FAMLog

Apache HTTP Server 2.4.46が公開されています。

Apache HTTP ServerはオープンソースのWebサーバーソフトウェアであり、macOS版のClaris FileMaker ServerではWebサーバーにApache HTTP Serverが内部的に利用されています。Apache HTTP Server 2.4.46では、mod_http2の脆弱性とmod_proxy_uwsgiの脆弱性が修正されています。

なお、OpenSSL 1.1.1を併用してApache HTTP ServerでTLS 1.3に対応させる場合には、バージョン2.4.43以降を使用する必要があるとのことです。

PHP 7.2.33、PHP 7.3.21およびPHP 7.4.9が公開されています。

PHP 7.2.33、PHP 7.3.21およびPHP 7.4.9ではそれぞれセキュリティ脆弱性の修正が行われています。PHPはバージョン8.0系統の開発も進められており、現在バージョンPHP 8.0.0 Beta 1が公開されている状況です。

なお、PHP 7.2は2020年11月30日まで、PHP 7.3は2021年12月6日まで、PHP 7.4は2022年11月28日までセキュリティ修正が継続される予定となっています。

Apache Tomcat 7.0.105、Apache Tomcat 8.5.57およびApache Tomcat 9.0.37が2020年7月上旬に公開されています。

Apache Tomcat 7.0.105、Apache Tomcat 8.5.57およびApache Tomcat 9.0.37では、WebSocketフレームのペイロード長が適切に検証されずサービス運用妨害（DoS）状態になる脆弱性（CVE-2020-13935）が修正されています。Apache Tomcat 8.5.57とApache Tomcat 9.0.37では、遠隔の第三者からh2c direct connectionによるHTTP/2へのアップグレードの要求が大量に行われるとOutOfMemoryExceptionが発生しサービス運用妨害（DoS）状態になる脆弱性（CVE-2020-13934）も修正されています。

現時点でのApache Tomcatの最新安定バージョンはバージョン9.0.37です。なお、Claris FileMaker Server 19.0.1やFileMaker Server 18.0.4ではJava Web公開エンジンにApache Tomcat 8.5.46が使用されています。

［関連］JVNVU#96390265:   Apache Tomcat における複数のサービス運用妨害 (DoS) の脆弱性（Japan Vulnerability Notes）

PHP 7.2.32、PHP 7.3.20およびPHP 7.4.8が公開されています。

PHP 7.2.32、PHP 7.3.20およびPHP 7.4.8ではそれぞれセキュリティ脆弱性の修正が行われています。なお、PHP 7.2.32ではWindows版が更新されていますが、PHP自体のソースコードは特に変更されていないとのことです。

PHP 7.1系統の保守は2019年12月1日に終了しており、今後はバージョン7.2系列以降にアップグレードする必要がある状況です。PHPはバージョン8.0系統の開発も進められており、現在バージョンPHP 8.0.0 Alpha 2が公開されている状況です。

curl 7.71.1が2020年7月上旬に公開されています。

curlは、さまざまな通信規格に対応しているデータ転送ソフトウェアであり、Claris FileMakerでも利用されています。バージョン7.71.1では不具合の修正が行われており、セキュリティ修正は含まれていません。

なお、バージョン16以降のClaris FileMakerでは［URL から挿入］スクリプトステップでさまざまなcURLオプションを指定できるようになっています。Claris FileMaker 19の［URL から挿入］スクリプトステップでは、--cert-type、--cert（-E）、--key-type、--key、--passおよび--version（-V）オプションが新たに利用できるようになっています。

Apache Tomcat 8.5.56とApache Tomcat 9.0.36が2020年6月上旬に公開されています。

Apache Tomcat 8.5.56およびApache Tomcat 9.0.36では、HTTP/2プロトコルの処理においてリソース制御が適切に行われておらず、遠隔の第三者によってサービス運用妨害（DoS）攻撃を受ける可能性がある脆弱性（CVE-2020-11996）が修正されています。

現時点でのApache Tomcatの最新安定バージョンはバージョン9.0.36です。なお、FileMaker Server 19.0.1やFileMaker Server 18.0.4ではJava Web公開エンジンにApache Tomcat 8.5.46が使用されています。

［関連］JVNVU#99474519: Apache Tomcat におけるサービス運用妨害 (DoS) の脆弱性（Japan Vulnerability Notes）、Apache Tomcat 8 vulnerabilities（Apache Tomcat）

curl 7.71.0が公開されています。

curlは、さまざまな通信規格に対応しているデータ転送ソフトウェアであり、Claris FileMakerでも利用されています。curl 7.71.0では2点のセキュリティ脆弱性が修正されています。

なお、バージョン16以降のClaris FileMakerでは［URL から挿入］スクリプトステップでさまざまなcURLオプションを指定できるようになっています。Claris FileMaker 19の［URL から挿入］スクリプトステップでは、--cert-type、--cert（-E）、--key-type、--key、--passおよび--version（-V）オプションが新たに利用できるようになっています。

［関連］FileMaker Pro 19 - [URL から挿入] スクリプトステップの新しい cURL オプション（Claris ナレッジベース）

PHP 7.3.19およびPHP 7.4.7が公開されています。

PHP 7.3.19とPHP 7.4.7では不具合の修正が行われています。PHP 7.2系統の更新が行われていないことから、今回のリリースには特にセキュリティ上の修正は含まれていないものと推測されます。PHP 7.1系統の保守は2019年12月に終了しており、今後はバージョン7.2系列もしくはバージョン7.3系列以降にアップグレードする必要がある状況です。

なお、PHP 7.2は2020年11月30日まで、PHP 7.3は2021年12月6日まで、PHP 7.4は2022年11月28日までセキュリティ修正が継続される予定となっています。

CakePHP 2.10.21が2020年5月中旬に公開されています。

CakePHP 2.10.21は、バージョン2系のAPI互換となる保守リリースです。PHP 7.4との互換性が改善されていて、CakeSocketでTLS 1.3がサポートされるようになっています。CakePHP 2.10系統は、CakePHP 4.0.0がリリースされた後12ヶ月間不具合修正をサポート、およびCakePHP 4.0.0がリリースされた後18ヶ月間セキュリティ修正をサポートする予定となっています。

CakePHP 4.0.0は2019年12月中旬に公開されたので、CakePHP 2.10系統のセキュリティ修正は2021年6月中旬頃まで継続されると見込まれます。

Apache Tomcat 7.0.104、Apache Tomcat 8.5.55およびApache Tomcat 9.0.35が2020年5月中旬に公開されています。

Apache Tomcat 7.0.104、Apache Tomcat 8.5.55およびApache Tomcat 9.0.35では、1点のセキュリティ脆弱性（CVE-2020-9484）が修正されています。

現時点でのApache Tomcatの最新安定バージョンはバージョン9.0.35です。なお、FileMaker Server 19.0.1やFileMaker Server 18.0.4ではJava Web公開エンジンにApache Tomcat 8.5.46が使用されています。

［関連］JVNVU#98086086:  Apache Tomcat に安全でないデシリアライゼーションの問題（Japan Vulnerability Notes）