FAMLog
Rubyist Magazine 0042 号が公開
May 31, 2013
日本Rubyの会の有志が発行しているWeb雑誌「Rubyist Magazine」(通称「るびま」)の0042 号が公開されています。
「るびま」は、プログラミング言語Rubyに関する技術記事や活用事例、インタビュー、エッセイなどが掲載されるWeb雑誌です。
Rubyist Magazine 0042 号には、インタビュー記事やエンドツーエンドテスト自動化を進める際に便利なツールであるTurnipに関する紹介記事、Ruby 2.0.0への移行作業について紹介した記事、各所で開催された地域Ruby会議のレポートなどが掲載されています。
Phusion Passenger 4.0.5とPhusion Passenger 3.0.21が公開
May 30, 2013
「Phusion Passenger 4.0.5」と「Phusion Passenger 3.0.21」が公開されています。
Phusion Passengerは、RubyやPythonで記述されたWebアプリケーションを運用するための、Apache HTTP Serverおよびnginx用のモジュールとして利用できるオープンソースソフトウェアです。
バージョン4.0.5およびバージョン3.0.21ではセキュリティ脆弱性が1点修正されています。ローカルの攻撃者が一時ファイルを利用して、サービス不能攻撃(DoS)および他のユーザーとして任意のコードを実行できる脆弱性(CVE-2013-2119)が修正されています。
ModSecurity 2.7.4が公開
May 29, 2013
Webサーバーへの侵入の検知および防御を目的としたソフトウェア「ModSecurity 2.7.4」が公開されています。
ModSecuirty(バージョン2.6以降)は、Apache License 2.0で提供されるオープンソースソフトウェアです。バージョン2.7.4ではセキュリティ脆弱性(CVE-2013-2765)が1点修正されています。
また、ModSecurityはApacheおよびIISに対応していますが、バージョン2.7.4では新たにnginxも正式にサポートするようになっています。
OS X Server (Mountain Lion)のNATサービス
May 28, 2013
Mountain Lion用のOS X ServerではServerアプリケーションでNATサービスを管理できなくなっています。
NATサービスは、OS X Lion Serverではnatpmpdバイナリによって、Mac OS X Server v10.6ではnatdバイナリによって提供されていました。OS X Mountain Lionでは、natdが非推奨となり、natpmpdはシステム環境設定の「共有」パネルの「インターネット共有」によって使われます。
OS X Lion ServerまたはMac OS X Server v10.6からOS X Server (Mountain Lion)にアップグレードまたは移行した場合、それまでのNAT設定および構成は無効になるので注意が必要です。OS X Mountain Lionにおいて手動でNATサービスのルールを作成・設定する場合は、今後pfを利用する必要があり、pfctlコマンドを使って設定を行います。
[参考]OS X Server:NAT サービスについて(アップル)
OS X Server (Mountain Lion)のファイアウォールサービス
May 27, 2013
OS X Lion ServerとMac OS X Server v10.6では「サーバ管理」アプリケーションを利用してファイアウォールサービスを管理できましたが、Mountain Lion用のOS X ServerではServerアプリケーションでファイアウォールサービスを管理できなくなっています。
OS X Lion ServerまたはMac OS X Server v10.6からOS X Server (Mountain Lion)にアップグレードまたは移行した場合、それまでのipfwによるファイアウォール設定は有効のまま残りますが、ipfwコマンドの使用はOS X Mountain Lionでは非推奨になりました。
OS X Mountain Lionにおいて手動でファイアウォールルールを設定する場合は、今後pfの利用が推奨されるようになり、pfctlコマンドを使って設定を行います。
[関連]OS X Server:ファイアウォールサービスについて(アップル)
APPLE-SA-2013-05-22-1 QuickTime 7.7.4
May 24, 2013
AppleからWindows版の「QuickTime 7.7.4」が公開されています。
Windows版のQuickTime 7.7.4では、12件のセキュリティ脆弱性が修正されています。悪意のある細工が施されたファイルを開くことで、任意のコードが実行される恐れのある脆弱性が修正されています。
対象となるOSは、Windows 7、Windows Vista、およびWindows XP SP2以降です。
Apache Tomcat 6.0.37とApache Tomcat 7.0.40が公開
May 23, 2013
「Apache Tomcat 6.0.37」と「Apache Tomcat 7.0.40」が2013年5月上旬に公開されています。
Apache Tomcat 6.0.37では2点のセキュリティ脆弱性が、Apache Tomcat 7.0.40では1点のセキュリティ脆弱性が修正されています。
なお、FileMaker Server 12およびFileMaker Server 12 AdvancedのWeb公開機能とAdmin Console用管理サーバーではTomcat 6.0系列が使われていて、バージョン12.0v4ではTomcat 6.0.33が使用されています。
(2013/05/24追記:タイトルを「Apache Tomcat 6.0.37とTomcat 7.0.40が公開」から「Apache Tomcat 6.0.37とApache Tomcat 7.0.40が公開」に変更しました。)
APPLE-SA-2013-05-16-1 iTunes 11.0.3
May 22, 2013
アップルが「iTunes 11.0.3」を2013年5月中旬に公開しています。
バージョン11.0.3では、HTTPSサーバー証明書の確認方法に問題があったことでネットワーク上の攻撃者に重要な情報を盗み取られてしまう場合があった問題が修正されています。また、Windows版ではWebKitに関するセキュリティ脆弱性が多数修正されているため、最新版への更新が推奨されます。
iTunes 11.0.3はhttp://www.apple.com/jp/itunes/download/から入手できます。対象OSは、Mac OS X v10.6.8以降、Windows 8、Windows 7、Windows Vista、およびWindows XP SP2以降です。
OpenSSH 6.2p2が公開
May 21, 2013
SSHプロトコルを使用するネットワーク接続ツールのフリーな実装であるOpenSSHの新バージョン「OpenSSH 6.2p2」が公開されています。
OpenSSH 6.2p2では4点の不具合が修正されており、移植版OpenSSHのバージョン6.2でidentityファイルを指定していない時でもファイルが見つからないと警告を出すようになっていた点が修正され、明示的に指定されたidentityファイルがない場合にだけ警告するようになっています。
なお、OpenSSH 6.2p2にはセキュリティに関連する修正は特に含まれていないとのことです。
[参考]OpenSSH 6.2p2 リリース(OpenSSH情報)
Ruby 1.9.3-p429とRuby 2.0.0-p195が公開
May 20, 2013
「Ruby 1.9.3-p429」と「Ruby 2.0.0-p195」が公開されています。
Ruby 1.9.3-p429とRuby 2.0.0-p195では、DLおよびFiddleにおいて$SAFEレベルの設定に関わらず汚染された文字列をシステム呼び出しに使用できる脆弱性が修正されています。
なお、Ruby 1.9.3-p429の公開前にRuby 1.9.3-p426も公開されていましたが、いくつかのプラットフォームでビルド上の問題があったため、Ruby 1.9.3-p426ではなくRuby 1.9.3-p429を利用することが推奨されています。