FAMLog

OpenSSL 1.1.1sとOpenSSL 3.0.7が公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 3.0.7では、X.509証明書の検証を行う際にバッファオーバーフローが発生する可能性がある問題（CVE-2022-3602およびCVE-2022-3786）が修正されています。

なお、OpenSSL 1.1.1系列については当該脆弱性の影響を受けないとのことです。

［関連］JVNVU#92673251: OpenSSLに複数の脆弱性（Japan Vulnerability Notes）

OpenSSL 1.1.1rとOpenSSL 3.0.6が公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 3.0.6では、カスタム暗号作成をサポートするEVP_CIPHER_meth_new()関数および関連する関数にてカスタム暗号を誤って処理することに起因しNULL暗号化が発生する問題（CVE-2022-3358）が修正されています。

なお、OpenSSL 1.1.1系列については当該脆弱性の影響を受けないとのことです。

［関連］JVNVU#92530096: OpenSSLのNID_undefを使用したカスタム暗号におけるNULL暗号化の脆弱性（Japan Vulnerability Notes）

（2022/10/13追記：重大な不具合が検出されたためOpenSSL 1.1.1rとOpenSSL 3.0.6の公開が取り下げられており、不具合に対応する新バージョンの公開を現在準備中であるとのことです。）

Apache Tomcat 8.5.78、Apache Tomcat 9.0.62およびApache Tomcat 10.0.20ではセキュリティ脆弱性が修正されています。

Apache Tomcat 8.5.78、Apache Tomcat 9.0.62およびApache Tomcat 10.0.20では、Http11Processorインスタンスにて競合状態が発生して誤ったクライアントへのレスポンスを行うことで情報漏えいとなる脆弱性（CVE-2021-43980）が修正されています。この脆弱性は、 Apache Tomcat 10で導入されて、Apache Tomcat 9.0.47以降にバックポートされたブロッキング処理の簡素化実装によって生じた脆弱性であるとのことです。

なお、現時点でのApache Tomcatの最新安定バージョンはバージョン10.1.0ですが、Claris FileMaker Server 19.5.4ではJava Web公開エンジンにApache Tomcat 9.0.45が使用されています。

［関連］JVNVU#98868043: Apache TomcatにHttp11Processorインスタンスにおける競合状態による情報漏えいの脆弱性（Japan Vulnerability Notes）

curl 7.85.0が公開されています。

curlは、さまざまな通信規格に対応しているデータ転送ソフトウェアであり、Claris FileMakerでも利用されています。curl 7.85.0では1点のセキュリティ脆弱性が修正されています。

なお、バージョン16以降のClaris FileMakerでは［URL から挿入］スクリプトステップでさまざまなcURLオプションを指定できるようになっています。Claris FileMaker 19の［URL から挿入］スクリプトステップでは、--cert-type、--cert（-E）、--key-type、--key、--passおよび--version（-V）オプションが新たに利用できるようになっています。

OpenSSL 1.1.1qとOpenSSL 3.0.5が公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 1.1.1qおよびOpenSSL 3.0.5では、32ビットのx86プラットフォーム向けAES OCBモードにおいて、AES-NIアセンブリ最適化実装を使用するとデータが暗号化されない場合がある脆弱性（CVE-2022-2097）が修正されています。

なお、OpenSSL 3.0.5では、AVX512IFMA命令をサポートするX86_64 CPUのRSA実装不備により、2048ビットの秘密鍵を使用すると、計算中にメモリー破壊が発生する脆弱性（CVE-2022-2274）も修正されています。

［関連］JVNVU#96381485: OpenSSLに複数の脆弱性（Japan Vulnerability Notes）

OpenSSL 1.1.1pとOpenSSL 3.0.4が公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 1.1.1pおよびOpenSSL 3.0.4では、OpenSSLのc_rehashスクリプトにおけるコマンドインジェクションの脆弱性（CVE-2022-2068）が修正されています。

なお、OpenSSL 1.1.1系列の最新バージョンはOpenSSL 1.1.1pですが、Claris FileMaker Pro 19.5.1、Claris FileMaker Go 19.5.1およびClaris FileMaker Server 19.5.1ではOpenSSL 1.1.1nが使用されています。

［関連］JVNVU#92867820: OpenSSLのc_rehashスクリプトにおけるコマンドインジェクションの脆弱性（Japan Vulnerability Notes）

macOS Catalina 10.15.7用のSecurity Update 2022-004の提供が開始されています。

macOS Catalina 10.15.7用のSecurity Update 2022-004では、複数のセキュリティ脆弱性が修正されていて、LibreSSLやOpenSSLにおけるセキュリティ脆弱性（CVE-2022-0778）も修正されています。また、Apache HTTP Serverがバージョン2.4.53に更新されています。

なお、FileMaker Serverはバージョン18.0.3以降でmacOS Catalinaに対応していて、Claris FileMaker Server 19もmacOS Catalinaをサポートしています。

［関連］macOS Monterey 12.4の提供が開始（FAMLog）、macOS Big Sur 11.6.6の提供が開始（FAMLog）

macOS Big Sur 11.6.6の提供が開始されています。

macOS Big Sur 11.6.6では複数のセキュリティ脆弱性が修正されていて、LibreSSLやOpenSSLにおけるセキュリティ脆弱性（CVE-2022-0778）も修正されています。また、Apache HTTP Serverがバージョン2.4.53に更新されています。

なお、Claris FileMaker Serverはバージョン19.1.2以降であればmacOS Big Surと互換性があり、バージョン19.3.1以降でユニバーサルバイナリとしてAppleシリコン搭載Macに対応するようになっています。

［関連］macOS Monterey 12.4の提供が開始（FAMLog）

macOS Monterey 12.4の提供が開始されています。

macOS Monterey 12.4では複数のセキュリティ脆弱性が修正されていて、LibreSSLやOpenSSLにおけるセキュリティ脆弱性（CVE-2022-0778）も修正されています。また、Apache HTTP Serverがバージョン2.4.53に更新されています。

Claris FileMaker ProおよびClaris FileMaker Serverはバージョン19.4.1以降で正式にmacOS Montereyに対応するようになっています。なお、macOS版のFileMaker Server 19.4.1以降では新規インストール時にPHPがインストールされなくなっている点に留意する必要があります。

［関連］Apache HTTP Server 2.4.53が公開（FAMLog）、OpenSSL 1.1.1nおよびOpenSSL 3.0.2が公開（FAMLog）

Apache Tomcat 8.5.76およびApache Tomcat 9.0.21ではWebSocket接続の実装に起因するセキュリティ脆弱性（CVE-2022-25762）が修正されています。

Apache Tomcat 8.5.76が公開されたのは2022年2月、Apache Tomcat 9.0.21が公開されたのは2019年6月ですが、CVE-2022-25762に関する情報は今月になって公開された次第です。WebアプリケーションにWebSocket接続のクローズと同時にWebSocketメッセージを送信した場合、ソケットが閉じられた後もソケットを使用し続ける可能性があったことで、予期せぬエラーが発生してセキュリティ上の問題が引き起こされる可能性があったとのことです。

なお、現時点でのApache Tomcatの最新安定バージョンはバージョン10.0.21ですが、Claris FileMaker Server 19.4.2ではJava Web公開エンジンにApache Tomcat 9.0.45が使用されています。

［関連］JVNVU#94243578: Apache TomcatにおけるWebSocket接続の実装に関する問題（Japan Vulnerability Notes）