FAMLog

OpenSSL 1.1.1v、OpenSSL 3.0.10およびOpenSSL 3.1.2が公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 1.1.1v、OpenSSL 3.0.10およびOpenSSL 3.1.2では影響度低と位置付けられているセキュリティ脆弱性が複数修正されています。

なお、OpenSSLはバージョン3.0.0でライセンスが変更されており、OpenSSL 3.0.0以降ではApache License, Version 2.0に変更されています。

［関連］JVNVU#92583151: OpenSSLのAES-SIV実装における関連データエントリが正しく認証されない問題（Security Advisory [14th July 2023]）（Japan Vulnerability Notes）、JVNVU#95617114: OpenSSLのDH_check()関数におけるDHキーとパラメータのチェックに過剰な時間がかかる問題（OpenSSL Security Advisory [19th July 2023]）（Japan Vulnerability Notes）、JVNVU#98291788: OpenSSLのDH_check()関数におけるDHキーとパラメータのチェックに過剰な時間がかかる問題（Security Advisory [31st July 2023]）（Japan Vulnerability Notes）

INTER-Mediator Ver.5は2023年12月にサポートを終了する予定となっています。

Ver.5系統は2024年以降はセキュリティ修正が行われなくなるため、今後はINTER-Mediator Ver.5を使用し続けることは推奨されなくなります。現時点でのINTER-Mediatorの最新バージョンは先月公開されたINTER-Mediator Ver.11ですが、旧バージョンから更新する際には必ず事前にバージョン移行ガイドやINTER-Mediatorの方向性に関するページを参照するようにしてください。

なお、INTER-Mediator Ver.6以降ではFileMaker Server向け機能の一部が実装されていないため、FileMaker ServerのESS機能を利用しつつMySQLやMariaDBへの移行、もしくはFileMaker Data APIへの切り替え等を検討していただく必要が出てくる見通しです。

［関連］INTER-Mediator Ver.11が公開（FAMLog）、今後のINTER-MediatorにおけるClaris FileMaker Server対応について（FAMLog）

INTER-Mediator Directive Committeeとして、今後のINTER-MediatorにおけるClaris FileMaker Server対応に関する案内を行いました。

INTER-MediatorのFileMaker Server対応については今後は「ベストエフォート」、すなわち可能な限りの対応を行いますが、INTER-Mediatorが備えている機能をFileMaker Server向けに全面的にサポートすることはしない予定です。また、INTER-Mediator Ver.5の保守およびサポートを2023年中に終了することにしました。INTER-Mediator Ver.6以降ではFileMaker Server向け機能の一部が実装されていないため、FileMaker ServerのESS機能を利用しつつMySQLやMariaDBへの移行、もしくはFileMaker Data APIへの切り替え等を検討していただく必要が出てくる見通しです。

詳しい経緯や内容については、GitHub上に掲載している文書「INTER‐MediatorのFileMaker対応について」をご参照ください。

2023年5月に公開されたApache Tomcat 8.5.89、Apache Tomcat 9.0.75およびApache Tomcat 10.1.9ではセキュリティ脆弱性が修正されています。

レスポンスにHTTPヘッダーが設定されていない場合にレスポンスヘッダーに関する情報が漏洩する可能性がある脆弱性（CVE-2023-34981）が修正されたApache Tomcat 8.5.89、Apache Tomcat 9.0.75およびApache Tomcat 10.1.9が公開されたのは2023年5月ですが、CVE-2023-34981に関する情報は2023年6月下旬に公開された次第です。

なお、現時点でのApache Tomcatの最新安定バージョンはバージョン10.1.10ですが、Claris FileMaker Server 2023（FileMaker Server 20.1.2）ではJava Web公開エンジンにApache Tomcat 9.0.69が使用されています。

［関連］JVNVU#92908681: Apache Tomcatにおける情報漏えいの脆弱性（Japan Vulnerability Notes）、Apache Tomcat 8.5.88、9.0.74および10.1.8ではセキュリティ脆弱性が修正済み（FAMLog）

（2023/08/28追記：「JJVNVU#92908681」を「JVNVU#92908681」に修正しました。）

2023年4月に公開されたApache Tomcat 8.5.88、Apache Tomcat 9.0.74およびApache Tomcat 10.1.8ではセキュリティ脆弱性が修正されています。

Apache Commons FileUploadにおけるサービス運用妨害（DoS）の脆弱性が修正されたApache Tomcat 8.5.88、Apache Tomcat 9.0.74およびApache Tomcat 10.1.8が公開されたのは2023年4月ですが、新たに採番されたCVE-2023-28709に関する情報は2023年5月下旬に公開された次第です。

なお、現時点でのApache Tomcatの最新安定バージョンはバージョン10.1.9ですが、Claris FileMaker Server 2023（FileMaker Server 20.1.1）ではJava Web公開エンジンにApache Tomcat 9.0.69が使用されています。

［関連］JVNVU#91253151: Apache TomcatのApache Commons FileUploadにおけるサービス運用妨害（DoS）の脆弱性（Japan Vulnerability Notes）

2023年3月に公開されたRuby 2.7.8をもってRuby 2.7系列の公式サポートが終了しています。

バージョン2.7のサポート終了に伴い、今後Ruby 2.7系列に対するセキュリティパッチは提供されなくなるため、より新しいバージョンのRubyに移行することが強く推奨されます。なお、現時点におけるRubyの最新安定版は、Ruby 2.7.8と同時に公開されたRuby 3.2.2です。

Ruby 3.0系列については、2024年3月末頃に公式サポートが終了する予定となっています。Ruby 3.0系列は、通常メンテナンスフェーズを終了し、セキュリティメンテナンスフェーズに移行しています。セキュリティメンテナンスの期間は1年間で、この間は重大なセキュリティ上の問題への対応のみが行われます。

［関連］Ruby 3.2.2、Ruby 3.1.4、Ruby 3.0.6およびRuby 2.7.8が公開（FAMLog）

2023年2月に公開されたApache Tomcat 8.5.86、Apache Tomcat 9.0.72およびApache Tomcat 10.1.6ではセキュリティ脆弱性が修正されています。

Apache Tomcat 8.5.86、Apache Tomcat 9.0.72およびApache Tomcat 10.1.6では、httpsが設定されたX-Forwarded-Protoヘッダーを含むリクエストをHTTP経由でリバースプロキシから受信し、RemoteIpFilterを使用している場合において、Apache Tomcatが作成するセッションCookieにSecure属性が含まれない問題（CVE-2023-28708）が修正されています。

なお、Apache Tomcat 10.0系列は2022年10月にサポートが終了しており、現在Apache Tomcat 10.0系列を利用している場合にはApache Tomcat 10.1系列へのアップグレードが推奨されています。

［関連］JVNVU#90635957: Apache Tomcatにおける保護されていない認証情報の送信の脆弱性（Japan Vulnerability Notes）

Apache HTTP Server 2.4.56が公開されています。

Apache HTTP ServerはオープンソースのWebサーバーソフトウェアです。2点のセキュリティ脆弱性に対応したApache HTTP Server 2.4.56では、mod_proxy_uwsgiにおけるHTTPレスポンス分割の問題（CVE-2023-27522）と、mod_rewriteとmod_proxyにおけるHTTPリクエスト分割の問題（CVE-2023-25690）が修正されています。

なお、macOSおよびUbuntu 18.04向けのClaris FileMaker ServerではWebサーバーにApache HTTP Serverが内部的に使用されていますが、Ubuntu 20.04ではWebサーバーとしてApache HTTP Serverの代わりにnginxが使用されるようになっています。

［関連］JVNVU#94155938: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート（Japan Vulnerability Notes）

Claris FileMaker Server 19.6.1では、FileMaker Server for LinuxでカスタムWeb公開 with XMLがサポートされるようになっています。

バージョン17以降ではFileMaker Server Admin ConsoleにおけるカスタムWeb公開に関する設定項目がなくなっており、バージョン19.6.1でもその点については特に変わりないため、カスタムWeb公開 with XMLを使用するにはfmsadminコマンドを使用して設定を変更する必要があります。

なお、FileMaker Server 19.5.2の提供が開始された際にカスタムWeb公開 with PHPが今後廃止予定であることがClaris ナレッジベースで案内されていましたが、カスタムWeb公開 with XMLについては特に言及されていませんでした。

［関連］Claris FileMaker Server 19.6.1の提供が開始（FAMLog）、カスタムWeb公開 with PHPの利用が非推奨に（FAMLog）

Apache HTTP Server 2.4.55が公開されています。

Apache HTTP ServerはオープンソースのWebサーバーソフトウェアです。Apache HTTP Server 2.4.55では、mod_proxy、mod_proxy_ajpおよびmod_davのセキュリティ脆弱性が修正されています。

なお、macOSおよびUbuntu 18.04向けのClaris FileMaker ServerではWebサーバーにApache HTTP Serverが内部的に使用されていますが、Ubuntu 20.04ではWebサーバーとしてApache HTTP Serverの代わりにnginxが使用されるようになっています。

［関連］JVNVU#99928083: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート（Japan Vulnerability Notes）