FAMLog

LibreSSL 2.5.3が公開されています。

LibreSSLは、OpenSSLからフォークしたものであり、OpenBSDの標準TLSライブラリとして採用されています。LibreSSL 2.5は、昨年以来開発版として公開されていましたが、今回公開されたバージョン2.5.3で安定版として配布されるようになっています。なお、LibreSSL 2.5.3が安定版となったことで、LibreSSL 2.3系統のサポートが終了しています。

LibreSSL 2.5では、iOSの初期サポートが加わり、libtlsにおいてALPN（Application-Layer Protocol Negotiation）とSNI（Server Name Indication）がサポートされるなど、新機能が多数追加されています。

［関連］OS X El CapitanおよびmacOS SierraのApache HTTP ServerではLibreSSLを利用（FAMLog）

Apache Tomcat 6.0.53が2017年4月上旬に公開されています。

Apache Tomcat 6.0.53では、パイプライン化したHTTPリクエストにおけるファイル送信処理の挙動が改善されています。Apache Tomcat 6.0系列は2016年12月末にサポートが終了し、2017年3月末にはApache Tomcat 6.0のダウンロードページが削除される予定となっていたことから、今後はApache Tomcat 7.0系列、Apache Tomcat 8.0系列もしくはApache Tomcat 8.5系列へのアップグレードが推奨されることになります。

なお、FileMaker Server 12およびFileMaker Server 12 AdvancedのWeb公開機能とAdmin Console用管理サーバーではTomcat 6.0系列が使用されていました。

［関連］Apache Tomcat 8.5.13、Apache Tomcat 8.0.43およびApache Tomcat 7.0.77が公開（FAMLog）、JVNVU#90211511: Apache Tomcat の複数の脆弱性に対するアップデート（Japan Vulnerability Notes）

（2017/04/13追記：関連記事へのリンクを追加・更新しました。コミットログからApache Tomcat 6.0.53にはApache Tomcat 8.5.13、8.0.43および7.0.77と同様のセキュリティ修正が含まれているものと判断されます。）

iOSデバイス向けのソフトウェアアップデートとなるiOS 10.3.1の提供が開始されています。

iOS 10.3.1では、Wi-Fi関連のセキュリティ脆弱性が修正されており、通信範囲内にいる攻撃者からWi-Fiチップに対して任意のコードを実行される可能性がある問題が解決されています。

アップデートの対象機種は、iPhone 5、iPhone 5c、iPhone 5s、iPhone 6、iPhone 6 Plus、iPhone 6s、iPhone 6s Plus、iPhone SE、iPhone 7、iPhone 7 Plus、第6世代のiPod touch、第4世代のiPad、iPad Air、iPad Air 2、第5世代のiPad、iPad Pro（12.9インチ、9.7インチ）、iPad mini 2、iPad mini 3およびiPad mini 4です。

［関連］APPLE-SA-2017-03-27-4 iOS 10.3（FAMLog）

2017年3月31日をもってRuby 2.1系列の公式サポートが終了しています。

バージョン2.1のサポート終了に伴い、今後Ruby 2.1系列に対するセキュリティパッチは提供されなくなるため、より新しいバージョンのRubyに移行することが強く推奨されます。なお、現時点におけるRubyの最新安定版は、2017年3月に公開されたRuby 2.4.1です。

Ruby 2.2系列については、2018年3月末で公式サポートが終了する予定となっています。Ruby 2.2.7のリリースをもってRuby 2.2系列は通常メンテナンスフェーズを終了し、セキュリティメンテナンスフェーズに移行しています。セキュリティメンテナンスの期間は1年間で、重大なセキュリティ上の問題が発見された場合、対応した緊急リリースが行われる予定となっています。

［関連］Ruby 2.1 公式サポート終了

Ruby 2.3.4が2017年3月下旬に公開されています。

Ruby 2.3.4では、およそ80件の不具合が修正され、安定性のさらなる向上が図られています。2017年4月現在、Rubyの最新安定版はバージョン2.4.1であり、 Ruby 2.4系列とRuby 2.3系列がメンテナンス期間中、Ruby 2.2系列がセキュリティメンテナンス期間中となっています。

Ruby 2.2系列は2018年3月末に公式サポートが終了する予定であり、原則として重大なセキュリティ上の問題が発見された場合のみ、対応した緊急リリースが行われる状態となっています。そのため、今後はRuby 2.4系列もしくはRuby 2.3系列に移行することが推奨される状況となっています。

Appleからセキュリティ脆弱性の修正を含んだSafari 10.1が配布されています。

多数の脆弱性が修正されたSafari 10.1は、OS X Yosemite v10.10.5およびOS X El Capitan v10.11.6で利用できます。また、同時に公開されたmacOS Sierra 10.12.4にもSafari 10.1が含まれています。

OS X Mavericks用のSafari 10は提供されておらず、OS X Yosemite以降にアップグレードすることが推奨される状況になっています。Windows用のSafariについてはバージョン6の登場以降更新版が公開されていないため、Safari for Windowsの使用を停止して他のWebブラウザーに移行する必要があります。

［関連］APPLE-SA-2017-03-27-3 macOS Sierra 10.12.4 and Security Update 2017-001（FAMLog）

Ruby 2.4.1とRuby 2.2.7が2017年3月下旬に公開されています。

Ruby 2.2系列はセキュリティメンテナンスフェーズに移行し、今後は重大なセキュリティ上の問題への対応以外の不具合修正・リリースは行われなくなります。

セキュリティメンテナンスフェーズの期間は1年間で、その後はRuby 2.2系列の公式サポートは終了となるため、今後はRuby 2.4系統もしくはRuby 2.3系統に移行することが推奨される状況となっています。

日本Rubyの会の有志が発行しているWeb雑誌「Rubyist Magazine」（通称「るびま」）の0055 号が公開されています。

「るびま」は、プログラミング言語Rubyに関する技術記事や活用事例、インタビュー、エッセイなどが掲載されるWeb雑誌です。

Rubyist Magazine 0055 号には、PyCallと呼ばれるRuby-Pythonブリッジライブラリについての解説記事や、RubyKaigi 2016 託児室運営記録の紹介記事、RubyConf 2016 参加レポートなどが掲載されています。

SSHプロトコルを使用するネットワーク接続ツールのフリーな実装であるOpenSSHの新バージョン「OpenSSH 7.5」が公開されています。

OpenSSH 7.5では、OpenSSH 7.3で修正された攻撃の亜種が有効だったCBCパディングオラクル対抗策の弱点が修正された他、移植版OpenSSHにおいてバージョン1.0.1より前のOpenSSLがサポート対象外となっています。なお、OpenSSHクライアントはCBC暗号モードを用いる暗号をデフォルトで無効にしており、sshdはCBC暗号モードを用いる暗号を最低の優先順位で提供していて次のリリースでデフォルトでは完全に取り除かれる予定となっています。

将来廃止される機能の告知も行われており、2017年6月から8月頃にかけてSSH v.1プロトコルのサポートを全面的に廃止する計画や、BlowfishとRC4暗号、RIPE-MD160 HMACのサポートを削除する予定などが案内されています。

［参考］OpenSSH 7.5登場（マイナビニュース）、OpenSSH 7.5 がリリースされました（春山征吾のBlog）

Apache Tomcat 6.0.51が2017年3月中旬に公開されています。

Apache Tomcat 6.0.51では、Apache Tomcat 8.5.9で修正されたセキュリティ脆弱性（CVE-2016-8745）が修正されています。当該脆弱性は、公表当初、Apache Tomcat 8.5より前のバージョンは影響を受けないとされていましたが、バージョン8.0系列以前も影響を受けることが後から判明した次第です。

Apache Tomcat 6.0系列は2016年12月31日にサポートが終了し、2017年3月末にはApache Tomcat 6.0のダウンロードページが削除される予定となっています。なお、FileMaker Server 12およびFileMaker Server 12 AdvancedのWeb公開機能とAdmin Console用管理サーバーではTomcat 6.0系列が使用されていました。

［関連］JVNVU#97321122: Apache Tomcat に情報漏えいの脆弱性（Japan Vulnerability Notes）、Apache Tomcat 8.5.9が公開（FAMLog）、Apache Tomcat 8.0.41とApache Tomcat 7.0.75が公開（FAMLog）