FAMLog
APPLE-SA-2014-11-17-1 iOS 8.1.1
November 18, 2014
iOS 8.1.1 ソフトウェア・アップデートの提供が開始されています。
iPad 2およびiPhone 4sでの安定性の向上およびパフォーマンスの改善が含まれている他、このアップデートにはセキュリティに関わる修正も含まれています。
iOS 8.1.1 ソフトウェア・アップデートを適用できる対象機種は、iPhone 4s、iPhone 5、iPhone 5c、iPhone 5s、iPhone 6、iPhone 6 Plus、第5世代のiPod touch、iPad 2、第3世代および第4世代のiPad、iPad Air、iPad Air 2、iPad mini、iPad mini 2(iPad mini Retinaディスプレイモデル)およびiPad mini 3です。
APPLE-SA-2014-10-20-1 iOS 8.1
October 29, 2014
iOSデバイス向けのソフトウェアアップデートとなるiOS 8.1の提供が開始されています。
iOS 8.1にはセキュリティに関わる修正も含まれており、TLS接続試行の失敗時にCBC暗号スイートを無効にすることでSSL 3.0の脆弱性(POODLE)を解消しているとのことです。
iOS 8.1 ソフトウェア・アップデートを適用できる対象機種は、iPhone 4s、iPhone 5、iPhone 5c、iPhone 5s、iPhone 6、iPhone 6 Plus、第5世代のiPod touch、iPad 2、iPad Retinaディスプレイモデル、iPad Air、iPad miniおよびiPad mini 2(iPad mini Retinaディスプレイモデル)です。また、今月発表された新しいiPadにはiOS 8.1が搭載されています。
APPLE-SA-2014-10-16-4 OS X Server v3.2.2
October 27, 2014
Appleが、OS X Mavericks v10.9.5にサーバー機能を追加する「OS X Server v3.2.2 Update」の配布を2014年10月中旬に開始しています。
バージョン3.2.2では、このセキュリティアップデートではSSL 3.0の脆弱性に対応するためWebサーバーやカレンダーサーバー等でSSL 3.0が無効化されています。
OS X Server v3.2.2と同時に、OS X Mountain Lion v10.8.5向けのOS X Server v2.2.5 Updateの配布も開始されています。なお、今月公開されたOS X Yosemiteにサーバー機能を追加する場合にはOS X Server v4.0が別途必要です。
APPLE-SA-2014-10-16-2 Security Update 2014-005
October 21, 2014
Appleから「Security Update 2014-005」が公開されています。
Security Update 2014-005は、OS X Mountain Lion v10.8.5およびOS X Mavericks v10.9.5向けに提供されています。このセキュリティアップデートではSSL 3.0の脆弱性が修正されている他、OS X bash Update 1.0が同梱されています。
今回OS X Lion用のセキュリティアップデートが提供されておらず、OS X Mountain Lion以降にアップグレードすることが推奨される状況になっていると言えます。
[関連]OS X bash Update 1.0が公開(FAMLog)
OpenSSL 1.0.1j、OpenSSL 1.0.0oおよびOpenSSL 0.9.8zcが公開
October 16, 2014
通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 1.0.1j」、「OpenSSL 1.0.0o」および「OpenSSL 0.9.8zc」が公開されています。
これらのバージョンでは複数のセキュリティ脆弱性が修正されています。
同時に、2015年12月31日をもってバージョン0.9.8系統のサポートを終了する予定であることが発表されています。
[関連]OpenSSL 0.9.8 End Of Life Announcement
OpenSSH 6.7が公開
October 14, 2014
SSHプロトコルを使用するネットワーク接続ツールのフリーな実装であるOpenSSHの新バージョン「OpenSSH 6.7」が2014年10月上旬に公開されています。
OpenSSH 6.7では、Unixドメインソケットの転送がサポートされるようになった他、SFTPで中断されたアップロードの復帰が可能になる機能が新たに追加されています。さらに、移植版OpenSSHではlibressl-portableに対してのビルドがサポートされるようになっています。
その他にも機能追加だけでなく不具合の修正も行われていますが、バージョン6.7ではtcpwrappers/libwrapのサポートが削除されているので要注意です。
[参考]OpenSSH 6.7/6.7p1 がリリースされました.(春山 征吾のくけー)
APPLE-SA-2014-09-17-4 Safari 6.2 and Safari 7.1
October 02, 2014
アップルから、セキュリティ脆弱性の修正を含んだSafari 6.2およびSafari 7.1が配布されています。
Safari 6.2とSafari 7.1ではSafariおよびWebKitの脆弱性が多数修正されています。Safari 6.2はOS X Mountain Lion v10.8.5向け、Safari 7.1はOS X Mavericks v10.9.5向けのものです。今回OS X Lion用のSafari 6.2が提供されていないことから、実質的にOS X Mountain Lion以降にアップグレードすることが推奨される状況になっています。
なお、Windows用のSafariについてはバージョン6の登場以降更新版が公開されていないため、Safari for Windowsの使用を停止して他のWebブラウザーに移行することが強く推奨されます。
OS X bash Update 1.0が公開
September 30, 2014
bashの脆弱性(CVE-2014-6271およびCVE-2014-7169)を修正する「OS X bash Update 1.0」が公開されています。
OS X bash Update 1.0は、OS X Mavericks v10.9.5、OS X Mountain Lion v10.8.5、OS X Lion v10.7.5およびOS X Lion Server v10.7.5向けのもので、早急に適用することが強く推奨されます。
OS X bash Update 1.0を適用することで、bashのバージョンは3.2.53に更新されます。
[関連]JVNVU#97219505: GNU Bash に OS コマンドインジェクションの脆弱性(Japan Vulnerability Notes)
APPLE-SA-2014-09-17-5 OS X Server 3.2.1
September 29, 2014
Appleが、Mac App StoreにおいてOS X Mavericksにサーバー機能を追加する「OS X Server v3.2.1 Update」の配布を開始しています。
バージョン3.2.1では、セキュリティ脆弱性が修正されていて、WikiサービスのSQLインジェクション脆弱性やPostgreSQLの脆弱性等が修正されています。なお、OS X Server v3.2.1の利用にはOS X Mavericks v10.9.5が必要です。
OS X Server 3は、Mac App Storeで購入してOS X Mavericksに追加できます。価格は2,000円で、OS X Server v3.0以降からのアップデートは無料です。OS X Server v3.2.1と同時に、OS X Mountain Lion v10.8.5向けのOS X Server v2.2.3 Updateの配布も開始されています。
APPLE-SA-2014-09-17-3 OS X Mavericks 10.9.5 and Security Update 2014-004
September 22, 2014
AppleからOS X Mavericks v10.9.5およびSecurity Update 2014-004が公開されています。
Security Update 2014-004は、OS X Mountain Lion v10.8.5、OS X Lion v10.7.5およびOS X Lion Server v10.7.5用のものがそれぞれ用意されていますが、バージョン10.6.8用のアップデートは用意されていません。また、OS X Mavericks v10.9.5にも多数のセキュリティに関わる修正が含まれています。
このアップデートにより、OpenSSLはバージョン0.9.8zaに、OS X MavericksのPHPはバージョン5.4.30に更新され、OS X Mavericks v10.9.5にはSafari 7.0.6が同梱されています。