FAMLog

「Ruby 2.2.4」、「Ruby 2.1.8」および「Ruby 2.0.0-p648」が公開されています。

Ruby 2.2.4、Ruby 2.1.8およびRuby 2.0.0-p648では、FiddleとDLにおけるtainted文字列使用時の脆弱性（CVE-2015-7551）が修正されています。

なお、Ruby 2.0.0の保守は2016年2月24日で終了する予定となっているため、今後はRuby 2.2系統もしくはRuby 2.1系統に移行することが推奨されます。Rubyはバージョン2.3系統の開発も進められており、現在「Ruby 2.3.0-preview2」が公開されている状況です。

WebサーバーとTomcatの接続に使用されるコネクター「Apache Tomcat JK Connector 1.2.41」が2015年8月中旬に公開されています。

JK 1.2.41はJK 1.2系統の最新版Tomcatコネクターです。バージョン1.2.41では、JkUnmountディレクティブで指定したルールが無視されることで情報漏洩につながってしまう可能性のあるセキュリティ脆弱性（CVE-2014-8111）が修正されています。

なお、Mac版のFileMaker Server 7からFileMaker Server 11まではJK 1.2をベースにしたものがWebサーバーモジュールで使用されていましたが、Mac版のFileMaker Server 12およびFileMaker Server 13ではJK 1.2の代わりにmod_proxy_ajpが利用されていました。OS X版FileMaker Server 14ではmod_proxy_ajpは組み込まれているものの内部的には特に利用されなくなっているようです。

（2016/10/11追記：OS X版FileMaker Server 14でmod_proxy_ajpを利用している箇所があったため、「Mac版のFileMaker Server 12およびFileMaker Server 13ではJK 1.2の代わりにmod_proxy_ajpが利用されていました。OS X版FileMaker Server 14ではmod_proxy_ajpは組み込まれているものの内部的には特に利用されなくなっているようです。」を「Mac版のFileMaker Server 12以降ではJK 1.2の代わりにmod_proxy_ajpが利用されるようになっています。」に変更・修正しました。）

「INTER-Mediator 5.2」を公開しました。

INTER-Mediatorは、予算規模の小さな組織でも業務システムの開発を円滑にできることを目指して開発された、MITライセンスで提供されるWebアプリケーションフレームワークです。HTMLへの属性追加と設定ファイルを作成するだけで、データベースと連動するWebアプリケーションを開発できます。

バージョン5.2では、PDOでレコードの複製およびLDAP認証をサポートし、PHP 5.2/5.3向けにファイルアップロードコンポーネントにおけるPHPのmove_uploaded_file関数でNULLバイト攻撃できる問題（CVE-2015-2348、PHP 5.4.39/PHP 5.5.23/PHP 5.6.7で修正済み）への対策を行いました。同時に、バージョン5.2をベースにしたINTER-Mediator-Server VMもリリースしました。VMを利用する上での利便性を高めるアップデートも行っています。

「Ruby 2.2.3」、「Ruby 2.1.7」および「Ruby 2.0.0-p647」が公開されています。

Ruby 2.2.3、Ruby 2.1.7およびRuby 2.0.0-p647では、RubyGemsにおけるドメイン名検証の脆弱性が修正されています。

なお、Ruby 2.0.0の保守は2016年2月24日で終了する予定となっているため、今後はRuby 2.2系統もしくはRuby 2.1系統に移行することが推奨されます。

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 1.0.2d」と「OpenSSL 1.0.1p」が公開されています。

OpenSSL 1.0.2dおよびOpenSSL 1.0.1pでは深刻度の高いセキュリティ脆弱性（CVE-2015-1793）が修正されています。OpenSSL 1.0.2bあるいは1.0.2cを使用している場合にはバージョン1.0.2dへ、OpenSSL 1.0.1nあるいは1.0.1oを使用している場合にはバージョン1.0.1pへアップグレードすることが強く推奨されています。

なお、OpenSSLのバージョン0.9.8系統およびバージョン1.0.0系統は2015年12月31日にサポートが終了する予定となっています。

［関連］OpenSSLの脆弱性(CVE-2015-1793)によるAltチェーン証明書偽造の仕組み（ぼちぼち日記）

Ruby on Rails 3.2.22、Ruby on Rails 4.1.11およびRuby on Rails 4.2.2が2015年6月中旬に公開されています。

Rails 3.2.22、Rails 4.1.11およびRails 4.2.2ではActive SupportのDoS脆弱性（CVE-2015-3227）が修正されています。また、Rails 4.1.11とRails 4.2.2ではActiveSupport::JSON.encodeのXSS脆弱性（CVE-2015-3226）も修正されています。

Web ConsoleやRack、jquery-ujs、jquery-railsのセキュリティ脆弱性も修正されている他、Rails 3.2.22がRuby 2.2をサポートするようになっています。

「PHP 5.6.10」、「PHP 5.5.26」および「PHP 5.4.42」が公開されています。

PHP 5.6.10、PHP 5.5.26およびPHP 5.4.42では複数のセキュリティ脆弱性が修正されています。また、同梱されているPerl互換正規表現ライブラリであるPCREライブラリは、脆弱性（CVE-2015-2325およびCVE-2015-2326）が修正されたバージョン8.37に更新されています。

PHP 5.4系統は今後積極的な不具合の修正は行われない予定となっているため、今後はバージョン5.6系統もしくはバージョン5.5系統へのアップグレードが推奨されている状況です。なお、PHPはバージョン7系統の開発も進められており、現在「PHP 7.0.0 Alpha 1」が公開されている状況です。

「Ruby 2.2.2」、「Ruby 2.1.6」および「Ruby 2.0.0-p645」が公開されています。

Ruby 2.2.2、Ruby 2.1.6およびRuby 2.0.0-p645では、RubyのOpenSSL拡張ライブラリでホスト名検証時に本来マッチすべきでない名前がマッチしてしまう場合がある脆弱性（CVE-2015-1855）が修正されています。

なお、Ruby 2.0.0の保守は2016年2月24日で終了する予定となっているため、今後はRuby 2.2系統もしくはRuby 2.1系統に移行することが推奨されます。

「PHP 5.6.4」、「PHP 5.5.20」および「PHP 5.4.36」が公開されています。

PHP 5.6.4、PHP 5.5.20およびPHP 5.4.36ではunserialize()における任意のコードを実行される脆弱性（CVE-2014-8142）が修正されています。PHP 5.4系統は今後積極的な不具合の修正は行われない予定となっているため、今後はバージョン5.6系統もしくはバージョン5.5系統へのアップグレードが推奨されています。

なお、FileMaker Server 13では、FileMaker Server 13.0v5に更新することで、Windows版ではPHPのバージョンは5.5.16に、OS X YosemiteではPHPのバージョンは5.5.14に更新されます。

［関連］JVNDB-2014-007356: PHP の ext/standard/var_unserializer.re の process_nested_data 関数における任意のコードを実行される脆弱性（JVN iPedia - 脆弱性対策情報データベース）

ntpdの脆弱性（CVE-2014-9295）を修正する「OS X NTP Security Update」が公開されています。

OS X NTP Security Updateは、OS X Yosemite v10.10.1、OS X Mavericks v10.9.5およびOS X Mountain Lion v10.8.5向けのもので、早急に適用することが強く推奨されます。

ターミナルで「what /usr/sbin/ntpd」を実行するとntpdのバージョンを確認することができ、OS X NTP Security Updateを適用している環境では下記のバージョン情報が出力されます。

・OS X Yosemite: ntp-92.5.1
・OS X Mavericks: ntp-88.1.1
・OS X Mountain Lion: ntp-77.1.1

［関連］JVNVU#96605606: Network Time Protocol daemon (ntpd) に複数の脆弱性（Japan Vulnerability Notes）