FAMLog

OS X Yosemiteには、Apache HTTP Server 2.4が搭載されています。

OS X MavericksまではApache HTTP Server 2.2が利用されていましたが、Apacheのバージョンが2.2系統から2.4系統に、PHPのバージョンが5.4系統から5.5系統に変わっているため、OS X Yosemiteにアップグレードする際には注意が必要です。

OS X Yosemite v10.10に更新することで、OSに搭載されているApache HTTP Serverのバージョンは2.4.9に、PHPのバージョンは5.5.14に更新されます。なお、2014年11月4日時点においてFileMaker Server 13はOS X Yosemiteと互換がないのでこの点も要注意です。

［関連］FileMaker 13 製品と OS X Yosemite との互換性（FileMaker ナレッジベース）

（2016/12/28追記：関連記事へのリンクを追加しました。FileMaker Server 13はバージョン13.0v5でOS X Yosemiteに対応しています。）

2014年11月29日（土）午前10時より「第16回カスタムWeb勉強会」を開催します。

カスタムWeb勉強会は、参加者によるライトニングトークや質問、そして発表・質問内容に関するディスカッションの構成で進めている勉強会です。

FileMaker ServerのカスタムWeb公開、FileMaker API for PHP、FX.php、FMCakeMix、INTER-Mediator、Rfm、JavaScriptやCSS等に興味・関心のある方のご参加をお待ちしています。詳細および参加申込については下記URLのページをご覧ください。

http://www.famlog.jp/cwpstudy/16

「Ruby 2.1.4」、「Ruby 2.0.0-p594」および「Ruby 1.9.3-p550」が公開されています。

Ruby 2.1.4、Ruby 2.0.0-594およびRuby 1.9.3-p550では、REXMLにおけるXML展開に伴うサービス不能攻撃が可能となる脆弱性（CVE-2014-8080）が修正されています。また、ext/opensslのデフォルト設定が従来のものから変更されており、安全でないSSL/TLSオプションがデフォルトで無効化されるようになっています。これに伴い、利用状況によってはSSL接続に際して問題が生じる可能性があるので要注意です。

なお、2015年2月に保守が終了する予定であるRuby 1.9.3は、現在セキュリティメンテナンスフェーズにあり、原則として何らかのセキュリティ上の問題が発見された場合のみリリースが行われる状態であり、より新しいバージョンへ移行することが推奨されています。

iOSデバイス向けのソフトウェアアップデートとなるiOS 8.1の提供が開始されています。

iOS 8.1にはセキュリティに関わる修正も含まれており、TLS接続試行の失敗時にCBC暗号スイートを無効にすることでSSL 3.0の脆弱性（POODLE）を解消しているとのことです。

iOS 8.1 ソフトウェア・アップデートを適用できる対象機種は、iPhone 4s、iPhone 5、iPhone 5c、iPhone 5s、iPhone 6、iPhone 6 Plus、第5世代のiPod touch、iPad 2、iPad Retinaディスプレイモデル、iPad Air、iPad miniおよびiPad mini 2（iPad mini Retinaディスプレイモデル）です。また、今月発表された新しいiPadにはiOS 8.1が搭載されています。

「PHP 5.6.2」、「PHP 5.5.18」および「PHP 5.4.34」が2014年10月中旬に公開されています。

PHP 5.6.2、PHP 5.5.18およびPHP 5.4.34では複数のセキュリティ脆弱性が修正されています。PHP 5.5.18およびPHP 5.4.34では、PHP 5.5.17およびPHP 5.4.33で発生してしまったOpenSSL関連の不具合も修正されています。

なお、PHP 5.4系統は今後積極的な不具合の修正は行われない予定となっており、PHP 5.3系統の保守は今年の8月に終了しました。今後はバージョン5.6系統もしくはバージョン5.5系統へのアップグレードが推奨されています。

Appleが、OS X Mavericks v10.9.5にサーバー機能を追加する「OS X Server v3.2.2 Update」の配布を2014年10月中旬に開始しています。

バージョン3.2.2では、このセキュリティアップデートではSSL 3.0の脆弱性に対応するためWebサーバーやカレンダーサーバー等でSSL 3.0が無効化されています。

OS X Server v3.2.2と同時に、OS X Mountain Lion v10.8.5向けのOS X Server v2.2.5 Updateの配布も開始されています。なお、今月公開されたOS X Yosemiteにサーバー機能を追加する場合にはOS X Server v4.0が別途必要です。

アップルが27インチiMac Retina 5Kディスプレイモデルを2014年10月中旬に発表しています。

iMac Retina 5Kディスプレイモデルは、3.5GHzクアッドコアのIntel Core i5 プロセッサー（Turbo Boost使用時は最大3.9GHz）、AMD Radeon R9 M290Xグラフィックス、8GBのメモリー、1TB Fusion Driveそして2基のThunderbolt 2ポートを標準搭載しています。

iMac Retina 5Kディスプレイモデルの価格は258,800円（税別）です。

（2015/05/22追記：「税込価格」を「価格」に変更・修正しました。）

IPA（独立行政法人情報処理推進機構）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）が、FileMaker製品におけるSSLサーバー証明書検証不備の脆弱性に関する情報を2014年9月に公開しています。

脆弱性の内容は、FileMaker Pro、FileMaker Pro AdvancedおよびFileMaker Goのバージョン12およびそれ以前のバージョンにSSLサーバー証明書検証不備の脆弱性が存在するというものです。脆弱性が確認されているFileMaker製品は下記の通りです。

・FileMaker Pro 12およびそれ以前のバージョン
・FileMaker Pro 12 Advancedおよびそれ以前のバージョン
・FileMaker Go 12およびそれ以前のバージョン

上記の脆弱性を修正するには、FileMaker Pro、FileMaker Pro AdvancedおよびFileMaker Goをバージョン13にアップグレードする必要があるというのが実状です。なお、FileMaker Serverについては、バージョン13にアップグレードする必要は必ずしもなく、バージョン12のままでも構いません。

［関連］FileMaker 12およびそれ以前に存在する脆弱性について（株式会社エミック）、FileMaker Pro 13の新機能：暗号化通信状態のインジケータ（FAMLog）

（2014/10/23追記：関連記事を追加・更新しました。）

IPA（独立行政法人情報処理推進機構）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）が、FileMaker製品のクロスサイトスクリプティング（XSS）脆弱性に関する情報を2014年9月に公開しています。

脆弱性の内容は、FileMaker製品のバージョン12およびそれ以前のバージョンで利用できるインスタントWeb公開機能にクロスサイトスクリプティングの脆弱性が存在するというものです。脆弱性が確認されているFileMaker製品は下記の通りです。

・FileMaker Pro 12およびそれ以前のバージョン
・FileMaker Pro 12 Advancedおよびそれ以前のバージョン
・FileMaker Server 12 Advancedおよびそれ以前のバージョン

上記の脆弱性は、サンプルデータベースの存在がJPCERT/CCによる脆弱性分析結果の評価値が高い一因となっています。この脆弱性を悪用するにはデータベースの管理者権限が必要であり、FileMaker Server Advancedと一緒にインストールされるサンプルデータベース（FMServer_Sampleデータベース）を削除することが脆弱性を緩和する重要な回避策となります。通常の使用範囲では本脆弱性により深刻な影響を受けることはまずあり得ませんが、データベースファイルには必ずパスワードを設定し、出所が不明なデータベースファイルを開かないようにご注意ください。

［関連］FileMaker 12およびそれ以前に存在する脆弱性について（株式会社エミック）

Appleから「Security Update 2014-005」が公開されています。

Security Update 2014-005は、OS X Mountain Lion v10.8.5およびOS X Mavericks v10.9.5向けに提供されています。このセキュリティアップデートではSSL 3.0の脆弱性が修正されている他、OS X bash Update 1.0が同梱されています。

今回OS X Lion用のセキュリティアップデートが提供されておらず、OS X Mountain Lion以降にアップグレードすることが推奨される状況になっていると言えます。

［関連］OS X bash Update 1.0が公開（FAMLog）