FAMLog

「mod_security 1.8.6」がリリースされています。mod_security 1.8.6では、検知モードでのみ動作させたい場合に対応するように動作に変更が加えられています。

データの妥当性チェックがリクエストを最初に処理するときにのみ行われるようになり、さらにリクエストヘッダーにも妥当性チェックが行われるように拡張されています。これにより、すべてのリクエストデータに対して妥当性チェックが行われます。

ただし、現状ではいくつか制限もあり、検知モードで動作させるにあたって一部利用できないオプションがあります。バージョン1.9世代でこういった制限を緩めていく方針のようです。

その他、バージョン1.8.6では下記3点の不具合が修正されています。

・skipアクションが正しく動作しない不具合
・ファイルアップロード時にmod_securityが無限ループに陥る場合がある不具合
・Apache 2.0用mod_security 1.8.5で、メモリーバッファよりサイズが大きいファイルをアップロードすると承認過程がスキップされてしまう不具合

AppleからMac OS X Update 10.3.6がリリースされています。

Mac OS X v10.3.6の主な改良点は下記の通りです。以前に単体で実施された最新のセキュリティアップデートも含まれています。

・Mac（AFP）、UNIX（NFS）、PC（SMB/CIFS）のネットワークでのファイル共有機能の改良
・ネットワーク・オートマウントやネットワーク・アプリケーションの起動の際の信頼性強化
・OpenGLテクノロジーの改良、ATIおよびNVIDIA対応のグラフィックドライバのアップデート
・FireWireオーディオ、およびUSBデバイスとの互換性の強化
・計算機、DVDプレーヤ、イメージキャプチャおよびSafariのアップデート
・他社製アプリケーションとの互換性の改良

このアップデートに含まれるSafariでは、Webページに接続しようとしたり、フォームデータを送信しようとする場合に60秒でタイムアウトすることがなくなりました。処理をキャンセルしない限り、Safariは無限に接続を試みるように変更されています。

FileMaker Server 7 AdvancedのWeb公開エンジンには、FileMakerデータベースをXMLデータに変換して、HTTPを利用して出力する機能があります。XMLリクエストを受け取った場合はXMLデータを生成しますが、このような機能は主に「Web公開コア」が担当しています。

Web公開エンジンを構成するもう1つのソフトウェア「カスタムWeb公開エンジン」は、WebサーバーおよびWeb公開コアと通信して、主にXSLTプロセッサーとして機能し、サーバーサイドでのXSLTスタイルシートの処理がサポートされています。

カスタムWeb公開エンジンはXSLTリクエストを受け取った場合に、Web公開コアに対してXMLリクエストを送ってFileMakerデータベースのXMLデータを取得し、XSLTスタイルシートを使用してXMLデータからHTMLページ、XMLドキュメントあるいはテキストに変換、生成することができます。

カスタムWeb公開エンジンからの出力は、WebサーバーによってWebユーザーのブラウザーに提供されます。

Webサーバーへの侵入の検知および防御を目的としたApacheのモジュール「mod_security 1.8.5」が2004年10月26日（米国時間）にリリースされています。

mod_security 1.8.5は、mod_security 1.8.4で発見された問題点6点が修正された、バージョン1.8系列のメンテナンスリリースです。

mod_securityの日本語マニュアルがあることに最近気づきましたが、その内容もバージョン1.8.5向けのものに更新されています。

「Apache HTTP Server 1.3.33」がリリースされています。あわせて「mod_ssl 2.8.22 for Apache 1.3.33」もリリースされています。

Apache 1.3.33では、Apache 1.3.32までのmod_includeでバッファーオーバーフローが発生する可能性があるセキュリティ脆弱性が修正されています。また、Apache 1.3.32のmod_rewriteで発生していた不具合も修正されています。

OpenSSLも先月下旬に新バージョンがリリースされていて、「OpenSSL 0.9.7e」がリリースされています。

AppleからSecurity Update 2004-10-27がリリースされています。

このセキュリティアップデートはMac OS X v10.3.xのApple Remote Desktop Client v1.2.4向けに提供され、loginwindowの裏でアプリケーションを起動でき、root権限で動作してしまう問題が修正されます。この問題は以下の条件を満たすシステムで発生し、ファーストユーザスイッチ機能のないMac OS X v10.2.x以下のシステムには影響しません。

・Apple Remote Desktop Clientがインストールされている
・「アプリケーションの起動と終了」権限付きでApple Remote Desktopが有効になっている
・ARDユーザーのユーザー名とパスワードが知られている
・ファーストユーザスイッチが有効になっている
・ユーザーがログインしていて、ファーストユーザスイッチによって loginwindowが前面にきている

本アップデートでは、loginwindowが前面にきている時にApple Remote Desktopでアプリケーションを起動できないようになっています。この修正内容はApple Remote Desktop 2.1 Clientにも含まれています。

アップルから、セキュリティ脆弱性の修正を含んだ「QuickTime 6.5.2」がリリースされています。

BMPイメージタイプのデコード処理がヒープメモリを上書きし、イメージに隠された任意のコードの実行を許可する恐れがある脆弱性（CAN-2004-0926）が修正されていますが、Mac版についてはSecurity Update 2004-09-30を適用していればすでに修正されているものです。

QuickTime 6.5.2では上記修正の適用可能なシステムが新たに増え、Windowsプラットフォームでの脆弱性にも対処されています。

Windowsプラットフォームでは上記の他に、整数オーバーフローによりリモートのアタッカーからDoS攻撃を受けてしまう脆弱性（CAN-2004-0988）も修正されています。この問題はMac OS X版QuickTimeには存在しません。

ファイルメーカー社が「FileMaker Server 7v2 アップデータ」を配布しています。

このアップデータは、FileMaker Server 7およびFileMaker Server 7 Advanced向けのもので、FileMaker Server 7.0v1もしくは7.0v1aをFileMaker Server 7.0v2にアップデートします。安定性やパフォーマンスの向上、外部認証のセキュリティの強化が含まれているとのことですが、より詳細な情報については不明です。

FileMaker Server 7をFileMaker Pro 7v3およびFileMaker Developer 7v3と組み合せて日本語を使用する場合には、必ずFileMaker Server 7v2にアップデートする必要があります。

また、FileMaker Server 7v2で公開しているデータベースにアクセスするFileMaker ProおよびFileMaker Developerは、バージョン7v3に統一して使用する必要があります。

（2007/01/03追記：リンク先のURLを変更しました。）

FileMaker Server Web公開エンジンは、「Web公開コア」と「カスタムWeb公開エンジン」から構成されます。

Web公開コアは、WebサーバーおよびFileMaker Serverと通信し、ホストされたデータベースのインスタントWeb公開用のページを生成することができます。また、適切なクエリーコマンドと引数を指定したHTTPリクエストに基づいて、FileMakerデータベースからXMLデータを生成することもできます。

なお、Web公開エンジンからXMLドキュメントを取得するための、クエリーコマンドと引数を指定したHTTPリクエストは、FileMaker Server 7 Advancedでは「XMLリクエスト」と呼ばれています。

FileMaker Server 7 AdvancedでWeb公開する際に使用するソフトウェアコンポーネントは下記の通りです。

・Webサーバー
・Webサーバーモジュールおよび管理コンソール
・Web公開エンジン（Web公開コア＋カスタムWeb公開エンジン）
・FileMaker Server 7

FileMaker Server 7 Advancedには、FileMaker Server 7とWeb公開エンジンおよび関連ツールが含まれていて、Web公開エンジンのインストーラで、「Web公開エンジン」と「Webサーバーモジュールおよび管理コンソール」をインストールできます。

Webサーバーは、Mac OS Xの場合はあらかじめインストールされているApache HTTP Serverが使用されます。

（2007/01/03追記：リンク先のURLを変更しました。）