FAMLog

Safari 16.4.1の提供が2023年4月上旬に開始されています。

WebKitの脆弱性（CVE-2023-28205）が修正されたSafari 16.4.1はmacOS Big SurおよびmacOS Montereyで利用できます。すでに悪用された可能性のある脆弱性が修正されていることから、macOS Big SurもしくはmacOS Montereyを使用している場合にはSafari 16.4.1にアップデートすることが推奨されます。

なお、macOS Venturaでは、当該脆弱性（CVE-2023-28205）はmacOS Ventura 13.3.1で修正されています。

［関連］macOS Ventura 13.3.1の提供が開始（FAMLog）

Ruby 3.2.2、Ruby 3.1.4、Ruby 3.0.6およびRuby 2.7.8が公開されています。

Ruby 3.2.2、Ruby 3.1.4、Ruby 3.0.6およびRuby 2.7.8では2点のセキュリティ脆弱性（CVE-2023-28755、CVE-2023-28756）が修正されています。

なお、今回公開されたRuby 2.7.8をもってRuby 2.7系列の公式サポートが終了しています。バージョン2.7のサポート終了に伴い、今後Ruby 2.7系列に対するセキュリティパッチは提供されなくなるため、より新しいバージョンのRubyに移行することが強く推奨されます。

（2023/04/05追記：タイトルを「Ruby 3.2.2、3.1.4、Ruby 3.0.6およびRuby 2.7.8が公開」から「Ruby 3.2.2、Ruby 3.1.4、Ruby 3.0.6およびRuby 2.7.8が公開」に変更しました。）

2023年2月に公開されたApache Tomcat 8.5.86、Apache Tomcat 9.0.72およびApache Tomcat 10.1.6ではセキュリティ脆弱性が修正されています。

Apache Tomcat 8.5.86、Apache Tomcat 9.0.72およびApache Tomcat 10.1.6では、httpsが設定されたX-Forwarded-Protoヘッダーを含むリクエストをHTTP経由でリバースプロキシから受信し、RemoteIpFilterを使用している場合において、Apache Tomcatが作成するセッションCookieにSecure属性が含まれない問題（CVE-2023-28708）が修正されています。

なお、Apache Tomcat 10.0系列は2022年10月にサポートが終了しており、現在Apache Tomcat 10.0系列を利用している場合にはApache Tomcat 10.1系列へのアップグレードが推奨されています。

［関連］JVNVU#90635957: Apache Tomcatにおける保護されていない認証情報の送信の脆弱性（Japan Vulnerability Notes）

Apache HTTP Server 2.4.56が公開されています。

Apache HTTP ServerはオープンソースのWebサーバーソフトウェアです。2点のセキュリティ脆弱性に対応したApache HTTP Server 2.4.56では、mod_proxy_uwsgiにおけるHTTPレスポンス分割の問題（CVE-2023-27522）と、mod_rewriteとmod_proxyにおけるHTTPリクエスト分割の問題（CVE-2023-25690）が修正されています。

なお、macOSおよびUbuntu 18.04向けのClaris FileMaker ServerではWebサーバーにApache HTTP Serverが内部的に使用されていますが、Ubuntu 20.04ではWebサーバーとしてApache HTTP Serverの代わりにnginxが使用されるようになっています。

［関連］JVNVU#94155938: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート（Japan Vulnerability Notes）

セキュリティ脆弱性の修正を含んだSafari 16.3の更新版が2023年2月中旬に公開されています。

WebKitの脆弱性（CVE-2023-23529）が修正されたSafari 16.3の更新版はmacOS Big SurおよびmacOS Montereyで利用でき、同時に公開されたmacOS Ventura 13.2.1にもSafari 16.3の更新版が含まれています。

なお、Safari 16.3は2023年1月に公開されていましたが、今回公開されたSafari 16.3の更新版では、ビルド番号がmacOS Big SurのSafari 16.3では16614.4.6.11.6に、macOS MontereyのSafari 16.3では17614.4.6.11.6に変更されています。

［関連］Safari 16.3の提供が開始（FAMLog）、macOS Ventura 13.2.1の提供が開始（FAMLog）

Ruby 3.1.3、Ruby 3.0.5およびRuby 2.7.7が公開されています。

Ruby 3.1.3、Ruby 3.0.5およびRuby 2.7.7ではcgi gemのセキュリティ脆弱性（CVE-2021-33621）が修正されています。

なお、Ruby 2.7系列は、現在セキュリティメンテナンスフェーズにあり、原則として重大なセキュリティ上の問題が発見された場合のみリリースが行われる状態であり、より新しいバージョンへ移行することが推奨されている状況です。

2022年10月に公開されたApache Tomcat 8.5.83、Apache Tomcat 9.0.68、Apache Tomcat 10.0.27およびApache Tomcat 10.1.1ではセキュリティ脆弱性が修正されています。

Apache Tomcat 8.5.83、Apache Tomcat 9.0.68、Apache Tomcat 10.0.27およびApache Tomcat 10.1.1では、Apache TomcatにおいてrejectIllegalHeaderをfalse（8.5系だけは初期設定）にして無効なHTTPヘッダーを無視する設定としている場合に無効なContent-Lengthヘッダーを含むリクエストであっても拒否しない問題（CVE-2022-42252）が修正されています。

なお、現時点でのApache Tomcatの最新安定バージョンはバージョン10.1.1ですが、Claris FileMaker Server 19.5.4ではJava Web公開エンジンにApache Tomcat 9.0.45が使用されています。

［関連］JVNVU#93003913: Apache Tomcatにおける無効なHTTPヘッダの取り扱いに関する問題（Japan Vulnerability Notes）

OpenSSL 1.1.1sとOpenSSL 3.0.7が公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 3.0.7では、X.509証明書の検証を行う際にバッファオーバーフローが発生する可能性がある問題（CVE-2022-3602およびCVE-2022-3786）が修正されています。

なお、OpenSSL 1.1.1系列については当該脆弱性の影響を受けないとのことです。

［関連］JVNVU#92673251: OpenSSLに複数の脆弱性（Japan Vulnerability Notes）

OpenSSL 1.1.1rとOpenSSL 3.0.6が公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 3.0.6では、カスタム暗号作成をサポートするEVP_CIPHER_meth_new()関数および関連する関数にてカスタム暗号を誤って処理することに起因しNULL暗号化が発生する問題（CVE-2022-3358）が修正されています。

なお、OpenSSL 1.1.1系列については当該脆弱性の影響を受けないとのことです。

［関連］JVNVU#92530096: OpenSSLのNID_undefを使用したカスタム暗号におけるNULL暗号化の脆弱性（Japan Vulnerability Notes）

（2022/10/13追記：重大な不具合が検出されたためOpenSSL 1.1.1rとOpenSSL 3.0.6の公開が取り下げられており、不具合に対応する新バージョンの公開を現在準備中であるとのことです。）

Apache Tomcat 8.5.78、Apache Tomcat 9.0.62およびApache Tomcat 10.0.20ではセキュリティ脆弱性が修正されています。

Apache Tomcat 8.5.78、Apache Tomcat 9.0.62およびApache Tomcat 10.0.20では、Http11Processorインスタンスにて競合状態が発生して誤ったクライアントへのレスポンスを行うことで情報漏えいとなる脆弱性（CVE-2021-43980）が修正されています。この脆弱性は、 Apache Tomcat 10で導入されて、Apache Tomcat 9.0.47以降にバックポートされたブロッキング処理の簡素化実装によって生じた脆弱性であるとのことです。

なお、現時点でのApache Tomcatの最新安定バージョンはバージョン10.1.0ですが、Claris FileMaker Server 19.5.4ではJava Web公開エンジンにApache Tomcat 9.0.45が使用されています。

［関連］JVNVU#98868043: Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性（Japan Vulnerability Notes）