FAMLog

2023年2月に公開されたApache Tomcat 8.5.86、Apache Tomcat 9.0.72およびApache Tomcat 10.1.6ではセキュリティ脆弱性が修正されています。

Apache Tomcat 8.5.86、Apache Tomcat 9.0.72およびApache Tomcat 10.1.6では、httpsが設定されたX-Forwarded-Protoヘッダーを含むリクエストをHTTP経由でリバースプロキシから受信し、RemoteIpFilterを使用している場合において、Apache Tomcatが作成するセッションCookieにSecure属性が含まれない問題（CVE-2023-28708）が修正されています。

なお、Apache Tomcat 10.0系列は2022年10月にサポートが終了しており、現在Apache Tomcat 10.0系列を利用している場合にはApache Tomcat 10.1系列へのアップグレードが推奨されています。

［関連］JVNVU#90635957: Apache Tomcatにおける保護されていない認証情報の送信の脆弱性（Japan Vulnerability Notes）

curl 8.0.0が公開されています。

curlは、さまざまな通信規格に対応しているデータ転送ソフトウェアであり、Claris FileMakerでも利用されています。25周年を迎えたcurl 8.0.0では6点のセキュリティ脆弱性が修正されています。curl 7.88.1とAPIおよびABIの互換性はあることから、curl 7.88.1からバージョンアップする際の特筆すべき注意点は特にない模様です。

なお、バージョン8.0.0が公開された直後に問題が発覚したため、現時点では修正版としてバージョン8.0.1が公開されています。

PHP 8.1.17とPHP 8.2.4が公開されています。

PHP 8.1.17とPHP 8.2.4では不具合の修正が行われています。PHP 8.0系列のアクティブサポートは2022年11月にすでに終了しており、重大なセキュリティに関わる修正が行われるセキュリティサポートは2023年11月26日までの予定となっています。

なお、PHP 8.1は2024年11月25日まで、PHP 8.2は2025年12月8日までセキュリティ修正が継続される予定となっています。

Apache HTTP Server 2.4.56が公開されています。

Apache HTTP ServerはオープンソースのWebサーバーソフトウェアです。2点のセキュリティ脆弱性に対応したApache HTTP Server 2.4.56では、mod_proxy_uwsgiにおけるHTTPレスポンス分割の問題（CVE-2023-27522）と、mod_rewriteとmod_proxyにおけるHTTPリクエスト分割の問題（CVE-2023-25690）が修正されています。

なお、macOSおよびUbuntu 18.04向けのClaris FileMaker ServerではWebサーバーにApache HTTP Serverが内部的に使用されていますが、Ubuntu 20.04ではWebサーバーとしてApache HTTP Serverの代わりにnginxが使用されるようになっています。

［関連］JVNVU#94155938: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート（Japan Vulnerability Notes）

curl 7.88.1が公開されています。

curlは、さまざまな通信規格に対応しているデータ転送ソフトウェアであり、Claris FileMakerでも利用されています。バージョン7.88.0が2023年2月中旬に公開されていましたが、不具合の修正が行われているバージョン7.88.1にはセキュリティ修正は特に含まれていません。

なお、Claris FileMaker Pro 19.6.3において、［URL から挿入］スクリプトステップのcURL オプションで-Vもしくは--versionオプションを使用して取得できるlibcurlのバージョン情報は下記の通りです。

［出力例］
libcurl/7.83.0-DEV OpenSSL/3.0.7 zlib/1.2.11
Features: AsynchDNS IPv6 Largefile NTLM NTLM_WB SSL libz TLS-SRP UnixSockets HTTPS-proxy

［関連］curl 7.88.0が公開（FAMLog）

PHP 8.0.28、PHP 8.1.16およびPHP 8.2.3が公開されています。

PHP 8.0.28、PHP 8.1.16およびPHP 8.2.3ではそれぞれセキュリティ脆弱性の修正が行われています。PHP 7.4系統の公式セキュリティサポートは2022年11月に終了しており、今後はバージョン8.0系列以降にアップグレードすることが強く推奨される状況になっています。

なお、PHP 8.0は2023年11月26日まで、PHP 8.1は2024年11月25日まで、PHP 8.2は2025年12月8日までセキュリティ修正が継続される予定となっています。

curl 7.88.0が公開されています。

curlは、さまざまな通信規格に対応しているデータ転送ソフトウェアであり、Claris FileMakerでも利用されています。curl 7.88.0では3点のセキュリティ脆弱性が修正されています。

なお、Claris FileMaker Pro 19.6.3において、［URL から挿入］スクリプトステップのcURL オプションで-Vもしくは--versionオプションを使用して取得できるlibcurlのバージョン情報は下記の通りです。

［出力例］
libcurl/7.83.0-DEV OpenSSL/3.0.7 zlib/1.2.11
Features: AsynchDNS IPv6 Largefile NTLM NTLM_WB SSL libz TLS-SRP UnixSockets HTTPS-proxy

PHP 8.1.15とPHP 8.2.2が2023年2月上旬に公開されています。

PHP 8.1.15とPHP 8.2.2では不具合の修正が行われています。PHP 8.0系列のアクティブサポートは2022年11月にすでに終了しており、重大なセキュリティに関わる修正が行われるセキュリティサポートは2023年11月26日までの予定となっています。

なお、PHP 8.1は2024年11月25日まで、PHP 8.2は2025年12月8日までセキュリティ修正が継続される予定となっています。

Apache HTTP Server 2.4.55が公開されています。

Apache HTTP ServerはオープンソースのWebサーバーソフトウェアです。Apache HTTP Server 2.4.55では、mod_proxy、mod_proxy_ajpおよびmod_davのセキュリティ脆弱性が修正されています。

なお、macOSおよびUbuntu 18.04向けのClaris FileMaker ServerではWebサーバーにApache HTTP Serverが内部的に使用されていますが、Ubuntu 20.04ではWebサーバーとしてApache HTTP Serverの代わりにnginxが使用されるようになっています。

［関連］JVNVU#99928083: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート（Japan Vulnerability Notes）

PHP 8.0.27、PHP 8.1.14およびPHP 8.2.1が公開されています。

PHP 8.0.27、PHP 8.1.14およびPHP 8.2.1ではそれぞれSQLite用のPDOにおけるセキュリティ脆弱性の修正が行われています。PHP 7.4系統の公式セキュリティサポートは2022年11月に終了しており、今後はバージョン8.0系列以降にアップグレードすることが強く推奨される状況になっています。

なお、PHP 8.0は2023年11月26日まで、PHP 8.1は2024年11月25日まで、PHP 8.2は2025年12月8日までセキュリティ修正が継続される予定となっています。