FAMLog

Apache Tomcat 8.0.41とApache Tomcat 7.0.75が2017年1月下旬に公開されています。

Apache Tomcat 8.0.41およびApache Tomcat 7.0.75では、Apache Tomcat 8.5.9で修正されたセキュリティ脆弱性が修正されています。当該脆弱性は、公表当初、Apache Tomcat 8.5より前のバージョンは影響を受けないとされていましたが、バージョン8.0系列以前も影響を受けることが後から判明した次第です。

現時点でのApache Tomcatの最新安定バージョンはバージョン8.5系統です。なお、FileMaker Server 13、FileMaker Server 14およびFileMaker Server 15のWeb公開機能とAdmin Console用管理サーバーではTomcat 7.0系列が使用されています。

［関連］JVNVU#97321122: Apache Tomcat に情報漏えいの脆弱性（Japan Vulnerability Notes）、Apache Tomcat 8.5.9が公開（FAMLog）

Apache Tomcat 8.5.11が2017年1月中旬に公開されています。

Apache Tomcat 8.5.11では、多数の不具合が修正され、HTTP/2での動作の修正および改善がされている他、451番のHTTPステータスコードがサポートされるようになっています。現時点でのApache Tomcatの最新安定バージョンはバージョン8.5系統です。Apache Tomcatはバージョン9.0系統の開発も進められており、現在Apache Tomcat 9.0.0.M17 (alpha)が公開されている状況です。

なお、FileMaker Server 13とFileMaker Server 14、FileMaker Server 15のWeb公開機能とAdmin Console用管理サーバーではTomcat 7.0系列が使用されています。

PHP 5.6.30、PHP 7.0.15およびPHP 7.1.1が公開されています。

PHP 5.6.30、PHP 7.0.15およびPHP 7.1.1ではそれぞれセキュリティ脆弱性が修正されています。下位互換性のない変更点や推奨されなくなる機能もあるため、PHP 7.1に移行する場合には事前に移行ガイドを参照してからアップグレードを行う必要があります。

なお、PHP 5.6およびPHP 7.0は2018年12月まで、PHP 7.1は2019年12月までセキュリティ修正が継続される予定となっています。

Apache HTTP Server 2.2.32が公開されています。

約1年半ぶりに更新されたApache HTTP Server 2.2系統の最新版であるApache HTTP Server 2.2.32にはセキュリティに関わる修正が含まれています。

バージョン2.2系統のメンテナンスリリースが提供されるのは2017年6月まで、セキュリティ修正の提供は2017年12月までとなっていることを考慮すると、今後はApache HTTP Server 2.4系列へのアップグレードが推奨されることになります。

［関連］Apache HTTP Server 2.2系列のサポート終了予定日（FAMLog）

Apache HTTP Server 2.2系列は2017年12月までセキュリティ修正が継続される予定となっています。

バージョン2.2系統のメンテナンスリリースが提供されるのは2017年6月まで、セキュリティ修正の提供は2017年12月までとなっていることを考慮すると、今後はApache HTTP Server 2.4系列へのアップグレードが推奨されることになります。

なお、macOS（OS X）では、OS X Yosemite以降でApache HTTP Server 2.4系統を使用するようになっています。

［関連］OS X YosemiteはApache HTTP Server 2.4を標準搭載（FAMLog）

CakePHP 2.9.4が公開されています。

CakePHP 2.9.4は、バージョン2系のAPI互換となる保守リリースで、PHP 7.1に対応している他、CakePHP 3.3.10と同様にデバッグモードでの実行中に影響を受ける脆弱性が1点修正されています。CakePHP 2.8系統からCakePHP 2.9系統にバージョンアップする際には移行ガイドで各種変更点を確認してから移行作業を行う必要があります。

オリジナルのFMCakeMix（CakePHP用のFileMakerデータソースドライバー）はCakePHP 2.9に対応していませんが、https://github.com/matsuo/FMCakeMixにあるFMCakeMixはCakePHP 2.9で動作可能な状態になっています。なお、現時点におけるCakePHPの最新バージョンはバージョン3.3.10ですが、FMCakeMixはCakePHP 3に対応していないのでご注意ください。

［関連］CakePHP 2.9.4 がリリースされました（mbstring.com）

「Apache HTTP Server 2.4.25」が公開されています。

Apache HTTP Server 2.4.25は、Apache HTTP Server 2.4系統の最新版です。バージョン2.4.25では、5点のセキュリティ脆弱性が修正されています。

Apache HTTP Server 2.0系統はすでに保守が終了しています。Apache HTTP Server 2.2系統は2017年12月までセキュリティ修正が継続される予定となっていることから、今後はApache HTTP Server 2.4系統を利用することが推奨される状況となっています。

［関連］JVNVU#99304449: Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート（Japan Vulnerability Notes）

Apache Tomcat 8.5.9が公開されています。

Apache Tomcat 8.5.9では、複数のリクエストを処理する際に同一の「Processor」が用いられ、セッションIDやレスポンス情報が漏洩する恐れがある脆弱性（CVE-2016-8745）が修正されています。この脆弱性は、Apache Tomcat 8.5系統において行われたConnectorコードのリファクタリングが原因で作りこまれたものであるとのことです。

現時点でのApache Tomcatの最新安定バージョンはバージョン8.5系統です。Apache Tomcatはバージョン9.0系統の開発も進められており、現在Apache Tomcat 9.0.0.M15 (alpha)が公開されている状況です。なお、Apache Tomcat 8.5.9と同時に公開されたApache Tomcat 9.0.0.M15 (alpha)では上記の脆弱性が修正されています。

［関連］JVNVU#97321122: Apache Tomcat に情報漏えいの脆弱性（Japan Vulnerability Notes）、Apache Tomcat 8.0.41とApache Tomcat 7.0.75が公開（FAMLog）

（2017/02/01追記：関連記事へのリンクを更新・追加しました。CVE-2016-8745は、公表当初、Apache Tomcat 8.5より前のバージョンは影響を受けないとされていましたが、バージョン8.0系列以前も影響を受けることが後から判明しました。）

PHP 5.6.29とPHP 7.0.14が公開されています。

PHP 5.6.29とPHP 7.0.14ではそれぞれセキュリティ脆弱性が修正されています。PHP 5.5系統の保守は終了したため、バージョン5.6系統以降へのアップグレードが強く推奨される状況となっています。

下位互換性のない変更点や推奨されなくなる機能もあるため、PHP 7に移行する場合には事前に移行ガイドを参照してからアップグレードを行う必要があります。なお、現時点におけるPHPの最新バージョンはバージョン7.1.0です。

［関連］PHP 7.1.0が公開（FAMLog）

Apache HTTP ServerでHTTP/2を利用できるようにするmod_http2のセキュリティパッチが公開されています。

今回公開されたセキュリティパッチは、バージョン2.4.17からバージョン2.4.23までのApache HTTP Serverに含まれるmod_http2におけるHTTP/2利用時のDoS脆弱性（CVE-2016-8740）を修正するものです。

mod_http2は、Apache HTTP Server 2.4.17以降に同梱されており、通常は有効化されていません。今回公開されたセキュリティパッチは、Apache HTTP Serverの次回更新時に含まれる予定となっています。