FAMLog

Apache Tomcat 8.5.78、Apache Tomcat 9.0.62およびApache Tomcat 10.0.20が2022年4月上旬に公開されています。

Tomcat Native Libraryがバージョン1.2.32に更新されているApache Tomcat 8.5.78、Apache Tomcat 9.0.62およびApache Tomcat 10.0.20では、Spring Frameworkにおける不適切なデータバインディング処理による任意コード実行の脆弱性（CVE-2022-22965）の影響を緩和する対策が追加されています。

なお、Spring Frameworkを使用していないClaris FileMakerはCVE-2022-22965（Spring4Shell）の影響を受けない旨がClaris ナレッジベースで今月案内されていました。

［関連］Spring4Shellの脆弱性（CVE-2022-22965）とClaris FileMaker（FAMLog）

2022年4月に公開されたRuby 2.6.10をもってRuby 2.6系列の公式サポートが終了しています。

バージョン2.6のサポート終了に伴い、今後Ruby 2.6系列に対するセキュリティパッチは提供されなくなるため、より新しいバージョンのRubyに移行することが強く推奨されます。なお、現時点におけるRubyの最新安定版は、Ruby 2.6.10と同時に公開されたRuby 3.1.2です。

Ruby 2.7系列については、2023年3月末頃に公式サポートが終了する予定となっています。Ruby 2.7系列は、通常メンテナンスフェーズを終了し、セキュリティメンテナンスフェーズに移行しています。セキュリティメンテナンスの期間は1年間で、この間は重大なセキュリティ上の問題への対応のみが行われます。

［関連］Ruby 3.1.2、Ruby 3.0.4、Ruby 2.7.6およびRuby 2.6.10が公開（FAMLog）

Spring Frameworkの脆弱性（CVE-2022-22965）とClaris FileMakerに関する情報がClaris ナレッジベースで公開されています。

Spring Frameworkにおける不適切なデータバインディング処理による任意コード実行の脆弱性（CVE-2022-22965）は、脆弱性の通称としてSpring4ShellまたはSpringShellが用いられています。遠隔から攻撃者が任意のコードを実行できる当該脆弱性はすでに攻撃に広く利用されている状況になっています。

Claris ナレッジベースの記事によると、該当するフレームワークを使用していないClaris FileMakerはSpring4Shell（CVE-2022-22965）の影響を受けないとのことです。

［関連］Claris FileMaker 製品と Spring4Shell の脆弱性（Claris ナレッジベース）、JVNVU#94675398: Spring Frameworkにおける不適切なデータバインディング処理による任意コード実行の脆弱性（Japan Vulnerability Notes）

OpenSSL 1.1.1nおよびOpenSSL 3.0.2が2022年3月中旬に公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 1.1.1nおよびOpenSSL 3.0.2では、OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題（CVE-2022-0778）が修正されています。

なお、OpenSSL 1.1.1系列の最新バージョンはOpenSSL 1.1.1nですが、FileMaker Pro 19.4およびFileMaker Server 19.4にはOpenSSL 1.1.1lが使用されています。

［関連］JVNVU#90813125: OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題（Japan Vulnerability Notes）

Apache HTTP Server 2.4.53が公開されています。

Apache HTTP Server 2.4.53では、HTTP Request Smuggling攻撃が可能になる脆弱性（CVE-2022-22720）や、mod_sedにおける整数オーバーフローまたはラップアラウンドおよび境界外書き込みの脆弱性（CVE-2022-23943）などが修正されています。

なお、Apache HTTP ServerはオープンソースのWebサーバーソフトウェアであり、macOS版およびLinux版のClaris FileMaker ServerではWebサーバーにApache HTTP Serverが内部的に使用されています。

［関連］JVNVU#99602154: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート（Japan Vulnerability Notes）、Q&A: Apache Server をバージョン 2.4.51 にアップグレード後、FileMaker Server へのファイルのアップロードが失敗する、もしくは遅くなる（Claris ナレッジベース）

2022年1月25日（火）正午から、Claris FileMaker ServerにおけるMicrosoft Azure Active Directoryを利用したOAuthについて紹介するオンラインセミナーを開催します。

今回は、FileMaker Server管理者向けに、FileMaker ServerにおいてAzure Active Directoryを利用したOAuthを有効化する際のポイントや参考情報について解説する予定です。

エミックオンラインセミナー
「Claris FileMaker Server と Azure Active Directory の連携」
開催日時：2022年1月25日（火）12:00〜12:45
参加費：無料
主催：株式会社エミック

本セミナーはZoomのウェビナー機能を用いて実施します。視聴は無料ですが事前のお申し込みが必要です。

詳細については次のページをご覧ください。
https://emiconlineseminar202201.peatix.com/

Claris FileMaker Pro 19.4.1ではmacOS Montereyで利用できるようになったショートカットがサポートされるようになっています。

バージョン19.4.1では、Claris FileMaker Go 19と同様に、macOS Montereyで実装されたショートカットでFileMaker ProのFileMakerスクリプトを実行できるようになっています。ショートカットに登録することでSiriの音声コマンド経由でスクリプトを起動することも可能です。

なお、ショートカットでClaris FileMakerのスクリプトを実行させる場合には、FileMaker Pro 19で事前にスクリプトをショートカットに登録できるようにし、さらにfmurlscript拡張アクセス権を有効にしておく必要があります。

［関連］Claris FileMaker Go 19の新機能：Siri ショートカットのサポート（FAMLog）

Apache HTTP Server 2.4.52が公開されています。

Apache HTTP Server 2.4.52では、mod_luaにおけるバッファーオーバーフローの脆弱性（CVE-2021-44790）と、ProxyRequestsディレクティブを用いてフォワードプロキシとして設定されている場合にNULLポインタ逆参照やサーバーサイド・リクエスト・フォージェリ（SSRF）が可能となってしまう脆弱性（CVE-2021-44224）が修正されています。

なお、Apache HTTP ServerはオープンソースのWebサーバーソフトウェアであり、macOS版およびLinux版のClaris FileMaker ServerではWebサーバーにApache HTTP Serverが内部的に使用されています。

［関連］JVNVU#97805418: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート（Japan Vulnerability Notes）

セキュリティ脆弱性の修正を含んだSafari 15.2の提供が2021年12月中旬に開始されています。

WebKitにおける複数の脆弱性が修正されたSafari 15.2は、macOS Big SurおよびmacOS Catalinaで利用できます。同時に公開されたmacOS Monterey 12.1にもSafari 15.2が含まれています。

なお、macOS Mojave 10.14用のSafari 15は提供されておらず、macOS Catalina以降にアップグレードすることが推奨される状況になっています。

［関連］macOS Monterey 12.1の提供が開始（FAMLog）

Apache Log4jのセキュリティ脆弱性とClaris FileMakerに関する情報がClaris ナレッジベースで公開されています。

Apache Log4jはJavaベースのロギングユーティリティフレームワークで、Apache Software Foundationによって提供されています。バージョン2.14.1以前のApache Log4j2には、遠隔から攻撃者が任意のコードを実行できる脆弱性が存在し、当該脆弱性がすでに攻撃に広く利用されている状況になっています。

Claris ナレッジベースの記事では、現在サポート対象であるClaris FileMaker 19はLog4j2の脆弱性の影響はないことがClaris International Inc.によって確認されたという記述がありますが、メーカーサポートが終了しているバージョン18以前についてはサポート中の現行バージョンへのアップグレードを推奨するという言及に留まっています。

［関連］Q&A: Claris 製品と Apache Log4j の脆弱性（Claris ナレッジベース）、Claris FileMakerとApache Log4jのセキュリティ脆弱性（CVE-2021-44228）に関するご案内（株式会社エミック）、Claris FileMakerとApache Log4jのセキュリティ脆弱性（CVE-2021-44228）に関するご案内（続報）（株式会社エミック）

（2022年2月26日追記：Claris ナレッジベースにおける記事のタイトルが変更されていたのでタイトルを「CVE-2021-44228 - Apache Log4j 脆弱性の Claris 製品への影響」から「Q&A: Claris 製品と Apache Log4j の脆弱性」に変更し、さらに関連記事を1つ追加しました。）