FAMLog

Ruby on Rails 3.2.22.3、Ruby on Rails 4.2.7.1およびRuby on Rails 5.0.0.1が2016年8月中旬に公開されています。

Ruby on RailsはRubyで記述されたオープンソースのWebアプリケーションフレームワークです。Rails 3.2.22.3、Rails 4.2.7.1およびRails 5.0.0.1では、セキュリティ上の問題点が修正されています。

Rails 3.2.22.3、Rails 4.2.7.1およびRails 5.0.0.1ではAction ViewにおけるXSS脆弱性（CVE-2016-6316）が修正されています。また、Rails 4.2.7.1ではActive RecordでWHERE句に“IS NULL”や空文字を指定してしまうことがある問題（CVE-2016-6317）も修正されています。

IPA（独立行政法人情報処理推進機構）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）が、OS X版FileMaker Server 14以前においてPHPソースコードが閲覧可能な問題に関する情報を公開しています。

脆弱性の内容は、OS X版FileMaker Server（バージョン9から14まで、バージョン13.0v10を除く）においてAdmin Consoleで展開アシスタントの設定を編集するとサーバーに設置したPHPスクリプトのソースコードが閲覧されてしまう時間が発生するというものです。脆弱性が確認されているFileMaker製品は下記の通りです。

・OS X版FileMaker Server 14（バージョン14.0.4、14.0.4a、14.0.4bを含む）
・OS X版FileMaker Server 13（バージョン13.0v10を除く）
・OS X版FileMaker Server 12、OS X版FileMaker Server 12 Advanced
・OS X版FileMaker Server 11、OS X版FileMaker Server 11 Advanced
・OS X版FileMaker Server 10、OS X版FileMaker Server 10 Advanced
・OS X版FileMaker Server 9、OS X版FileMaker Server 9 Advanced

インターネットに接続している最中にFileMaker Server Admin Consoleの展開アシスタントを使用しなければ本脆弱性の脅威はありません。展開アシスタントの設定を編集する際には、インターネットに接続しない状態で実行することで上記の問題を回避できます。さらに、PHPスクリプトファイルをサーバーに設置する際には、展開アシスタントにおいてPHPの利用を無効化しないようにする必要があります。

［関連］OS X版FileMaker Server 14以前においてPHPソースコードが閲覧可能な問題に関するご案内（株式会社エミック）

Java 8 Update 77が2016年3月下旬に公開されています。

バージョン8 Update 77ではデスクトップのWebブラウザーでJava SEを利用かつ細工されたWebサイトを訪問した場合に影響するセキュリティ脆弱性（CVE-2016-0636）が修正されています。

なお、Java 7の公式アップデートはすでに終了しており、バージョン7およびそれ以前のJavaを利用している場合には、Java 8への更新を検討および実行する必要がある状況です。

［関連］FileMaker Server 10/11のAdmin ConsoleとJava 8 Update 71は非互換（FAMLog）

Java 8 Update 73およびJava 8 Update 74が公開されています。

バージョン8 Update 73ではWindowsプラットフォームのみに影響するセキュリティ脆弱性（CVE-2016-0603）が修正されています。攻撃方法が複雑であるものの、WindowsプラットフォームでJava 8、7あるいは6をインストールする際にシステムを乗っ取られる可能性があった点が修正されているとのことです。

なお、Java 7の公式アップデートはすでに終了しており、バージョン7およびそれ以前のJavaを利用している場合には、Java 8への更新を検討および実行する必要がある状況です。

［関連］FileMaker Server 10/11のAdmin ConsoleとJava 8 Update 71は非互換（FAMLog）

「Ruby 2.2.4」、「Ruby 2.1.8」および「Ruby 2.0.0-p648」が公開されています。

Ruby 2.2.4、Ruby 2.1.8およびRuby 2.0.0-p648では、FiddleとDLにおけるtainted文字列使用時の脆弱性（CVE-2015-7551）が修正されています。

なお、Ruby 2.0.0の保守は2016年2月24日で終了する予定となっているため、今後はRuby 2.2系統もしくはRuby 2.1系統に移行することが推奨されます。Rubyはバージョン2.3系統の開発も進められており、現在「Ruby 2.3.0-preview2」が公開されている状況です。

WebサーバーとTomcatの接続に使用されるコネクター「Apache Tomcat JK Connector 1.2.41」が2015年8月中旬に公開されています。

JK 1.2.41はJK 1.2系統の最新版Tomcatコネクターです。バージョン1.2.41では、JkUnmountディレクティブで指定したルールが無視されることで情報漏洩につながってしまう可能性のあるセキュリティ脆弱性（CVE-2014-8111）が修正されています。

なお、Mac版のFileMaker Server 7からFileMaker Server 11まではJK 1.2をベースにしたものがWebサーバーモジュールで使用されていましたが、Mac版のFileMaker Server 12およびFileMaker Server 13ではJK 1.2の代わりにmod_proxy_ajpが利用されていました。OS X版FileMaker Server 14ではmod_proxy_ajpは組み込まれているものの内部的には特に利用されなくなっているようです。

（2016/10/11追記：OS X版FileMaker Server 14でmod_proxy_ajpを利用している箇所があったため、「Mac版のFileMaker Server 12およびFileMaker Server 13ではJK 1.2の代わりにmod_proxy_ajpが利用されていました。OS X版FileMaker Server 14ではmod_proxy_ajpは組み込まれているものの内部的には特に利用されなくなっているようです。」を「Mac版のFileMaker Server 12以降ではJK 1.2の代わりにmod_proxy_ajpが利用されるようになっています。」に変更・修正しました。）

「INTER-Mediator 5.2」を公開しました。

INTER-Mediatorは、予算規模の小さな組織でも業務システムの開発を円滑にできることを目指して開発された、MITライセンスで提供されるWebアプリケーションフレームワークです。HTMLへの属性追加と設定ファイルを作成するだけで、データベースと連動するWebアプリケーションを開発できます。

バージョン5.2では、PDOでレコードの複製およびLDAP認証をサポートし、PHP 5.2/5.3向けにファイルアップロードコンポーネントにおけるPHPのmove_uploaded_file関数でNULLバイト攻撃できる問題（CVE-2015-2348、PHP 5.4.39/PHP 5.5.23/PHP 5.6.7で修正済み）への対策を行いました。同時に、バージョン5.2をベースにしたINTER-Mediator-Server VMもリリースしました。VMを利用する上での利便性を高めるアップデートも行っています。

「Ruby 2.2.3」、「Ruby 2.1.7」および「Ruby 2.0.0-p647」が公開されています。

Ruby 2.2.3、Ruby 2.1.7およびRuby 2.0.0-p647では、RubyGemsにおけるドメイン名検証の脆弱性が修正されています。

なお、Ruby 2.0.0の保守は2016年2月24日で終了する予定となっているため、今後はRuby 2.2系統もしくはRuby 2.1系統に移行することが推奨されます。

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 1.0.2d」と「OpenSSL 1.0.1p」が公開されています。

OpenSSL 1.0.2dおよびOpenSSL 1.0.1pでは深刻度の高いセキュリティ脆弱性（CVE-2015-1793）が修正されています。OpenSSL 1.0.2bあるいは1.0.2cを使用している場合にはバージョン1.0.2dへ、OpenSSL 1.0.1nあるいは1.0.1oを使用している場合にはバージョン1.0.1pへアップグレードすることが強く推奨されています。

なお、OpenSSLのバージョン0.9.8系統およびバージョン1.0.0系統は2015年12月31日にサポートが終了する予定となっています。

［関連］OpenSSLの脆弱性(CVE-2015-1793)によるAltチェーン証明書偽造の仕組み（ぼちぼち日記）

Ruby on Rails 3.2.22、Ruby on Rails 4.1.11およびRuby on Rails 4.2.2が2015年6月中旬に公開されています。

Rails 3.2.22、Rails 4.1.11およびRails 4.2.2ではActive SupportのDoS脆弱性（CVE-2015-3227）が修正されています。また、Rails 4.1.11とRails 4.2.2ではActiveSupport::JSON.encodeのXSS脆弱性（CVE-2015-3226）も修正されています。

Web ConsoleやRack、jquery-ujs、jquery-railsのセキュリティ脆弱性も修正されている他、Rails 3.2.22がRuby 2.2をサポートするようになっています。