FAMLog

「Ruby 2.1.4」、「Ruby 2.0.0-p594」および「Ruby 1.9.3-p550」が公開されています。

Ruby 2.1.4、Ruby 2.0.0-594およびRuby 1.9.3-p550では、REXMLにおけるXML展開に伴うサービス不能攻撃が可能となる脆弱性（CVE-2014-8080）が修正されています。また、ext/opensslのデフォルト設定が従来のものから変更されており、安全でないSSL/TLSオプションがデフォルトで無効化されるようになっています。これに伴い、利用状況によってはSSL接続に際して問題が生じる可能性があるので要注意です。

なお、2015年2月に保守が終了する予定であるRuby 1.9.3は、現在セキュリティメンテナンスフェーズにあり、原則として何らかのセキュリティ上の問題が発見された場合のみリリースが行われる状態であり、より新しいバージョンへ移行することが推奨されています。

iOSデバイス向けのソフトウェアアップデートとなるiOS 8.1の提供が開始されています。

iOS 8.1にはセキュリティに関わる修正も含まれており、TLS接続試行の失敗時にCBC暗号スイートを無効にすることでSSL 3.0の脆弱性（POODLE）を解消しているとのことです。

iOS 8.1 ソフトウェア・アップデートを適用できる対象機種は、iPhone 4s、iPhone 5、iPhone 5c、iPhone 5s、iPhone 6、iPhone 6 Plus、第5世代のiPod touch、iPad 2、iPad Retinaディスプレイモデル、iPad Air、iPad miniおよびiPad mini 2（iPad mini Retinaディスプレイモデル）です。また、今月発表された新しいiPadにはiOS 8.1が搭載されています。

「PHP 5.6.2」、「PHP 5.5.18」および「PHP 5.4.34」が2014年10月中旬に公開されています。

PHP 5.6.2、PHP 5.5.18およびPHP 5.4.34では複数のセキュリティ脆弱性が修正されています。PHP 5.5.18およびPHP 5.4.34では、PHP 5.5.17およびPHP 5.4.33で発生してしまったOpenSSL関連の不具合も修正されています。

なお、PHP 5.4系統は今後積極的な不具合の修正は行われない予定となっており、PHP 5.3系統の保守は今年の8月に終了しました。今後はバージョン5.6系統もしくはバージョン5.5系統へのアップグレードが推奨されています。

Appleが、OS X Mavericks v10.9.5にサーバー機能を追加する「OS X Server v3.2.2 Update」の配布を2014年10月中旬に開始しています。

バージョン3.2.2では、このセキュリティアップデートではSSL 3.0の脆弱性に対応するためWebサーバーやカレンダーサーバー等でSSL 3.0が無効化されています。

OS X Server v3.2.2と同時に、OS X Mountain Lion v10.8.5向けのOS X Server v2.2.5 Updateの配布も開始されています。なお、今月公開されたOS X Yosemiteにサーバー機能を追加する場合にはOS X Server v4.0が別途必要です。

IPA（独立行政法人情報処理推進機構）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）が、FileMaker製品におけるSSLサーバー証明書検証不備の脆弱性に関する情報を2014年9月に公開しています。

脆弱性の内容は、FileMaker Pro、FileMaker Pro AdvancedおよびFileMaker Goのバージョン12およびそれ以前のバージョンにSSLサーバー証明書検証不備の脆弱性が存在するというものです。脆弱性が確認されているFileMaker製品は下記の通りです。

・FileMaker Pro 12およびそれ以前のバージョン
・FileMaker Pro 12 Advancedおよびそれ以前のバージョン
・FileMaker Go 12およびそれ以前のバージョン

上記の脆弱性を修正するには、FileMaker Pro、FileMaker Pro AdvancedおよびFileMaker Goをバージョン13にアップグレードする必要があるというのが実状です。なお、FileMaker Serverについては、バージョン13にアップグレードする必要は必ずしもなく、バージョン12のままでも構いません。

［関連］FileMaker 12およびそれ以前に存在する脆弱性について（株式会社エミック）、FileMaker Pro 13の新機能：暗号化通信状態のインジケータ（FAMLog）

（2014/10/23追記：関連記事を追加・更新しました。）

IPA（独立行政法人情報処理推進機構）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）が、FileMaker製品のクロスサイトスクリプティング（XSS）脆弱性に関する情報を2014年9月に公開しています。

脆弱性の内容は、FileMaker製品のバージョン12およびそれ以前のバージョンで利用できるインスタントWeb公開機能にクロスサイトスクリプティングの脆弱性が存在するというものです。脆弱性が確認されているFileMaker製品は下記の通りです。

・FileMaker Pro 12およびそれ以前のバージョン
・FileMaker Pro 12 Advancedおよびそれ以前のバージョン
・FileMaker Server 12 Advancedおよびそれ以前のバージョン

上記の脆弱性は、サンプルデータベースの存在がJPCERT/CCによる脆弱性分析結果の評価値が高い一因となっています。この脆弱性を悪用するにはデータベースの管理者権限が必要であり、FileMaker Server Advancedと一緒にインストールされるサンプルデータベース（FMServer_Sampleデータベース）を削除することが脆弱性を緩和する重要な回避策となります。通常の使用範囲では本脆弱性により深刻な影響を受けることはまずあり得ませんが、データベースファイルには必ずパスワードを設定し、出所が不明なデータベースファイルを開かないようにご注意ください。

［関連］FileMaker 12およびそれ以前に存在する脆弱性について（株式会社エミック）

Appleから「Security Update 2014-005」が公開されています。

Security Update 2014-005は、OS X Mountain Lion v10.8.5およびOS X Mavericks v10.9.5向けに提供されています。このセキュリティアップデートではSSL 3.0の脆弱性が修正されている他、OS X bash Update 1.0が同梱されています。

今回OS X Lion用のセキュリティアップデートが提供されておらず、OS X Mountain Lion以降にアップグレードすることが推奨される状況になっていると言えます。

［関連］OS X bash Update 1.0が公開（FAMLog）

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 1.0.1j」、「OpenSSL 1.0.0o」および「OpenSSL 0.9.8zc」が公開されています。

これらのバージョンでは複数のセキュリティ脆弱性が修正されています。

同時に、2015年12月31日をもってバージョン0.9.8系統のサポートを終了する予定であることが発表されています。

［関連］OpenSSL 0.9.8 End Of Life Announcement

Java SE 7 Update 71およびJDK 7 Update 71が公開されています。

バージョン7 Update 71では複数の脆弱性が修正されており、できる限り早く更新することが強く推奨されています。バージョン7 Update 72も公開されていますが、バージョン7 Update 71で特に問題に直面していない場合にはバージョン7 Update 72に更新する必要はありません。

なお、FileMaker Serverのバージョンが12.0v4およびそれ以前（かつバージョン10以降）の場合には、バージョン7 Update 51と同様、JavaのコントロールパネルでFileMaker Server Admin Console 開始ページのURLを「例外サイト・リスト」に事前に登録しておかないとAdmin Consoleを起動できないのでその点は注意が必要です（Javaのセキュリティ・レベルを「中」にする必要はありません）。

［関連］FileMaker Server 12.0v5および12.0v6用のソフトウェアパッチが公開（FAMLog）

アップルから、セキュリティ脆弱性の修正を含んだSafari 6.2およびSafari 7.1が配布されています。

Safari 6.2とSafari 7.1ではSafariおよびWebKitの脆弱性が多数修正されています。Safari 6.2はOS X Mountain Lion v10.8.5向け、Safari 7.1はOS X Mavericks v10.9.5向けのものです。今回OS X Lion用のSafari 6.2が提供されていないことから、実質的にOS X Mountain Lion以降にアップグレードすることが推奨される状況になっています。

なお、Windows用のSafariについてはバージョン6の登場以降更新版が公開されていないため、Safari for Windowsの使用を停止して他のWebブラウザーに移行することが強く推奨されます。