FAMLog

Apache Tomcat 8.5.23が公開されています。

Apache Tomcat 8.5.23では、readonlyパラメーターをfalseに設定し、HTTP PUTリクエストを受付可能としている場合に、細工したリクエストを受けることで、遠隔から任意のコードが実行される可能性があるセキュリティ脆弱性（CVE-2017-12617）が修正されています。Apache Tomcatはバージョン9.0系統の開発も進められており、現在Apache Tomcat 9.0.1 (beta)が公開されている状況です。

なお、2017年10月3日時点では、CVE-2017-12617を修正したApache Tomcat 7.0系列の新バージョンは公開されていない状態です。

［関連］Apache Tomcat における脆弱性に関する注意喚起（JPCERT コーディネーションセンター）、Apache Tomcat 7.0.81ではセキュリティ脆弱性が修正済み（FAMLog）、Apache Tomcat 8.0.47とApache Tomcat 7.0.82が公開（FAMLog）

（2017/10/04追記：CVE-2017-12617を修正したApache Tomcat 8.0.47とApache Tomcat 7.0.82が公開されていたため、関連記事を追加・更新しました。）

Apache Tomcat 7.0.81では、2点の脆弱性（CVE-2017-12615およびCVE-2017-12616）が修正されています。Apache Tomcat 7.0.81が公開されたのは先月ですが、上記修正に関する情報は今月20日（日本時間）に公開されました。

CVE-2017-12615では、readonlyパラメーターをfalseに設定し、HTTP PUTリクエストを受付可能としている場合に、細工したリクエストを受けることで、遠隔から任意のコードが実行される可能性があります。CVE-2017-12616では、VirtualDirContextを利用している場合に、細工したリクエストを受けることで、セキュリティ制限がバイパスされ、VirtualDirContextを使用したリソース配下のJSPソースコードを閲覧される可能性があります。

なお、FileMaker Server 13、FileMaker Server 14、FileMaker Server 15およびFileMaker Server 16のWeb公開機能とAdmin Console用管理サーバーではTomcat 7.0系列が使用されています。

［関連］JVNVU#99259676: Apache Tomcat の複数の脆弱性に対するアップデート（Japan Vulnerability Notes）、Apache Tomcat における脆弱性に関する注意喚起（JPCERT コーディネーションセンター）

CakePHP 2.10.1が2017年8月上旬に、CakePHP 2.10.2が2017年8月下旬に公開されています。

CakePHP 2.10.1およびCakePHP 2.10.2は、バージョン2系のAPI互換となる保守リリースです。CakePHP 2.9系統からCakePHP 2.10系統にバージョンアップする際には移行ガイドで各種変更点を確認してから移行作業を行う必要があります。

なお、現時点におけるCakePHPの最新バージョンはバージョン3.5.1ですが、FMCakeMix（CakePHP用のFileMakerデータソースドライバー）はCakePHP 3.xに対応していないのでご注意ください。

［関連］CakePHP 2.10.0が公開（FAMLog）

Apache Tomcat 7.0.79、Apache Tomcat 8.0.45およびApache Tomcat 8.5.16ではキャッシュポイズニングの問題（CVE-2017-7674）が修正されています。また、Apache Tomcat 8.5.16ではHTTP/2実装における認証回避の脆弱性（CVE-2017-7675）が修正されています。

Apache Tomcat 7.0.79、8.0.45および8.5.16が公開されたのは先月および先々月ですが、上記修正に関する情報は今月中旬に公開されました。

なお、FileMaker Server 13、FileMaker Server 14、FileMaker Server 15およびFileMaker Server 16のWeb公開機能とAdmin Console用管理サーバーではTomcat 7.0系列が使用されています。

［関連］JVNVU#91991349: Apache Tomcat の複数の脆弱性に対するアップデート（Japan Vulnerability Notes）

ファイルメーカー社が「FileMaker Cloud スターティングガイド」を公開しています。

FileMaker Cloud スターティングガイドでは、FileMaker Cloudの概要や、FileMaker CloudとFileMaker Serverの違い、AWSの概要、FileMaker Cloudにおけるクライアントアクセスライセンス、FileMaker Cloudのセットアップ手順、ソフトウェアライセンス費用比較表などの情報が掲載されています。

AWS Marketplaceは2017年8月現在英語環境でのみ利用できますが、同ガイドではAWS MarketplaceでFileMaker Cloudのライセンスを購入する場合の手順についても詳細に解説されています。

［関連］FileMaker Cloud 入門ガイド（FileMaker）、FileMaker Cloud ヘルプ（FileMaker）

（2017/08/08追記：一部スペルミスがあった点を修正しました。）

ファイルメーカー社が、FileMaker Pro 16で非推奨になった機能についてFileMaker ナレッジベースで案内しています。

FileMaker Pro 16において非推奨となり今後廃止される予定の機能一覧は下記の通りです（2017年7月現在）。

・画像フォーマット: FPX、MacPaint、QIF、EPS
・32ビットアーキテクチャ
・FileMaker Pro ランタイム
・EPSファイル（*.eps）のサポート
・Get(ウインドウ方向)関数
・LDAPディレクトリを使用したホストへの接続
・オブジェクトフィールドのオプション：“ファイルの参照データのみ保存”
・DBFフォーマットのインポート/エクスポート
・Windows 7、8、8.1のサポート
・［DDE コマンドを送信］およびスペルチェック関連のスクリプトステップ
・データベースデザインレポートにおけるHTML形式
・Type 1 フォント

上記の内容は今後サポートされなくなる可能性がある項目であり、別のAPI、技術または代替機能を利用するようにソリューションを変更したり、利用環境を更新することが推奨されています。

［関連］FileMaker 15で非推奨になった機能（FAMLog）、FileMaker Server 16で非推奨になった機能（FAMLog）

（2017/09/11追記：「FileMaker Pro 16で非推奨になった機能」に関するページのリンク先URLを変更・修正しました。また、FileMaker 16ですでに削除されている「［許可される向きの設定］スクリプトステップ」と「External()関数」を一覧から削除しました。）

INTER-Mediator 5.6を公開しました。同時に、バージョン5.6をベースにしたINTER-Mediator-Server VMもリリースしました。

INTER-Mediatorは、予算規模の小さな組織でも業務システムの開発を円滑にできることを目指して開発された、MITライセンスで提供されるWebアプリケーションフレームワークです。バージョン5.6では、スタイル設定を特にしなくても見栄えの良いページを作成できるようになり、 さらにページの見栄えを変更できるテーマ機能を新たに追加しました。公式にMariaDBをサポートするようになった他、 オプションとして提供されているAuth_Supportフォルダー内のPasswordResetフォルダーにあるresetpassword.phpにおけるXSS脆弱性も修正されています。

今回テーマ機能が新設されたことで、旧バージョンからバージョンアップする際には注意点があります。必ず事前に「バージョン移行ガイド」を参照するようにしてください。

curl 7.54.1が2017年6月中旬に公開されています。

curlは、さまざまな通信規格に対応しているデータ転送用のコマンドラインツールおよびライブラリです。バージョン7.54.1ではWindowsプラットフォームにおけるセキュリティ脆弱性が修正されています。

なお、FileMaker 16では［URL から挿入］スクリプトステップでさまざまなcURLオプションを指定できるようになっています。これにより、REST APIを用いて各種WebサービスやアプリケーションにJSONデータを要求するHTTPリクエストを手軽に作成することが可能です。

「Apache HTTP Server 2.4.26」が公開されています。

Apache HTTP Server 2.4.26は、Apache HTTP Server 2.4系統の最新版であり、このバージョンからHTTP/2を正式にサポートするようになっています。バージョン2.4.26では、5点のセキュリティ脆弱性が修正されています。

HTTP/2を利用できるようにするmod_http2の利用にはnghttp2が必要です。なお、Apache HTTP Server 2.2系統のセキュリティ修正は2017年12月までの予定となっていることから、今後はApache HTTP Server 2.4系統を利用することが推奨される状況となっています。

［関連］JVNVU#98416507: Apache HTTP Web Server における複数の脆弱性に対するアップデート（Japan Vulnerability Notes）

nodeコマンドを使用することで、macOS版のFileMaker Server 16に同梱されているNode.jsのバージョンを確認できます。

FileMaker Server 16.0.1がインストールされているmac OS Sierra 10.12.5では、FileMaker Server 16のFileMaker Data API エンジンで使用しているNode.jsのバージョン情報は次のように表示されます。

［実行例］
$ "/Library/FileMaker Server/node/bin/node" -v

［実行結果］
v6.9.2

現時点におけるFileMaker Serverの最新バージョンはバージョン16.0.1です。FileMaker Server 16.0.1にはNode.js 6.9.2が同梱されています。

［関連］FileMaker Server 16の新機能：FileMaker Data API (Trial)（FAMLog）