FAMLog

Apache Tomcat 8.5.23が公開されています。

Apache Tomcat 8.5.23では、readonlyパラメーターをfalseに設定し、HTTP PUTリクエストを受付可能としている場合に、細工したリクエストを受けることで、遠隔から任意のコードが実行される可能性があるセキュリティ脆弱性（CVE-2017-12617）が修正されています。Apache Tomcatはバージョン9.0系統の開発も進められており、現在Apache Tomcat 9.0.1 (beta)が公開されている状況です。

なお、2017年10月3日時点では、CVE-2017-12617を修正したApache Tomcat 7.0系列の新バージョンは公開されていない状態です。

［関連］Apache Tomcat における脆弱性に関する注意喚起（JPCERT コーディネーションセンター）、Apache Tomcat 7.0.81ではセキュリティ脆弱性が修正済み（FAMLog）、Apache Tomcat 8.0.47とApache Tomcat 7.0.82が公開（FAMLog）

（2017/10/04追記：CVE-2017-12617を修正したApache Tomcat 8.0.47とApache Tomcat 7.0.82が公開されていたため、関連記事を追加・更新しました。）

Apache Tomcat 7.0.81では、2点の脆弱性（CVE-2017-12615およびCVE-2017-12616）が修正されています。Apache Tomcat 7.0.81が公開されたのは先月ですが、上記修正に関する情報は今月20日（日本時間）に公開されました。

CVE-2017-12615では、readonlyパラメーターをfalseに設定し、HTTP PUTリクエストを受付可能としている場合に、細工したリクエストを受けることで、遠隔から任意のコードが実行される可能性があります。CVE-2017-12616では、VirtualDirContextを利用している場合に、細工したリクエストを受けることで、セキュリティ制限がバイパスされ、VirtualDirContextを使用したリソース配下のJSPソースコードを閲覧される可能性があります。

なお、FileMaker Server 13、FileMaker Server 14、FileMaker Server 15およびFileMaker Server 16のWeb公開機能とAdmin Console用管理サーバーではTomcat 7.0系列が使用されています。

［関連］JVNVU#99259676: Apache Tomcat の複数の脆弱性に対するアップデート（Japan Vulnerability Notes）、Apache Tomcat における脆弱性に関する注意喚起（JPCERT コーディネーションセンター）

Ruby 2.4.2、Ruby 2.3.5およびRuby 2.2.8が公開されています。

Ruby 2.4.2、Ruby 2.3.5およびRuby 2.2.8では、複数のセキュリティ脆弱性（CVE-2017-0898、CVE-2017-10784、CVE-2017-14033、CVE-2017-14064、CVE-2017-0899、CVE-2017-0900、CVE-2017-0901、CVE-2017-0902）が修正されています。現在のところ、Ruby 2.4.2とRuby 2.3.5においてlibgmpおよびjemallocと正しくリンクできないという非互換性が発見されているので要注意です。

なお、Ruby 2.2系列は現在セキュリティメンテナンスフェーズにあり、このフェーズ中は重大なセキュリティ上の問題への対応のみが行われます。現在の予定では、2018年3月末頃を目処に、Ruby 2.2系列のセキュリティメンテナンスならびに公式サポートが終了する見込みとなっています。

［関連］RubyGems 2.6.13が公開（FAMLog）

Rubyの標準添付ライブラリであるRubyGemsに複数の脆弱性（CVE-2017-0902、CVE-2017-0899、CVE-2017-0900、CVE-2017-0901）が発見され、各セキュリティ脆弱性が修正されたRubyGems 2.6.13が2017年8月下旬に公開されています。

現時点では、上記脆弱性の修正に対応したRubyはリリースされていませんが、RubyGemsを最新版（バージョン2.6.13以降）に更新することによって各脆弱性が修正されます。

RubyGemsを更新するには以下のコマンドを実行します。

［実行例］
gem update --system

Apache Tomcat 7.0.79、Apache Tomcat 8.0.45およびApache Tomcat 8.5.16ではキャッシュポイズニングの問題（CVE-2017-7674）が修正されています。また、Apache Tomcat 8.5.16ではHTTP/2実装における認証回避の脆弱性（CVE-2017-7675）が修正されています。

Apache Tomcat 7.0.79、8.0.45および8.5.16が公開されたのは先月および先々月ですが、上記修正に関する情報は今月中旬に公開されました。

なお、FileMaker Server 13、FileMaker Server 14、FileMaker Server 15およびFileMaker Server 16のWeb公開機能とAdmin Console用管理サーバーではTomcat 7.0系列が使用されています。

［関連］JVNVU#91991349: Apache Tomcat の複数の脆弱性に対するアップデート（Japan Vulnerability Notes）

2017年5月に公開されたApache Tomcat 7.0.78、Apache Tomcat 8.0.44およびApache Tomcat 8.5.15ではエラーページ処理に関するセキュリティ制限回避の脆弱性（CVE-2017-5664）が修正されています。

Apache Tomcat 7.0.78、8.0.44および8.5.15が公開されたのは先月ですが、上記修正に関する情報は今月上旬に公開されました。

CVE-2017-5664がFileMaker Serverに影響を与えるかは現時点では不明です。なお、FileMaker Server 13、FileMaker Server 14、FileMaker Server 15およびFileMaker Server 16のWeb公開機能とAdmin Console用管理サーバーではTomcat 7.0系列が使用されています。

［関連］JVNVU#95420726:  Apache Tomcat にセキュリティ制限回避の脆弱性（Japan Vulnerability Notes）

Apache Tomcat 6.0.51が2017年3月中旬に公開されています。

Apache Tomcat 6.0.51では、Apache Tomcat 8.5.9で修正されたセキュリティ脆弱性（CVE-2016-8745）が修正されています。当該脆弱性は、公表当初、Apache Tomcat 8.5より前のバージョンは影響を受けないとされていましたが、バージョン8.0系列以前も影響を受けることが後から判明した次第です。

Apache Tomcat 6.0系列は2016年12月31日にサポートが終了し、2017年3月末にはApache Tomcat 6.0のダウンロードページが削除される予定となっています。なお、FileMaker Server 12およびFileMaker Server 12 AdvancedのWeb公開機能とAdmin Console用管理サーバーではTomcat 6.0系列が使用されていました。

［関連］JVNVU#97321122: Apache Tomcat に情報漏えいの脆弱性（Japan Vulnerability Notes）、Apache Tomcat 8.5.9が公開（FAMLog）、Apache Tomcat 8.0.41とApache Tomcat 7.0.75が公開（FAMLog）

Apache Tomcat 8.5.9が公開されています。

Apache Tomcat 8.5.9では、複数のリクエストを処理する際に同一の「Processor」が用いられ、セッションIDやレスポンス情報が漏洩する恐れがある脆弱性（CVE-2016-8745）が修正されています。この脆弱性は、Apache Tomcat 8.5系統において行われたConnectorコードのリファクタリングが原因で作りこまれたものであるとのことです。

現時点でのApache Tomcatの最新安定バージョンはバージョン8.5系統です。Apache Tomcatはバージョン9.0系統の開発も進められており、現在Apache Tomcat 9.0.0.M15 (alpha)が公開されている状況です。なお、Apache Tomcat 8.5.9と同時に公開されたApache Tomcat 9.0.0.M15 (alpha)では上記の脆弱性が修正されています。

［関連］JVNVU#97321122: Apache Tomcat に情報漏えいの脆弱性（Japan Vulnerability Notes）、Apache Tomcat 8.0.41とApache Tomcat 7.0.75が公開（FAMLog）

（2017/02/01追記：関連記事へのリンクを更新・追加しました。CVE-2016-8745は、公表当初、Apache Tomcat 8.5より前のバージョンは影響を受けないとされていましたが、バージョン8.0系列以前も影響を受けることが後から判明しました。）

Apache HTTP ServerでHTTP/2を利用できるようにするmod_http2のセキュリティパッチが公開されています。

今回公開されたセキュリティパッチは、バージョン2.4.17からバージョン2.4.23までのApache HTTP Serverに含まれるmod_http2におけるHTTP/2利用時のDoS脆弱性（CVE-2016-8740）を修正するものです。

mod_http2は、Apache HTTP Server 2.4.17以降に同梱されており、通常は有効化されていません。今回公開されたセキュリティパッチは、Apache HTTP Serverの次回更新時に含まれる予定となっています。

WebサーバーとTomcatの接続に使用されるコネクター「Apache Tomcat JK Connector 1.2.42」が2016年10月上旬に公開されています。

Apache Tomcat JK Connector 1.2.42では、バッファーオーバーフローが発生する可能性のあるセキュリティ脆弱性（CVE-2016-6808）が修正されています。

なお、Mac版のFileMaker Server 7からFileMaker Server 11まではApache Tomcat JK Connector 1.2をベースにしたものがWebサーバーモジュールで使用されていましたが、Mac版のFileMaker Server 12以降ではApache Tomcat JK Connector 1.2の代わりにmod_proxy_ajpが利用されるようになっています。