FAMLog

macOS Catalina 10.15.7用のSecurity Update 2022-004の提供が開始されています。

macOS Catalina 10.15.7用のSecurity Update 2022-004では、複数のセキュリティ脆弱性が修正されていて、LibreSSLやOpenSSLにおけるセキュリティ脆弱性（CVE-2022-0778）も修正されています。また、Apache HTTP Serverがバージョン2.4.53に更新されています。

なお、FileMaker Serverはバージョン18.0.3以降でmacOS Catalinaに対応していて、Claris FileMaker Server 19もmacOS Catalinaをサポートしています。

［関連］macOS Monterey 12.4の提供が開始（FAMLog）、macOS Big Sur 11.6.6の提供が開始（FAMLog）

macOS Big Sur 11.6.6の提供が開始されています。

macOS Big Sur 11.6.6では複数のセキュリティ脆弱性が修正されていて、LibreSSLやOpenSSLにおけるセキュリティ脆弱性（CVE-2022-0778）も修正されています。また、Apache HTTP Serverがバージョン2.4.53に更新されています。

なお、Claris FileMaker Serverはバージョン19.1.2以降であればmacOS Big Surと互換性があり、バージョン19.3.1以降でユニバーサルバイナリとしてAppleシリコン搭載Macに対応するようになっています。

［関連］macOS Monterey 12.4の提供が開始（FAMLog）

macOS Monterey 12.4の提供が開始されています。

macOS Monterey 12.4では複数のセキュリティ脆弱性が修正されていて、LibreSSLやOpenSSLにおけるセキュリティ脆弱性（CVE-2022-0778）も修正されています。また、Apache HTTP Serverがバージョン2.4.53に更新されています。

Claris FileMaker ProおよびClaris FileMaker Serverはバージョン19.4.1以降で正式にmacOS Montereyに対応するようになっています。なお、macOS版のFileMaker Server 19.4.1以降では新規インストール時にPHPがインストールされなくなっている点に留意する必要があります。

［関連］Apache HTTP Server 2.4.53が公開（FAMLog）、OpenSSL 1.1.1nおよびOpenSSL 3.0.2が公開（FAMLog）

Apache Tomcat 8.5.76およびApache Tomcat 9.0.21ではWebSocket接続の実装に起因するセキュリティ脆弱性（CVE-2022-25762）が修正されています。

Apache Tomcat 8.5.76が公開されたのは2022年2月、Apache Tomcat 9.0.21が公開されたのは2019年6月ですが、CVE-2022-25762に関する情報は今月になって公開された次第です。WebアプリケーションにWebSocket接続のクローズと同時にWebSocketメッセージを送信した場合、ソケットが閉じられた後もソケットを使用し続ける可能性があったことで、予期せぬエラーが発生してセキュリティ上の問題が引き起こされる可能性があったとのことです。

なお、現時点でのApache Tomcatの最新安定バージョンはバージョン10.0.21ですが、Claris FileMaker Server 19.4.2ではJava Web公開エンジンにApache Tomcat 9.0.45が使用されています。

［関連］JVNVU#94243578: Apache TomcatにおけるWebSocket接続の実装に関する問題（Japan Vulnerability Notes）

Apache Tomcat 8.5.78、Apache Tomcat 9.0.62およびApache Tomcat 10.0.20が2022年4月上旬に公開されています。

Tomcat Native Libraryがバージョン1.2.32に更新されているApache Tomcat 8.5.78、Apache Tomcat 9.0.62およびApache Tomcat 10.0.20では、Spring Frameworkにおける不適切なデータバインディング処理による任意コード実行の脆弱性（CVE-2022-22965）の影響を緩和する対策が追加されています。

なお、Spring Frameworkを使用していないClaris FileMakerはCVE-2022-22965（Spring4Shell）の影響を受けない旨がClaris ナレッジベースで今月案内されていました。

［関連］Spring4Shellの脆弱性（CVE-2022-22965）とClaris FileMaker（FAMLog）

Ruby 3.1.2、Ruby 3.0.4、Ruby 2.7.6およびRuby 2.6.10が公開されています。

Ruby 3.1.2およびRuby 3.0.4では2点のセキュリティ脆弱性（CVE-2022-28738、CVE-2022-28739）が修正されていて、Ruby 2.7.6およびRuby 2.6.10では1点のセキュリティ脆弱性（CVE-2022-28739）が修正されています。

なお、今回公開されたRuby 2.6.10をもってRuby 2.6系列の公式サポートが終了しています。バージョン2.6のサポート終了に伴い、今後Ruby 2.6系列に対するセキュリティパッチは提供されなくなるため、より新しいバージョンのRubyに移行することが強く推奨されます。

Spring Frameworkの脆弱性（CVE-2022-22965）とClaris FileMakerに関する情報がClaris ナレッジベースで公開されています。

Spring Frameworkにおける不適切なデータバインディング処理による任意コード実行の脆弱性（CVE-2022-22965）は、脆弱性の通称としてSpring4ShellまたはSpringShellが用いられています。遠隔から攻撃者が任意のコードを実行できる当該脆弱性はすでに攻撃に広く利用されている状況になっています。

Claris ナレッジベースの記事によると、該当するフレームワークを使用していないClaris FileMakerはSpring4Shell（CVE-2022-22965）の影響を受けないとのことです。

［関連］Claris FileMaker 製品と Spring4Shell の脆弱性（Claris ナレッジベース）、JVNVU#94675398: Spring Frameworkにおける不適切なデータバインディング処理による任意コード実行の脆弱性（Japan Vulnerability Notes）

OpenSSL 1.1.1nおよびOpenSSL 3.0.2が2022年3月中旬に公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 1.1.1nおよびOpenSSL 3.0.2では、OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題（CVE-2022-0778）が修正されています。

なお、OpenSSL 1.1.1系列の最新バージョンはOpenSSL 1.1.1nですが、FileMaker Pro 19.4およびFileMaker Server 19.4にはOpenSSL 1.1.1lが使用されています。

［関連］JVNVU#90813125: OpenSSLのBN_mod_sqrt()における法が非素数のときに無限ループを引き起こす問題（Japan Vulnerability Notes）

Apache HTTP Server 2.4.53が公開されています。

Apache HTTP Server 2.4.53では、HTTP Request Smuggling攻撃が可能になる脆弱性（CVE-2022-22720）や、mod_sedにおける整数オーバーフローまたはラップアラウンドおよび境界外書き込みの脆弱性（CVE-2022-23943）などが修正されています。

なお、Apache HTTP ServerはオープンソースのWebサーバーソフトウェアであり、macOS版およびLinux版のClaris FileMaker ServerではWebサーバーにApache HTTP Serverが内部的に使用されています。

［関連］JVNVU#99602154: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート（Japan Vulnerability Notes）、Q&A: Apache Server をバージョン 2.4.51 にアップグレード後、FileMaker Server へのファイルのアップロードが失敗する、もしくは遅くなる（Claris ナレッジベース）

Apache Tomcat 8.5.75、Apache Tomcat 9.0.58およびApache Tomcat 10.0.16が2022年1月に公開されています。

Apache Tomcat 8.5.75、Apache Tomcat 9.0.58およびApache Tomcat 10.0.16では、Time-of-check Time-of-use（TOCTOU）競合状態による権限昇格の脆弱性（CVE-2022-23181）が修正されています。 当該脆弱性は、FileStoreを利用し、セッションを永続化する構成にしている場合のみ影響を受けるとのことです。

なお、現時点でのApache Tomcatの最新安定バージョンはバージョン10.0.16ですが、Claris FileMaker Server 19.4.2ではJava Web公開エンジンにApache Tomcat 9.0.45が使用されています。

［関連］JVNVU#93604797: Apache TomcatにTime-of-check Time-of-use（TOCTOU）競合状態による権限昇格の脆弱性（Japan Vulnerability Notes）