FAMLog

FAMLog

Ruby 1.9.3-p429とRuby 2.0.0-p195が公開

May 20, 2013

Ruby 1.9.3-p429」と「Ruby 2.0.0-p195」が公開されています。

Ruby 1.9.3-p429とRuby 2.0.0-p195では、DLおよびFiddleにおいて$SAFEレベルの設定に関わらず汚染された文字列をシステム呼び出しに使用できる脆弱性が修正されています。

なお、Ruby 1.9.3-p429の公開前にRuby 1.9.3-p426も公開されていましたが、いくつかのプラットフォームでビルド上の問題があったため、Ruby 1.9.3-p426ではなくRuby 1.9.3-p429を利用することが推奨されています。

Tag: Ruby

Ruby on Rails 3.2.13、Ruby on Rails 3.1.12およびRuby on Rails 2.3.18が公開

March 27, 2013

Ruby on Rails 3.2.13、Ruby on Rails 3.1.12およびRuby on Rails 2.3.18が2013年3月中旬に公開されています。

Rails 3.2.13、Rails 3.1.12およびRails 2.3.18では、下記4点のセキュリティ脆弱性が修正されています。

CVE-2013-1854 Symbol DoS vulnerability in Active Record
CVE-2013-1855 XSS vulnerability in sanitize_css in Action Pack
CVE-2013-1856 XML Parsing Vulnerability affecting JRuby users
CVE-2013-1857 XSS Vulnerability in the sanitize helper of Ruby on Rails

すべてのバージョンに影響のあるものですが、メンテナンスポリシーにより上記3系統のバージョンのみリリースされています。

(2013/12/16追記:「Ruby on Rails 3.1.12およびがRuby on Rails 2.3.18」を「Ruby on Rails 3.1.12およびRuby on Rails 2.3.18」に修正しました。)

Tag: Ruby

Java SE 7 Update 17とJava SE 6 Update 43が公開

March 06, 2013

Java SE 7 Update 17とJava SE 6 Update 43が公開されています。

Java SE 7 Update 17とJava SE 6 Update 43では複数の脆弱性が修正されており、できる限り早くアップデートすることが強く推奨されています。

なお、OS Xに内蔵されているマルウェア感染防止機能で使用する定義ファイルが更新されると、古いバージョンのJavaプラグインを使用できない制限がかかるようになります。OS X LionとOS X Mountain Lionの場合には、FileMaker Server Admin Consoleを使用する際にJava SE 7 Update 17に更新する必要があります。

[関連]APPLE-SA-2013-03-04-1 Java for OS X 2013-002 and Mac OS X v10.6 Update 14(FAMLog)

Tag: Java

Ruby 1.9.3-p392が公開

February 26, 2013

Ruby 1.9.3-p392」が公開されています。

Ruby 1.9.3-p392では、Rubyに同梱されているJSON gemにおけるサービス不能攻撃(DoS)および安全でないオブジェクトの生成を可能とする脆弱性と、REXMLにおける厳格でないエンティティ展開によるサービス不能攻撃が可能となる脆弱性が修正されています。

上記の他にも、いくつか不具合の修正も行われています。

Tag: Ruby

Ruby 1.9.3-p385が公開

February 08, 2013

Ruby 1.9.3-p385」が公開されています。

Ruby 1.9.3-p385では、RDoc で生成したHTMLドキュメントにおけるクロスサイトスクリプティング(XSS)脆弱性が修正されています。

なお、Rubyはバージョン2.0系統の開発も進められており、現在リリース候補版であるRuby 2.0.0-rc2が公開されている状況です。

Tag: Ruby

Java SE 7 Update 11が公開

January 15, 2013

Java SE 7 Update 11」が公開されています。

Java SE 7 Update 11では任意のコードが実行可能な脆弱性が修正されており、現在Java 7を利用している場合にはできる限り早くアップデートすることが強く推奨されています。

今回のアップデートでセキュリティ・レベルのデフォルト設定が「中」から「高」に変更されており、この変更により未署名のJavaアプレットやJava Web Startアプリケーションの実行時には常にユーザーに確認を求めるようになるとのことです。

[関連]JVNTA13-010A: Oracle Java 7 に脆弱性(Japan Vulnerability Notes)

Tag: Java

Ruby 1.9.3-p327が公開

November 15, 2012

Ruby 1.9.3-p327」が公開されています。

Ruby 1.9.3-p327では、ハッシュ飽和攻撃によるDoS脆弱性が修正されています。この脆弱性はRuby 1.8.7のCVE-2011-4815とは異なるものであるとのことです。

なお、Ruby 2.0.0-preview1またはtrunkブランチを使用してる場合、上記脆弱性の修正にはリビジョン37575以降へ更新する必要があります。

Tag: Ruby

PHP 5.3.13とPHP 5.4.3が公開

May 09, 2012

PHP 5.3.13」と「PHP 5.4.3」が公開されています。

CGI版PHPにリモートからスクリプト実行を許す脆弱性を修正するためにPHP 5.3.12とPHP 5.4.2が公開されていましたが、その修正が不十分であったことが判明し、再修正のためにPHP 5.3.13およびPHP 5.4.3が急遽公開されています。この問題はApacheモジュールやFastCGIとしてPHPを実行しているWebサイトには影響ありません。

なお、PHP 5.4.3ではapache_request_headers関数におけるバッファーオーバーフローの脆弱性もあわせて修正されています。

[関連]CGI版PHPにリモートからスクリプト実行を許す脆弱性(CVE-2012-1823)(徳丸浩の日記)

Tag: Apache

Ruby 1.8.7-p302とRuby 1.9.1-p430が公開

August 18, 2010

Ruby 1.8.7-p302」および「Ruby 1.9.1-p430」が公開されています。

Ruby 1.8.7-p302およびRuby 1.9.1-p430では、Rubyに標準添付されているライブラリの1つであるWEBrickにおけるクロスサイトスクリプティング脆弱性が修正されています。

なお、上記の脆弱性が存在しているバージョンは以下の通りです。

・Ruby 1.8.6-p399とそれ以前のバージョン
・Ruby 1.8.7-p299とそれ以前のバージョン
・Ruby 1.9.1-p429とそれ以前のバージョン
・Ruby 1.9.2 RC2とそれ以前のバージョン
・Ruby 1.9開発版(1.9.3dev)

Tag: Ruby

OpenSSL 0.9.8nが公開

March 25, 2010

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 0.9.8n」が公開されています。

バージョン0.9.8nでは、クラッシュを引き起こす恐れのある脆弱性2点(CVE-2010-0433およびCVE-2010-0740)が修正されています。

今回の修正により、OpenSSL 0.9.8nへのアップグレードが推奨されています。

Tag: Security

About This Blog

Information

Recent Slides

Recent Entries

Categories

Archives

Links

このページの上へ