ConsoleとJava 8 Update 71は非互換（FAMLog）

Java 8 Update 73およびJava 8 Update 74が公開されています。

バージョン8 Update 73ではWindowsプラットフォームのみに影響するセキュリティ脆弱性（CVE-2016-0603）が修正されています。攻撃方法が複雑であるものの、WindowsプラットフォームでJava 8、7あるいは6をインストールする際にシステムを乗っ取られる可能性があった点が修正されているとのことです。

なお、Java 7の公式アップデートはすでに終了しており、バージョン7およびそれ以前のJavaを利用している場合には、Java 8への更新を検討および実行する必要がある状況です。

［関連］FileMaker Server 10/11のAdmin ConsoleとJava 8 Update 71は非互換（FAMLog）

「Ruby 2.2.4」、「Ruby 2.1.8」および「Ruby 2.0.0-p648」が公開されています。

Ruby 2.2.4、Ruby 2.1.8およびRuby 2.0.0-p648では、FiddleとDLにおけるtainted文字列使用時の脆弱性（CVE-2015-7551）が修正されています。

なお、Ruby 2.0.0の保守は2016年2月24日で終了する予定となっているため、今後はRuby 2.2系統もしくはRuby 2.1系統に移行することが推奨されます。Rubyはバージョン2.3系統の開発も進められており、現在「Ruby 2.3.0-preview2」が公開されている状況です。

WebサーバーとTomcatの接続に使用されるコネクター「Apache Tomcat JK Connector 1.2.41」が2015年8月中旬に公開されています。

JK 1.2.41はJK 1.2系統の最新版Tomcatコネクターです。バージョン1.2.41では、JkUnmountディレクティブで指定したルールが無視されることで情報漏洩につながってしまう可能性のあるセキュリティ脆弱性（CVE-2014-8111）が修正されています。

なお、Mac版のFileMaker Server 7からFileMaker Server 11まではJK 1.2をベースにしたものがWebサーバーモジュールで使用されていましたが、Mac版のFileMaker Server 12およびFileMaker Server 13ではJK 1.2の代わりにmod_proxy_ajpが利用されていました。OS X版FileMaker Server 14ではmod_proxy_ajpは組み込まれているものの内部的には特に利用されなくなっているようです。

（2016/10/11追記：OS X版FileMaker Server 14でmod_proxy_ajpを利用している箇所があったため、「Mac版のFileMaker Server 12およびFileMaker Server 13ではJK 1.2の代わりにmod_proxy_ajpが利用されていました。OS X版FileMaker Server 14ではmod_proxy_ajpは組み込まれているものの内部的には特に利用されなくなっているようです。」を「Mac版のFileMaker Server 12以降ではJK 1.2の代わりにmod_proxy_ajpが利用されるようになっています。」に変更・修正しました。）