FAMLog

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 0.9.8h」が公開されています。

OpenSSL 0.9.8hでは、バージョン0.9.8fおよび0.9.8gに存在していたセキュリティ上の問題が2点修正されています。

なお、上記の欠陥は、OpenSSL 0.9.7以前やOpenSSL 0.9.8e以前には存在しません。

Appleが、セキュリティ脆弱性の修正を含む「Mac OS X 10.5.3 Update」および「Mac OS X Server 10.5.3 Update」を公開しています。

バージョン10.4.11向けの「Security Update 2008-003」も同時に公開されており、下記のソフトウェアに関する脆弱性が修正されています。

・AFP Server、Apple Pixlet Video、CFNetwork、CoreFoundation、CoreGraphics、CoreTypes、Flash Player Plug-in、International Components for Unicode、ImageIO、Single Sign-On（Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5〜v10.5.2、Mac OS X Server v10.5〜v10.5.2）
・ATS、CUPS、iCal、Kernel、Mongrel（Mac OS X v10.5〜v10.5.2、Mac OS X Server v10.5〜v10.5.2）
・Wiki Server（Mac OS X Server v10.5〜v10.5.2）
・AppKit、Help Viewer、Image Capture、LoginWindow、Mail（Mac OS X v10.4.11、Mac OS X Server v10.4.11）
・Apache（Mac OS X Server v10.4.11）

なお、このアップデートにより、Mac OS X Server v10.4.11に付属のApache 2.0はバージョン2.0.63に、Flash Playerはバージョン9.0.124.0に、Mongrelはバージョン1.1.4に更新されます。

アップルから、セキュリティ脆弱性の修正を含んだ「Safari 3.1.1」が配布されています。

Safari 3.1.1では、SafariとWebKitの脆弱性が修正されており、悪意のあるWebページを開くことで任意のコードが実行される恐れのある脆弱性やXSS脆弱性などが修正されています。

対象となるOSは、Mac OS X v10.4.11、Mac OS X v10.5.2、Windows XPおよびWindows Vistaです。

［関連］Safari 3.1（FAMLog）

SSHプロトコルを使用するネットワーク接続ツールのフリーな実装であるOpenSSHの新バージョン「OpenSSH 5.0」が公開されています。

OpenSSH 5.0は、先月末に公開されたOpenSSH 4.9のセキュリティ修正版であり、セキュリティ脆弱性が1点（CVE-2008-1483）修正されています。

それ以外の変更は行われておらず、機能的にはバージョン4.9と変わりありません。

［参考］OpenSSH情報 - OpenSSH 5.0/5.0p1 リリース

アップルから、セキュリティ脆弱性の修正を含んだ「QuickTime 7.4.5」が配布されています。

QuickTime 7.4.5では、11件の脆弱性が修正されており、悪意のあるファイルを開くことで任意のコードが実行される恐れのある脆弱性も修正されています。

対象となるOSは、Mac OS X v10.3.9、Mac OS X v10.4.9以降、Mac OS X v10.5以降、Windows VistaおよびWindows XP SP2です。

SSHプロトコルを使用するネットワーク接続ツールのフリーな実装であるOpenSSHの新バージョン「OpenSSH 4.9」が公開されています。

OpenSSH 4.9にはセキュリティに関連する修正が1点含まれており、sshd_configのForceCommand設定項目でコマンドが強制されているセッションでは、~/.ssh/rcの実行が無効になるように変更されています。

機能追加や不具合の修正も行われており、sshdでchrootが新たにサポートされています。chroot機能は注意して使う必要がありますが、新しい設定項目ChrootDirectoryで制御することができます。

［参考］OpenSSH情報 - OpenSSH 4.9/4.9p1 リリース

Appleから「Security Update 2008-002」が公開されています。

Security Update 2008-002は、Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.2およびMac OS X Server v10.5.2向けに用意されており、下記のソフトウェアが更新対象となっています。

・AFP Client、CUPS、Emacs、Help Viewer、Kerberos、OpenSSH、System Configuration、X11（Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.2、Mac OS X Server v10.5.2）
・AFP Server、AppKit、CFNetwork、CoreFoundation、CoreServices、curl、file、Foundation、libc、notifyd（Mac OS X v10.4.11、Mac OS X Server v10.4.11）
・Apache 1.3、PHP 4（Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X Server v10.5.2）
・Apache 2.2、PHP 5、Application Firewall、Image Raw、mDNSResponder、pax archive utility、Podcast Producer、Preview、Printing、UDF、Wiki Server（Mac OS X v10.5.2、Mac OS X Server v10.5.2）
・ClamAV（Mac OS X Server v10.4.11、Mac OS X Server v10.5.2）

なお、このアップデートにより、Apache 1.3はバージョン1.3.41に、Apache 2.2はバージョン2.2.8に、PHP 4はバージョン4.4.8に、PHP 5はバージョン5.2.5に、OpenSSHはバージョン4.7に更新されます。

Appleから「Security Update 2008-001」が公開されています。

Security Update 2008-001は、Mac OS X v10.4.11およびMac OS X Server v10.4.11向けに用意されていて、下記のソフトウェアが更新対象となっています。

・Directory Services、Mail、Open Directory、Samba、Terminal（Mac OS X v10.4.11、Mac OS X Server v10.4.11）

同時に公開されたMac OS X 10.5.2 UpdateとMac OS X Server 10.5.2 Updateにもセキュリティに関わる修正が含まれており、下記のソフトウェアが更新対象となっています。

・Foundation、Launch Services、NFS、Parental Controls、Samba、Terminal、X11（Mac OS X v10.5.0/v10.5.1、Mac OS X Server v10.5.0/v10.5.1）

アップルから、セキュリティ脆弱性の修正を含んだ「QuickTime 7.4.1」が配布されています。

QuickTime 7.4.1では、1件の脆弱性が修正されており、RTSPをトンネリングするときのHTTPレスポンスの処理において、アプリケーションが予期せず終了したり、任意のコード実行を許してしまう脆弱性が修正されています。

対象となるOSは、Mac OS X v10.3.9、Mac OS X v10.4.9以降、Mac OS X v10.5以降、Windows VistaおよびWindows XP SP2です。

アップルから、セキュリティ脆弱性の修正を含んだ「QuickTime 7.4」が配布されています。

QuickTime 7.4では、4件の脆弱性が修正されており、ムービーファイルやPICT形式のファイルの処理において、アプリケーションが予期せず終了したり、任意のコード実行を許してしまう脆弱性が修正されています。

対象となるOSは、Mac OS X v10.3.9、Mac OS X v10.4.9以降、Mac OS X v10.5以降、Windows VistaおよびWindows XP SP2です。