FAMLog

AppleからOS X Yosemite v10.10.5およびSecurity Update 2015-006が公開されています。

Security Update 2015-006は、OS X Mountain Lion v10.8.5およびOS X Mavericks v10.9.5用のものがそれぞれ用意されており、多数のセキュリティに関わる修正が含まれています。

このアップデートにより、OpenSSLはバージョン0.9.8zgに、OS X YosemiteのPHPはバージョン5.5.27に、OS X MavericksのPHPはバージョン5.4.43に更新されます。また、OS X Yosemiteでは、Apache HTTP Serverはバージョン2.4.16に、cURLはバージョン7.43.0に更新されます。

アップルから、セキュリティ脆弱性の修正を含んだSafari 8.0.8、Safari 7.1.8およびSafari 6.2.8が配布されています。

Safari 8.0.8、Safari 7.1.8およびSafari 6.2.8では複数のセキュリティ脆弱性が修正されています。Safari 6.2.8はOS X Mountain Lion v10.8.5向け、Safari 7.1.8はOS X Mavericks v10.9.5向けのものです。

現在OS X Lion向けにSafariの更新は行われておらず、OS X Mountain Lion以降にアップグレードすることが推奨される状況になっています。また、Windows用のSafariについてはバージョン6の登場以降更新版が公開されていないため、Safari for Windowsの使用を停止して他のWebブラウザーに移行する必要があります。

SSHプロトコルを使用するネットワーク接続ツールのフリーな実装であるOpenSSHの新バージョン「OpenSSH 7.0」が公開されています。

OpenSSH 7.0では、sshdのセキュリティ脆弱性が複数修正されています。バージョン7.0では、安全でない暗号を使用しないようにするために廃止された機能が複数あり、互換性や既存の設定に一部影響するものもあるので注意が必要です。

なお、バージョン6.7でtcpwrappers/libwrapのサポートが削除されているので古いバージョンからバージョンアップする際にはその点に留意する必要があります。

［参考］OpenSSH 7.0/7.0p1 がリリースされました.（春山 征吾のくけー）

CakePHP 2.5.9、CakePHP 2.6.11およびCakePHP 2.7.2が公開されています。

CakePHPは、MITライセンスで提供されるオープンソースのWebアプリケーションフレームワークです。CakePHP 2.5.9、CakePHP 2.6.11およびCakePHP 2.7.2では2点のセキュリティ脆弱性が修正されています。

なお、一部非推奨となっている機能もあるため、CakePHP 2.6系統からCakePHP 2.7系統にバージョンアップする際には移行ガイドで各種変更点を確認してから移行作業を行う必要があります。

「PHP 5.6.12」、「PHP 5.5.28」および「PHP 5.4.44」が公開されています。

PHP 5.6.12、PHP 5.5.28およびPHP 5.4.44では多数のセキュリティ脆弱性が修正されています。PHP 5.4系統の保守は今年の9月中旬に終了する予定となっており、さらにPHP 5.5系統は今後積極的な不具合の修正は行われない予定となっています。

なお、PHPはバージョン7系統の開発も進められており、現在「PHP 7.0.0 Beta 3」が公開されている状況です。

CakePHP 3.0.11が公開されています。

CakePHPは、PHP用のWebアプリケーションフレームワークです。CakePHP 3.0系統の保守リリースであるCakePHP 3.0.11では、2点のセキュリティ脆弱性が修正されています。CakePHP 2からCakePHP 3にバージョンアップする際には、移行ガイドで各種変更点を確認してから移行作業を行う必要があります。

CakePHPはバージョン3.1系統の開発も進められており、現在バージョン3.1.0-beta2が公開されている状況です。なお、FMCakeMix（CakePHP用のFileMakerデータソースドライバー）は現在のところCakePHP 3に対応していません。

Apache HTTP Serverのバージョン2.4.16とバージョン2.2.31が公開されています。

Apache HTTP Server 2.4.16では4件のセキュリティ脆弱性が修正されており、Apache HTTP Server 2.2.31では1件のセキュリティ脆弱性が修正されています。また、バージョン2.4.16では、SSLCipherSuiteおよびSSLProxyCipherSuiteディレクティブのデフォルト設定が改善されています。

Apache HTTP Server 2.0系統はすでに保守が終了しており、今後はApache 2.4系統もしくはApache 2.2系統の利用が強く推奨されます。

Apache Tomcat 7.0.63とApache Tomcat 8.0.24が2015年7月上旬に公開されています。

Apache Tomcat 7.0.63およびApache Tomcat 8.0.24では多数の不具合修正や機能改善が行われており、バージョン8.0系統でだけでなくバージョン7.0.63においてもHttpHeaderSecurityFilterクラスを利用できるようになっています。なお、セキュリティ修正が含まれているかは現状では不明です。

現時点でのApache Tomcatの最新バージョンはバージョン8.0系統です。FileMaker Server 13とFileMaker Server 14のWeb公開機能とAdmin Console用管理サーバーではTomcat 7.0系列が使われていて、バージョン13.0v5以降およびバージョン14ではApache Tomcat 7.0.55が使用されています。

Java 8 Update 51が公開されています。

バージョン8 Update 51では複数のセキュリティ脆弱性が修正されており、できる限り早く更新することが強く推奨されています。なお、Java 7の公式アップデート終了に伴い、Oracleの公式ダウンロードサイトでJava 7の最新アップデートが公開されなくなっています。バージョン7およびそれ以前のJavaを利用している場合には、Java 8への更新を検討および実行する必要が出てきています。

FileMaker Server 14およびFileMaker Server 13.0v10はJava 8に対応していますが、バージョン12およびそれ以前のFileMaker ServerとJava 8の互換性に関する情報はファイルメーカー社からの案内は特にない状況です。

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 1.0.2d」と「OpenSSL 1.0.1p」が公開されています。

OpenSSL 1.0.2dおよびOpenSSL 1.0.1pでは深刻度の高いセキュリティ脆弱性（CVE-2015-1793）が修正されています。OpenSSL 1.0.2bあるいは1.0.2cを使用している場合にはバージョン1.0.2dへ、OpenSSL 1.0.1nあるいは1.0.1oを使用している場合にはバージョン1.0.1pへアップグレードすることが強く推奨されています。

なお、OpenSSLのバージョン0.9.8系統およびバージョン1.0.0系統は2015年12月31日にサポートが終了する予定となっています。

［関連］OpenSSLの脆弱性(CVE-2015-1793)によるAltチェーン証明書偽造の仕組み（ぼちぼち日記）