FAMLog

WebサーバーとApache Tomcatの接続に使用されるコネクターであるApache Tomcat JK Connector 1.2.49が2023年9月中旬に公開されています。

Apache Tomcat JK Connector 1.2.49では、特定の条件下で発生する情報漏洩の脆弱性（CVE-2023-41081）が修正されています。

なお、Mac版のFileMaker Server 7からFileMaker Server 11まではApache Tomcat JK Connector 1.2をベースにしたものがWebサーバーモジュールで使用されていました。macOS版のClaris FileMaker Server 2023ではmod_proxy_ajp.soが組み込まれたApache HTTP Serverを利用していますが、mod_proxy_ajpやApache Tomcat JK Connectorは特に内部では使われてはいません。

［関連］JVNVU#96802408: Apache Tomcat Connectors（mod_jk）における情報漏えいの脆弱性（Japan Vulnerability Notes）

curl 8.3.0が公開されています。

curlは、さまざまな通信規格に対応しているデータ転送ソフトウェアであり、Claris FileMakerでも利用されています。curl 8.3.0では1点のセキュリティ脆弱性（CVE-2023-38039）が修正されています。

なお、Claris FileMaker Pro 2023（20.1.2）において、［URL から挿入］スクリプトステップのcURL オプションで-Vもしくは--versionオプションを使用して取得できるlibcurlのバージョン情報は次の通りです。

［出力例］
libcurl/7.83.0-DEV OpenSSL/3.0.8 zlib/1.2.11 libssh2/1.9.0_DEV
Features: AsynchDNS IPv6 Largefile NTLM NTLM_WB SSL libz TLS-SRP UnixSockets HTTPS-proxy alt-svc HSTS

PHP 8.1系列は2024年11月に公式のセキュリティサポートが終了する予定となっています。

PHP 8.1系列のアクティブサポートは2023年11月に終了する予定であり、重大なセキュリティに関わる修正が行われるセキュリティサポートは2024年11月25日までの予定となっています。PHPはバージョン8.3系統の開発も進められており、現在バージョン8.3.0 RC1が公開されている状況です。

PHP 8.0系統の保守は2023年11月26日に終了する予定であり、現時点でのPHPの最新安定バージョンはバージョン8.2.10です。なお、下位互換性のない変更点や推奨されなくなる機能もあるため、PHP 8.2に移行する場合にはあらかじめ移行ガイドで各種変更点を確認してから移行作業を行う必要があります。

［関連］PHP 8.0系列の公式セキュリティサポート終了予定日（FAMLog）

PHP 8.1.23とPHP 8.2.10が公開されています。

PHP 8.1.23とPHP 8.2.10では不具合の修正が行われています。PHP 8.0系列のアクティブサポートは2022年11月にすでに終了しており、重大なセキュリティに関わる修正が行われるセキュリティサポートは2023年11月26日までの予定となっています。PHPはバージョン8.3系統の開発も進められており、現在バージョン8.3.0 RC 1が公開されている状況です。

なお、PHP 8.1は2024年11月25日まで、PHP 8.2は2025年12月8日までセキュリティ修正が継続される予定となっています。

Apache Tomcat 8.5.93、Apache Tomcat 9.0.80およびApache Tomcat 10.1.13が公開されています。

Apache Tomcat 8.5.93、Apache Tomcat 9.0.80およびApache Tomcat 10.1.13では、ROOTディレクトリに配置されたデフォルトのWebアプリケーションがFORM認証を使用するように設定されている場合に発生していた、オープンリダイレクトの脆弱性（CVE-2023-41080）が修正されています。

なお、現時点でのApache Tomcatの最新安定バージョンはバージョン10.1.13ですが、Claris FileMaker Server 2023（FileMaker Server 20.1.2）ではJava Web公開エンジンにApache Tomcat 9.0.69が使用されています。

［関連］JVNVU#93446549: Apache Tomcatにおけるオープンリダイレクトの脆弱性（Japan Vulnerability Notes）

PHP 8.2.9が公開されています。

PHP 8.2.9ではセキュリティ脆弱性の修正が行われています。PHP 8.0系列のアクティブサポートは2022年11月にすでに終了しており、重大なセキュリティに関わる修正が行われるセキュリティサポートは2023年11月26日までの予定となっています。PHPはバージョン8.3系統の開発も進められており、現在バージョン8.3.0 Beta 3が公開されています。

なお、Windows版のPHP 8.2.9にはGH-11854に関する修正は含まれていないとのことです。

［関連］PHP 8.0.30とPHP 8.1.22が公開（FAMLog）

PHP 8.0.30とPHP 8.1.22が2023年8月上旬に公開されています。

PHP 8.0.30とPHP 8.1.22ではそれぞれセキュリティ脆弱性の修正が行われています。PHP 8.0系列のアクティブサポートは2022年11月にすでに終了しており、重大なセキュリティに関わる修正が行われるセキュリティサポートは2023年11月26日までの予定となっています。PHPはバージョン8.3系統の開発も進められており、現在バージョン8.3.0 Beta 2が公開されています。

なお、2023年8月14日現在、2023年8月に公開される予定であったPHP 8.2系統の修正更新版は公開されていない状況です。

［関連］PHP 8.2.9が公開（FAMLog）

（2023/08/18追記：関連記事を追加しました。2023年8月16日付けでPHP 8.2.9が公開されていました。）

curl 8.2.1が2023年7月下旬に公開されています。

curlは、さまざまな通信規格に対応しているデータ転送ソフトウェアであり、Claris FileMakerでも利用されています。バージョン8.2.1では不具合の修正が行われており、セキュリティ修正は含まれていません。

なお、Claris FileMaker Pro 2023（20.1.2）において、［URL から挿入］スクリプトステップのcURL オプションで-Vもしくは--versionオプションを使用して取得できるlibcurlのバージョン情報は次の通りです。

［出力例］
libcurl/7.83.0-DEV OpenSSL/3.0.8 zlib/1.2.11 libssh2/1.9.0_DEV
Features: AsynchDNS IPv6 Largefile NTLM NTLM_WB SSL libz TLS-SRP UnixSockets HTTPS-proxy alt-svc HSTS

curl 8.2.0が公開されています。

curlは、さまざまな通信規格に対応しているデータ転送ソフトウェアであり、Claris FileMakerでも利用されています。curl 8.2.0では1点のセキュリティ脆弱性（CVE-2023-32001）が修正されています。

なお、Claris FileMaker Pro 2023（20.1.2）において、［URL から挿入］スクリプトステップのcURL オプションで-Vもしくは--versionオプションを使用して取得できるlibcurlのバージョン情報は次の通りです。

［出力例］
libcurl/7.83.0-DEV OpenSSL/3.0.8 zlib/1.2.11 libssh2/1.9.0_DEV
Features: AsynchDNS IPv6 Largefile NTLM NTLM_WB SSL libz TLS-SRP UnixSockets HTTPS-proxy alt-svc HSTS

PHP 8.1.21とPHP 8.2.8が公開されています。

PHP 8.1.21とPHP 8.2.8では不具合の修正が行われています。PHP 8.0系列のアクティブサポートは2022年11月にすでに終了しており、重大なセキュリティに関わる修正が行われるセキュリティサポートは2023年11月26日までの予定となっています。PHPはバージョン8.3系統の開発も進められており、現在バージョン8.3.0 Alpha 3が公開されている状況です。

なお、PHP 8.1は2024年11月25日まで、PHP 8.2は2025年12月8日までセキュリティ修正が継続される予定となっています。