FAMLog

Apache Tomcat 8.5.78、Apache Tomcat 9.0.62およびApache Tomcat 10.0.20が2022年4月上旬に公開されています。

Tomcat Native Libraryがバージョン1.2.32に更新されているApache Tomcat 8.5.78、Apache Tomcat 9.0.62およびApache Tomcat 10.0.20では、Spring Frameworkにおける不適切なデータバインディング処理による任意コード実行の脆弱性（CVE-2022-22965）の影響を緩和する対策が追加されています。

なお、Spring Frameworkを使用していないClaris FileMakerはCVE-2022-22965（Spring4Shell）の影響を受けない旨がClaris ナレッジベースで今月案内されていました。

［関連］Spring4Shellの脆弱性（CVE-2022-22965）とClaris FileMaker（FAMLog）

Ruby 3.1.2、Ruby 3.0.4、Ruby 2.7.6およびRuby 2.6.10が公開されています。

Ruby 3.1.2およびRuby 3.0.4では2点のセキュリティ脆弱性（CVE-2022-28738、CVE-2022-28739）が修正されていて、Ruby 2.7.6およびRuby 2.6.10では1点のセキュリティ脆弱性（CVE-2022-28739）が修正されています。

なお、今回公開されたRuby 2.6.10をもってRuby 2.6系列の公式サポートが終了しています。バージョン2.6のサポート終了に伴い、今後Ruby 2.6系列に対するセキュリティパッチは提供されなくなるため、より新しいバージョンのRubyに移行することが強く推奨されます。

Spring Frameworkの脆弱性（CVE-2022-22965）とClaris FileMakerに関する情報がClaris ナレッジベースで公開されています。

Spring Frameworkにおける不適切なデータバインディング処理による任意コード実行の脆弱性（CVE-2022-22965）は、脆弱性の通称としてSpring4ShellまたはSpringShellが用いられています。遠隔から攻撃者が任意のコードを実行できる当該脆弱性はすでに攻撃に広く利用されている状況になっています。

Claris ナレッジベースの記事によると、該当するフレームワークを使用していないClaris FileMakerはSpring4Shell（CVE-2022-22965）の影響を受けないとのことです。

［関連］Claris FileMaker 製品と Spring4Shell の脆弱性（Claris ナレッジベース）、JVNVU#94675398: Spring Frameworkにおける不適切なデータバインディング処理による任意コード実行の脆弱性（Japan Vulnerability Notes）

OpenSSL 1.1.1nおよびOpenSSL 3.0.2が2022年3月中旬に公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 1.1.1nおよびOpenSSL 3.0.2では、OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題（CVE-2022-0778）が修正されています。

なお、OpenSSL 1.1.1系列の最新バージョンはOpenSSL 1.1.1nですが、FileMaker Pro 19.4およびFileMaker Server 19.4にはOpenSSL 1.1.1lが使用されています。

［関連］JVNVU#90813125: OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題（Japan Vulnerability Notes）

Apache HTTP Server 2.4.53が公開されています。

Apache HTTP Server 2.4.53では、HTTP Request Smuggling攻撃が可能になる脆弱性（CVE-2022-22720）や、mod_sedにおける整数オーバーフローまたはラップアラウンドおよび境界外書き込みの脆弱性（CVE-2022-23943）などが修正されています。

なお、Apache HTTP ServerはオープンソースのWebサーバーソフトウェアであり、macOS版およびLinux版のClaris FileMaker ServerではWebサーバーにApache HTTP Serverが内部的に使用されています。

［関連］JVNVU#99602154: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート（Japan Vulnerability Notes）、Q&A: Apache Server をバージョン 2.4.51 にアップグレード後、FileMaker Server へのファイルのアップロードが失敗する、もしくは遅くなる（Claris ナレッジベース）

Apache Tomcat 8.5.75、Apache Tomcat 9.0.58およびApache Tomcat 10.0.16が2022年1月に公開されています。

Apache Tomcat 8.5.75、Apache Tomcat 9.0.58およびApache Tomcat 10.0.16では、Time-of-check Time-of-use（TOCTOU）競合状態による権限昇格の脆弱性（CVE-2022-23181）が修正されています。 当該脆弱性は、FileStoreを利用し、セッションを永続化する構成にしている場合のみ影響を受けるとのことです。

なお、現時点でのApache Tomcatの最新安定バージョンはバージョン10.0.16ですが、Claris FileMaker Server 19.4.2ではJava Web公開エンジンにApache Tomcat 9.0.45が使用されています。

［関連］JVNVU#93604797: Apache TomcatにTime-of-check Time-of-use（TOCTOU）競合状態による権限昇格の脆弱性（Japan Vulnerability Notes）

Apache HTTP Server 2.4.52が公開されています。

Apache HTTP Server 2.4.52では、mod_luaにおけるバッファーオーバーフローの脆弱性（CVE-2021-44790）と、ProxyRequestsディレクティブを用いてフォワードプロキシとして設定されている場合にNULLポインタ逆参照やサーバーサイド・リクエスト・フォージェリ（SSRF）が可能となってしまう脆弱性（CVE-2021-44224）が修正されています。

なお、Apache HTTP ServerはオープンソースのWebサーバーソフトウェアであり、macOS版およびLinux版のClaris FileMaker ServerではWebサーバーにApache HTTP Serverが内部的に使用されています。

［関連］JVNVU#97805418: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート（Japan Vulnerability Notes）

OpenSSL 1.1.1mおよびOpenSSL 3.0.1が2021年12月中旬に公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 3.0.1では1点のセキュリティ脆弱性（CVE-2021-4044）が修正されていますが、OpenSSL 3.0.1で修正された当該脆弱性はOpenSSL 1.1.1系列には影響はないとのことです。

なお、Claris FileMaker Pro 19.4.1およびClaris FileMaker Server 19.4.1では、使用されているOpenSSLのバージョンがバージョン1.1.1lに更新されています。

［関連］OpenSSL 3.0.0が公開（FAMLog）

Apache Log4jのセキュリティ脆弱性とClaris FileMakerに関する情報がClaris ナレッジベースで公開されています。

Apache Log4jはJavaベースのロギングユーティリティフレームワークで、Apache Software Foundationによって提供されています。バージョン2.14.1以前のApache Log4j2には、遠隔から攻撃者が任意のコードを実行できる脆弱性が存在し、当該脆弱性がすでに攻撃に広く利用されている状況になっています。

Claris ナレッジベースの記事では、現在サポート対象であるClaris FileMaker 19はLog4j2の脆弱性の影響はないことがClaris International Inc.によって確認されたという記述がありますが、メーカーサポートが終了しているバージョン18以前についてはサポート中の現行バージョンへのアップグレードを推奨するという言及に留まっています。

［関連］Q&A: Claris 製品と Apache Log4j の脆弱性（Claris ナレッジベース）、Claris FileMakerとApache Log4jのセキュリティ脆弱性（CVE-2021-44228）に関するご案内（株式会社エミック）、Claris FileMakerとApache Log4jのセキュリティ脆弱性（CVE-2021-44228）に関するご案内（続報）（株式会社エミック）

（2022年2月26日追記：Claris ナレッジベースにおける記事のタイトルが変更されていたのでタイトルを「CVE-2021-44228 - Apache Log4j 脆弱性の Claris 製品への影響」から「Q&A: Claris 製品と Apache Log4j の脆弱性」に変更し、さらに関連記事を1つ追加しました。）

Ruby 3.0.3、Ruby 2.7.5およびRuby 2.6.9が公開されています。

Ruby 3.0.3およびRuby 2.7.5では3点のセキュリティ脆弱性（CVE-2021-41816、CVE-2021-41817、CVE-2021-41819）が修正されていて、Ruby 2.6.9では2点のセキュリティ脆弱性（CVE-2021-41817、CVE-2021-41819）が修正されています。

なお、Ruby 2.6系列は重大なセキュリティ上の問題への対応のみが行われるセキュリティメンテナンスフェーズにあり、2022年3月末頃を目処にRuby 2.6系列のセキュリティメンテナンスならびに公式サポートが終了する予定となっています。