FAMLog

OpenSSL 1.1.1nおよびOpenSSL 3.0.2が2022年3月中旬に公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 1.1.1nおよびOpenSSL 3.0.2では、OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題（CVE-2022-0778）が修正されています。

なお、OpenSSL 1.1.1系列の最新バージョンはOpenSSL 1.1.1nですが、FileMaker Pro 19.4およびFileMaker Server 19.4にはOpenSSL 1.1.1lが使用されています。

［関連］JVNVU#90813125: OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題（Japan Vulnerability Notes）

Apache HTTP Server 2.4.53が公開されています。

Apache HTTP Server 2.4.53では、HTTP Request Smuggling攻撃が可能になる脆弱性（CVE-2022-22720）や、mod_sedにおける整数オーバーフローまたはラップアラウンドおよび境界外書き込みの脆弱性（CVE-2022-23943）などが修正されています。

なお、Apache HTTP ServerはオープンソースのWebサーバーソフトウェアであり、macOS版およびLinux版のClaris FileMaker ServerではWebサーバーにApache HTTP Serverが内部的に使用されています。

［関連］JVNVU#99602154: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート（Japan Vulnerability Notes）、Q&A: Apache Server をバージョン 2.4.51 にアップグレード後、FileMaker Server へのファイルのアップロードが失敗する、もしくは遅くなる（Claris ナレッジベース）

Apache Tomcat 8.5.75、Apache Tomcat 9.0.58およびApache Tomcat 10.0.16が2022年1月に公開されています。

Apache Tomcat 8.5.75、Apache Tomcat 9.0.58およびApache Tomcat 10.0.16では、Time-of-check Time-of-use（TOCTOU）競合状態による権限昇格の脆弱性（CVE-2022-23181）が修正されています。 当該脆弱性は、FileStoreを利用し、セッションを永続化する構成にしている場合のみ影響を受けるとのことです。

なお、現時点でのApache Tomcatの最新安定バージョンはバージョン10.0.16ですが、Claris FileMaker Server 19.4.2ではJava Web公開エンジンにApache Tomcat 9.0.45が使用されています。

［関連］JVNVU#93604797: Apache TomcatにTime-of-check Time-of-use（TOCTOU）競合状態による権限昇格の脆弱性（Japan Vulnerability Notes）

Apache HTTP Server 2.4.52が公開されています。

Apache HTTP Server 2.4.52では、mod_luaにおけるバッファーオーバーフローの脆弱性（CVE-2021-44790）と、ProxyRequestsディレクティブを用いてフォワードプロキシとして設定されている場合にNULLポインタ逆参照やサーバーサイド・リクエスト・フォージェリ（SSRF）が可能となってしまう脆弱性（CVE-2021-44224）が修正されています。

なお、Apache HTTP ServerはオープンソースのWebサーバーソフトウェアであり、macOS版およびLinux版のClaris FileMaker ServerではWebサーバーにApache HTTP Serverが内部的に使用されています。

［関連］JVNVU#97805418: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート（Japan Vulnerability Notes）

OpenSSL 1.1.1mおよびOpenSSL 3.0.1が2021年12月中旬に公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 3.0.1では1点のセキュリティ脆弱性（CVE-2021-4044）が修正されていますが、OpenSSL 3.0.1で修正された当該脆弱性はOpenSSL 1.1.1系列には影響はないとのことです。

なお、Claris FileMaker Pro 19.4.1およびClaris FileMaker Server 19.4.1では、使用されているOpenSSLのバージョンがバージョン1.1.1lに更新されています。

［関連］OpenSSL 3.0.0が公開（FAMLog）

Apache Log4jのセキュリティ脆弱性とClaris FileMakerに関する情報がClaris ナレッジベースで公開されています。

Apache Log4jはJavaベースのロギングユーティリティフレームワークで、Apache Software Foundationによって提供されています。バージョン2.14.1以前のApache Log4j2には、遠隔から攻撃者が任意のコードを実行できる脆弱性が存在し、当該脆弱性がすでに攻撃に広く利用されている状況になっています。

Claris ナレッジベースの記事では、現在サポート対象であるClaris FileMaker 19はLog4j2の脆弱性の影響はないことがClaris International Inc.によって確認されたという記述がありますが、メーカーサポートが終了しているバージョン18以前についてはサポート中の現行バージョンへのアップグレードを推奨するという言及に留まっています。

［関連］Q&A: Claris 製品と Apache Log4j の脆弱性（Claris ナレッジベース）、Claris FileMakerとApache Log4jのセキュリティ脆弱性（CVE-2021-44228）に関するご案内（株式会社エミック）、Claris FileMakerとApache Log4jのセキュリティ脆弱性（CVE-2021-44228）に関するご案内（続報）（株式会社エミック）

（2022年2月26日追記：Claris ナレッジベースにおける記事のタイトルが変更されていたのでタイトルを「CVE-2021-44228 - Apache Log4j 脆弱性の Claris 製品への影響」から「Q&A: Claris 製品と Apache Log4j の脆弱性」に変更し、さらに関連記事を1つ追加しました。）

Ruby 3.0.3、Ruby 2.7.5およびRuby 2.6.9が公開されています。

Ruby 3.0.3およびRuby 2.7.5では3点のセキュリティ脆弱性（CVE-2021-41816、CVE-2021-41817、CVE-2021-41819）が修正されていて、Ruby 2.6.9では2点のセキュリティ脆弱性（CVE-2021-41817、CVE-2021-41819）が修正されています。

なお、Ruby 2.6系列は重大なセキュリティ上の問題への対応のみが行われるセキュリティメンテナンスフェーズにあり、2022年3月末頃を目処にRuby 2.6系列のセキュリティメンテナンスならびに公式サポートが終了する予定となっています。

PHP 7.3.32が2021年10月下旬に公開されています。

PHP 7.3.32ではPHP-FPMのセキュリティ脆弱性（CVE-2021-21703）が修正されています。なお、PHP 7.3系列のアクティブサポートは2020年12月にすでに終了しており、重大なセキュリティに関わる修正が行われるセキュリティサポートは2021年12月6日までの予定となっています。

PHPはバージョン8.1系統の開発も進められており、現在バージョン8.1.0 RC 5が公開されている状況です。

［関連］PHP 7.4.25とPHP 8.0.12が公開（FAMLog）

（2022/01/11追記：「バージョンPHP 8.1.0 RC 5」を「バージョン8.1.0 RC 5」に変更・修正しました。）

PHP 7.4.25とPHP 8.0.12が公開されています。

PHP 7.4.25とPHP 8.0.12ではPHP-FPMのセキュリティ脆弱性（CVE-2021-21703）が修正されていますが、2021年10月25日時点ではPHP 7.3系列は更新されていません。なお、PHP 7.3系列のアクティブサポートは2020年12月にすでに終了しており、重大なセキュリティに関わる修正が行われるセキュリティサポートは2021年12月6日までの予定となっています。

PHPはバージョン8.1系統の開発も進められており、現在バージョンPHP 8.1.0 RC 4が公開されている状況です。

［関連］PHP 7.3.32が公開（FAMLog）

（2021/11/05追記：関連記事を追加しました。CVE-2021-21703が修正されたPHP 7.3.32が2021年10月下旬に公開されていました。）

（2022/01/11追記：「バージョンPHP 8.1.0 RC 4」を「バージョン8.1.0 RC 4」に変更・修正しました。）

Apache HTTP Server 2.4.51が公開されています。

Apache HTTP Server 2.4.51では、Apache HTTP Server 2.4.49および2.4.50に存在していた脆弱性が修正されています。当該脆弱性はCVE-2021-41773の修正が不十分であったため発生した問題であるとのことです。

なお、Apache HTTP ServerはオープンソースのWebサーバーソフトウェアであり、macOS版およびLinux版のClaris FileMaker ServerではWebサーバーにApache HTTP Serverが内部的に使用されています。

［関連］JVN#51106450:  Apache HTTP Server におけるディレクトリトラバーサルの脆弱性（Japan Vulnerability Notes）、Apache HTTP Server 2.4.50が公開（FAMLog）