FAMLog

iOSデバイス向けのソフトウェアアップデートとなるiOS 11.2.2の提供が開始されています。

iOS 11.2.2にはセキュリティアップデートが含まれ、SafariとWebKitにおけるSpectre脆弱性（CVE-2017-5753およびCVE-2017-5715）の影響緩和策が含まれています。

なお、SpectreだけでなくMeltdownという名称の脆弱性（CVE-2017-5754）も最近公表されましたが、AppleはiOS 11.2、macOS 10.13.2およびtvOS 11.2にMeltdownの影響緩和策を含めていたと発表しており、Apple WatchについてはMeltdownとSpectreのどちらの影響も受けないとのことです。

［関連］ARM ベースおよび Intel CPU の投機的実行の脆弱性について（Apple）、APPLE-SA-2017-12-6-1 macOS High Sierra 10.13.2（FAMLog）、APPLE-SA-2017-12-6-2 iOS 11.2（FAMLog）

PHP 5.6.33、PHP 7.0.27、PHP 7.1.13およびPHP 7.2.1が公開されています。

PHP 5.6.33、PHP 7.0.27、PHP 7.1.13およびPHP 7.2.1ではそれぞれセキュリティ脆弱性が修正されています。下位互換性のない変更点や推奨されなくなる機能もあるため、PHP 7.2に移行する場合には事前に移行ガイドを参照してからアップグレードを行う必要があります。

なお、PHP 5.6は2018年12月31日まで、PHP 7.0は2018年12月3日まで、PHP 7.1は2019年12月1日まで、PHP 7.2は2020年11月30日までセキュリティ修正が継続される予定となっています。

Ruby 2.5系列の安定版である「Ruby 2.5.0」が公開されています。

Ruby 2.5.0では、do/endブロック内において例外処理の記述が可能になり、分岐カバレッジとメソッドカバレッジの計測がサポートされるようになっています。サポートしているUnicodeのバージョンが10.0.0に更新されている他、さまざまなパフォーマンス改善や機能追加が行われています。

なお、2018年3月末頃を目処に保守が終了する予定であるRuby 2.2系列は、現在セキュリティメンテナンスフェーズにあり、原則として重大なセキュリティ上の問題が発見された場合のみリリースが行われる状態であり、より新しいバージョンへ移行することが推奨されている状況です。

Ruby 2.4.3、Ruby 2.3.6およびRuby 2.2.9が2017年12月中旬に公開されています。

Ruby 2.4.3、Ruby 2.3.6およびRuby 2.2.9では、Net::FTPにおけるコマンドインジェクションの脆弱性（CVE-2017-17405）が修正されています。また、Ruby 2.3.6およびRuby 2.2.9ではRubyGemsにおける安全でないオブジェクトの逆シリアル化の脆弱性も修正されています。

なお、Ruby 2.2系列は現在セキュリティメンテナンスフェーズにあり、このフェーズ中は重大なセキュリティ上の問題への対応のみが行われます。現在の予定では、2018年3月末頃を目処に、Ruby 2.2系列のセキュリティメンテナンスならびに公式サポートが終了する見込みとなっています。

CakePHP 2.10.6が公開されています。

CakePHP 2.10.6は、バージョン2系のAPI互換となる保守リリースであり、Controller::postConditions()におけるセキュリティ脆弱性が修正されています。CakePHP 2.9系統からCakePHP 2.10系統にバージョンアップする際には移行ガイドで各種変更点を確認してから移行作業を行う必要があります。

なお、オリジナルのFMCakeMix（CakePHP用のFileMakerデータソースドライバー）はCakePHP 2.10に対応していませんが、https://github.com/matsuo/FMCakeMixにあるFMCakeMixはCakePHP 2.10で動作可能な状態になっています。CakePHPをバージョン2.10に更新する際には、FMCakeMixもあわせて更新するようにしてください。

Node.js v8.9.3、Node.js v6.12.2およびNode.js v4.8.7が2017年12月上旬に公開されています。

Node.js v8.9.3、Node.js v6.12.2およびNode.js v4.8.7では、OpenSSLがバージョン1.0.2nに更新されてCVE-2017-3738に対する修正が行われています。また、Node.js v8系列以降に存在する複数のセキュリティ脆弱性も修正されています。

FileMaker Server 16とFileMaker Cloud 1.16のFileMaker Data API エンジンではNode.js v6系列が使われていて、FileMaker Server 16.0.3ではNode.js v6.9.2、FileMaker Cloud 1.16.0ではNode.js v6.9.4が使用されています。

［関連］OpenSSL 1.0.2nが公開（FAMLog）

Appleからセキュリティ脆弱性の修正を含んだSafari 11.0.2が配布されています。

多数の脆弱性が修正されたSafari 11.0.2は、OS X El Capitan v10.11.6およびmacOS Sierra 10.12.6で利用できます。同時に公開されたmacOS High Sierra 10.13.2にもSafari 11.0.2が含まれています。

なお、OS X Yosemite用のSafari 11は提供されておらず、OS X El Capitan以降にアップグレードすることが推奨される状況になっています。

［関連］APPLE-SA-2017-12-6-1 macOS High Sierra 10.13.2（FAMLog）

iOSデバイス向けのソフトウェアアップデートとなるiOS 11.2の提供が開始されています。

iOS 11.2では、互換性のある他社製のアクセサリを使用した場合にiPhone 8、iPhone 8 PlusおよびiPhone Xが高速ワイヤレス充電に対応するようになっています。不具合の修正や改善だけでなく、セキュリティ脆弱性も多数修正されています。

アップデートの対象機種は、iPhone 5s、iPhone 6、iPhone 6 Plus、iPhone 6s、iPhone 6s Plus、iPhone SE、iPhone 7、iPhone 7 Plus、iPhone 8、iPhone 8 Plus、iPhone X、第6世代のiPod touch、第5世代のiPad、iPad Air、iPad Air 2、9.7インチiPad Pro、10.5インチiPad Pro、第1世代および第2世代の12.9インチiPad Pro、iPad mini 2、iPad mini 3およびiPad mini 4です。

［関連］APPLE-SA-2017-12-13-6 Additional information for APPLE-SA-2017-12-6-2 iOS 11.2（Apple）

（2017/12/14追記：関連記事へのリンクを追加しました。）

AppleからmacOS High Sierra 10.13.2、macOS Sierra 10.12.6用のSecurity Update 2017-002およびOS X El Capitan v10.11.6用のSecurity Update 2017-005が公開されています。

上記の各アップデートにはセキュリティに関わる修正が含まれており、Apache HTTP Serverがバージョン2.4.28に更新される他、curlやOpenSSL等の脆弱性も修正されています。

前回からOS X Yosemite用のセキュリティアップデートが用意されていないことから、実質的にOS X El Capitan以降にアップグレードすることが推奨される状況になっています。

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョンであるOpenSSL 1.0.2nが公開されています。

OpenSSL 1.0.2nでは2点のセキュリティ脆弱性（CVE-2017-3737およびCVE-2017-3738）が修正されています。CVE-2017-3737はOpenSSL 1.1.0系統には影響せず、OpenSSL 1.1.0系統におけるCVE-2017-3738に対する修正はOpenSSL 1.1.0hで行われる予定ですが、CVE-2017-3738は影響度が低いことから今回OpenSSL 1.1.0系統の更新は行われていません。

FileMaker Pro 16.0.3にはOpenSSL 1.0.2lが同梱されています。なお、OpenSSL 1.0.2系列が使用されているのはFileMaker Pro 14.0.4以降です。