FAMLog

FAMLog

Ruby 2.0.0-p353とRuby 1.9.3-p484が公開

November 26, 2013

Ruby 2.0.0-p353」と「Ruby 1.9.3-p484」が公開されています。

Ruby 2.0.0-p353とRuby 1.9.3-p484では、浮動小数点数パースにおけるヒープオーバーフローの脆弱性(CVE-2013-4164)が修正されています。

なお、Ruby 1.8系列は既にメンテナンスが終了しており、上記の脆弱性を修正したバージョンがリリースされる予定はないとのことです。

Tag: Ruby

PHP 5.4.18が公開

August 16, 2013

PHP 5.4.18」が公開されています。

PHP 5.4.18では、多数の不具合修正が行われている他、PHP 5.3系統ではPHP 5.3.27で修正された、XMLパーサーのセキュリティ脆弱性が修正されています。また、OpenSSL拡張モジュールのSSLクライアントに中間者攻撃を許してしまう脆弱性も修正されています。

なお、PHP 5.3系統は今後積極的な不具合修正は行われない予定となっており、OpenSSL拡張モジュールの脆弱性修正がPHP 5.3系統で行われるのかどうかは現時点では不明です。

[関連]JVNDB-2013-003349 PHP の ext/xml/xml.c におけるサービス運用妨害 (DoS) の脆弱性(JVN iPedia - 脆弱性対策情報データベース)、Issue 18709: SSL module fails to handle NULL bytes inside subjectAltNames general names (CVE-2013-4238)(Python tracker)

Tag: Apache

Ruby 2.0.0-p247、Ruby 1.9.3-p448およびRuby 1.8.7-p374が公開

July 02, 2013

Ruby 2.0.0-p247」、「Ruby 1.9.3-p448」および「Ruby 1.8.7-p374」が公開されています。

Ruby 2.0.0-p247、Ruby 1.9.3-p448およびRuby 1.8.7-p374では、OpenSSLクライアントにおけるホスト名検証バイパス脆弱性が修正されています。

なお、予定通りRuby 1.8.7は今後メンテナンスされなくなるため、今回公開されたRuby 1.8.7-p374がRuby 1.8系統における最後のバージョンとなります。今後はRuby 1.9.3系統もしくはRuby 2.0系統に移行することが強く推奨されます。

[関連]Ruby 1.8.7のサポート終了時期(FAMLog)

Tag: Ruby

Phusion Passenger 4.0.5とPhusion Passenger 3.0.21が公開

May 30, 2013

Phusion Passenger 4.0.5」と「Phusion Passenger 3.0.21」が公開されています。

Phusion Passengerは、RubyやPythonで記述されたWebアプリケーションを運用するための、Apache HTTP Serverおよびnginx用のモジュールとして利用できるオープンソースソフトウェアです。

バージョン4.0.5およびバージョン3.0.21ではセキュリティ脆弱性が1点修正されています。ローカルの攻撃者が一時ファイルを利用して、サービス不能攻撃(DoS)および他のユーザーとして任意のコードを実行できる脆弱性(CVE-2013-2119)が修正されています。

Tag: Apache

ModSecurity 2.7.4が公開

May 29, 2013

Webサーバーへの侵入の検知および防御を目的としたソフトウェア「ModSecurity 2.7.4」が公開されています。

ModSecuirty(バージョン2.6以降)は、Apache License 2.0で提供されるオープンソースソフトウェアです。バージョン2.7.4ではセキュリティ脆弱性(CVE-2013-2765)が1点修正されています。

また、ModSecurityはApacheおよびIISに対応していますが、バージョン2.7.4では新たにnginxも正式にサポートするようになっています。

Tag: Apache

Ruby 1.9.3-p429とRuby 2.0.0-p195が公開

May 20, 2013

Ruby 1.9.3-p429」と「Ruby 2.0.0-p195」が公開されています。

Ruby 1.9.3-p429とRuby 2.0.0-p195では、DLおよびFiddleにおいて$SAFEレベルの設定に関わらず汚染された文字列をシステム呼び出しに使用できる脆弱性が修正されています。

なお、Ruby 1.9.3-p429の公開前にRuby 1.9.3-p426も公開されていましたが、いくつかのプラットフォームでビルド上の問題があったため、Ruby 1.9.3-p426ではなくRuby 1.9.3-p429を利用することが推奨されています。

Tag: Ruby

Ruby on Rails 3.2.13、Ruby on Rails 3.1.12およびRuby on Rails 2.3.18が公開

March 27, 2013

Ruby on Rails 3.2.13、Ruby on Rails 3.1.12およびRuby on Rails 2.3.18が2013年3月中旬に公開されています。

Rails 3.2.13、Rails 3.1.12およびRails 2.3.18では、下記4点のセキュリティ脆弱性が修正されています。

CVE-2013-1854 Symbol DoS vulnerability in Active Record
CVE-2013-1855 XSS vulnerability in sanitize_css in Action Pack
CVE-2013-1856 XML Parsing Vulnerability affecting JRuby users
CVE-2013-1857 XSS Vulnerability in the sanitize helper of Ruby on Rails

すべてのバージョンに影響のあるものですが、メンテナンスポリシーにより上記3系統のバージョンのみリリースされています。

(2013/12/16追記:「Ruby on Rails 3.1.12およびがRuby on Rails 2.3.18」を「Ruby on Rails 3.1.12およびRuby on Rails 2.3.18」に修正しました。)

Tag: Ruby

Java SE 7 Update 17とJava SE 6 Update 43が公開

March 06, 2013

Java SE 7 Update 17とJava SE 6 Update 43が公開されています。

Java SE 7 Update 17とJava SE 6 Update 43では複数の脆弱性が修正されており、できる限り早くアップデートすることが強く推奨されています。

なお、OS Xに内蔵されているマルウェア感染防止機能で使用する定義ファイルが更新されると、古いバージョンのJavaプラグインを使用できない制限がかかるようになります。OS X LionとOS X Mountain Lionの場合には、FileMaker Server Admin Consoleを使用する際にJava SE 7 Update 17に更新する必要があります。

[関連]APPLE-SA-2013-03-04-1 Java for OS X 2013-002 and Mac OS X v10.6 Update 14(FAMLog)

Tag: Java

Ruby 1.9.3-p392が公開

February 26, 2013

Ruby 1.9.3-p392」が公開されています。

Ruby 1.9.3-p392では、Rubyに同梱されているJSON gemにおけるサービス不能攻撃(DoS)および安全でないオブジェクトの生成を可能とする脆弱性と、REXMLにおける厳格でないエンティティ展開によるサービス不能攻撃が可能となる脆弱性が修正されています。

上記の他にも、いくつか不具合の修正も行われています。

Tag: Ruby

Ruby 1.9.3-p385が公開

February 08, 2013

Ruby 1.9.3-p385」が公開されています。

Ruby 1.9.3-p385では、RDoc で生成したHTMLドキュメントにおけるクロスサイトスクリプティング(XSS)脆弱性が修正されています。

なお、Rubyはバージョン2.0系統の開発も進められており、現在リリース候補版であるRuby 2.0.0-rc2が公開されている状況です。

Tag: Ruby

About This Blog

Information

Recent Slides

Recent Entries

Categories

Archives

Links

このページの上へ