FAMLog

Appleから「Security Update 2006-007」がリリースされています。

Security Update 2006-007は、Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.8およびMac OS X Server v10.4.8向けのもので、下記のソフトウェアが主な更新対象となっています。

・AirPort（AirMac）、ATS、CFNetwork、Finder、gnuzip、Installer、OpenSSL、Perl、PHP、PPP、Samba、Security Framework、VPN、WebKit（Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.8、Mac OS X Server v10.4.8）
・ClamAV（Mac OS X Server v10.4.8）
・ftpd（Mac OS X v10.3.9）

なお、このセキュリティアップデートにより、PHPはバージョン4.4.4に、OpenSSLはバージョン0.9.7lにアップデートされます。

SSHプロトコルを使用するネットワーク接続ツールのフリーな実装であるOpenSSHの新バージョン「OpenSSH 4.5」が2006年11月8日に公開されています。

OpenSSH 4.5にはセキュリティに関連する修正が含まれていて、sshdの特権分離モニターの不具合が修正されています。バージョン4.5では、他にもいくつか不具合が修正されていますが、新しい機能追加は特に行われていません。

［参考］OpenSSH情報 - OpenSSH 4.5/4.5p1 リリース

Appleから「Xcode Tools 2.4.1」が公開されています。

バージョン2.4.1では、GDB（GNUデバッガー）に関するセキュリティ上の問題が修正され、悪意を持って巧妙に作られたDWARF形式のバイナリーをGDBで開くことで任意のコードが実行される恐れがあった問題に対処されています。

Xcode Tools 2.4.1は、http://developer.apple.com/tools/download/からダウンロードでき、Mac OS X v10.4以降で動作します。

Mac OS X v10.4.8およびMac OS X Server v10.4.8にはセキュリティ脆弱性を修正するアップデートも含まれています。また、バージョン10.3.9向けに「Security Update 2006-006」も同時に公開されています。

Mac OS X v10.4.8、Mac OS X Server v10.4.8、およびSecurity Update 2006-006では、下記のソフトウェアが主な更新対象となっています。

・CFNetwork、Flash Player、QuickDraw Manager、SASL、WebCore（Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4〜v10.4.7、Mac OS X Server v10.4〜v10.4.7）
・ImageIO、Kernel、LoginWindow、Preferences（Mac OS X v10.4〜v10.4.7、Mac OS X Server v10.4〜v10.4.7）
・Workgroup Manager（Mac OS X Server v10.4〜v10.4.7）

なお、このアップデートにより、Mac OS X v10.3.9のFlash Playerはバージョン9.0.16.0に、Mac OS X v10.4のFlash Playerはバージョン9.0.20.0に更新されます。

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 0.9.8d」および「OpenSSL 0.9.7l」が公開されています。

これらのバージョンではセキュリティ上の問題が修正され、OpenSSLのSSL_get_shared_ciphers()におけるバッファーオーバーフローの脆弱性や、細工されたX.509証明書の検証でサービス運用妨害（DoS）攻撃を受ける可能性がある問題などが修正されています。

バージョン0.9.8系列を利用している場合にはOpenSSL 0.9.8dへ、バージョン0.9.7系列を利用している場合にはOpenSSL 0.9.7lへのアップデートが推奨されます。

SSHプロトコルを使用するネットワーク接続ツールのフリーな実装であるOpenSSHの新バージョン「OpenSSH 4.4」が公開されています。

OpenSSH 4.4にはセキュリティに関する修正が含まれていて、認証を行う前のサービス妨害攻撃を受ける可能性がある問題が修正されています。その他に、移植版OpenSSHでGSSAPI認証が有効の場合に、リモートからのコード実行を許可してしまう問題や、いくつかのプラットフォームにおいてアカウントの存在が知られてしまう問題も修正されています。

移植版OpenSSHではSELinuxのサポートが実験的に追加されており、configureの--with-selinuxオプションで有効にすることができるようになっています。

［参考］OpenSSH情報 - OpenSSH 4.4/4.4p1 リリース

AppleからAirPort Update 2006-001（AirMac Update 2006-001）およびSecurity Update 2006-005がリリースされています。

いずれもAirPort（AirMac）に関するセキュリティ上の問題を修正するもので、Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.7およびMac OS X Server v10.4.7向けのものです。今回初めてIntelベースMac向けのUniversal版セキュリティアップデータ「Security Update 2006-005 (10.4.7 Universal)」が公開されていて、Mac OS X Server v10.4.7用のアップデータも兼ねています。

なお、AirPort Update 2006-001（AirMac Update 2006-001）には、MacBook Pro向けのセキュリティ以外の修正も含まれているとのことです。

アップルから、セキュリティ脆弱性の修正を含んだ「QuickTime 7.1.3」が配布されています。

QuickTime 7.1.3では、細工されたH.264ムービー、QuickTimeムービー、FLCムービー、およびFlashPixやSGI形式の画像ファイルにより、悪意ある任意のコード実行やアプリケーションのクラッシュを許してしまう脆弱性が修正されています。

このため、QuickTime 7のすべての利用者に対して、バージョン7.1.3へのアップデートが推奨されています。

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 0.9.8c」および「OpenSSL 0.9.7k」が公開されています。

これらのバージョンではセキュリティ上の問題が修正され、バージョン0.9.8bおよび0.9.7jまでには、指数に3を指定したRSA公開鍵が利用される場合に、PKCS #1 v1.5の署名を偽造でき、正当な署名と判定してしまう可能性がある問題が存在していたとのことです。

このため、OpenSSL 0.9.8cもしくは0.9.7kへのアップグレードが推奨されています。

アップルから、セキュリティ上の問題が修正された「Xsan Filesystem 1.4 for Mac OS X 10.4」が公開されています。

このバージョンでは、パス名を処理しているときにXsan Filesystem ドライバー内でバッファオーバーフローが起こることにより、悪意のあるユーザーがXsanを利用するシステムをクラッシュさせたり、任意のコードを実行する可能性がある問題（CVE-2006-3506）が修正されています。

なお、上記にあわせて「Xsan Admin 1.4 Update」も公開されています。