FAMLog

LibreSSL 3.8.2が2023年11月上旬に公開されています。

LibreSSLは、OpenSSLからフォークされたものであり、OpenBSDの標準TLSライブラリとして採用されています。SHA-3をサポートしたLibreSSL 3.8はこれまで開発版として公開されていましたが、今回公開されたバージョン3.8.2で安定版として配布されるようになっています。

なお、LibreSSLは約半年ごとに新しいバージョンの安定版がリリースされ、1年間更新が行われるスケジュールになっています。

WordPress 6.4ではPHP 8.1もしくはPHP 8.2の使用が推奨されるようになっています。

WordPress 6.3でPHP 5のサポートが終了したことや、Contact Form 7 5.8以降でPHP 7.4以降の環境が必要になっていることなどから、旧バージョンのPHPを使用している場合には使用するPHPのバージョンを見直す必要が出てきています。

なお、現時点でのPHPの最新安定バージョンはバージョン8.2.12です。PHP 7.4系統の保守は2022年11月28日に終了しており、PHP 8.0系統の保守は2023年11月26日に終了する予定となっています。

［関連］Contact Form 7 5.8が公開（FAMLog）、WordPress 6.3が公開（FAMLog）

WordPress 6.4.1が公開されています。

WordPressはブログから高機能なサイトまで作ることができるオープンソースソフトウェアです。PHP 8.1もしくはPHP 8.2の使用が推奨されるようになったWordPress 6.4では、新しいデフォルトテーマであるTwenty Twenty-Fourが導入されています。

なお、今月7日にWordPress 6.4が公開されていましたが、バージョン6.4で発生していた不具合に対応するために急遽WordPress 6.4.1が公開された次第です。

PHP 8.1.25とPHP 8.2.12が2023年10月下旬に公開されています。

PHP 8.1.25およびPHP 8.2.12では不具合の修正が行われています。PHP 8.0系列のアクティブサポートは2022年11月にすでに終了しており、重大なセキュリティに関わる修正が行われるセキュリティサポートは2023年11月26日までの予定となっています。PHPはバージョン8.3系統の開発も進められており、現在バージョン8.3.0 RC 5が公開されている状況です。

なお、PHP 8.1は2024年11月25日まで、PHP 8.2は2025年12月8日までセキュリティ修正が継続される予定となっています。

OpenSSL 3.0.12およびOpenSSL 3.1.4が公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 3.0.12およびOpenSSL 3.1.4では、鍵とIV（Initialization Vector）の長さに関する処理に問題があることで一部の共通鍵暗号の初期化時に切り捨てやオーバーフローが発生する可能性がある脆弱性（CVE-2023-5363）が修正されています。 OpenSSL Projectによると、OpenSSL SSL/TLS実装およびOpenSSL 3.0と3.1のFIPSプロバイダは本脆弱性の影響を受けないとのことです。

なお、現時点でのOpenSSLの最新安定バージョンはバージョン3.1.4ですが、バージョン3.0系統は長期サポート版（LTS）として位置付けられており、OpenSSL 3.0系統はOpenSSL 3.1系統のサポートが終了した後も約1年半引き続きサポートされる予定となっています。

［関連］JVNVU#99631663: OpenSSLにおける暗号鍵と初期化ベクトルの長さに関する処理の問題（OpenSSL Security Advisory [24th October 2023]）（Japan Vulnerability Notes）

Node.js v20.9.0 (LTS)が公開されています。

Node.js v20系列は今回公開されたNode.js v20.9.0で長期サポート版（LTS）となっており、現在長期サポート版と位置付けられているのはNode.js v18系列とNode.js v20系列の2系列です。Node.js v20は2026年4月30日にサポートが終了する予定となっています。

なお、Claris FileMaker ServerやClaris FileMaker CloudのClaris FileMaker Data API エンジンではNode.jsが使われていて、FileMaker Server 20.2.1ではNode.js v18.13.0が使用されています。

［関連］Node.js v18のサポート終了予定日（FAMLog）

2023年10月上旬に公開されたApache Tomcat 8.5.94、Apache Tomcat 9.0.81およびApache Tomcat 10.1.14ではセキュリティ脆弱性が修正されています。

Apache Tomcat 8.5.94、Apache Tomcat 9.0.81およびApache Tomcat 10.1.14では、HTTP/2プロトコルを採用するサーバに大量のリクエストのキャンセルによりサーバリソースを消費する問題（CVE-2023-44487）やHTTP Trailer headerを正しく解析しない問題（CVE-2023-45648）などが修正されています。

なお、現時点でのApache Tomcatの最新安定バージョンはバージョン10.1.15ですが、Claris FileMaker Server 2023（FileMaker Server 20.2.1）ではJava Web公開エンジンにApache Tomcat 9.0.69が使用されています。

［関連］JVNVU#93620838: Apache Tomcatにおける複数の脆弱性（Japan Vulnerability Notes）

Apache HTTP Server 2.4.58が公開されています。

Apache HTTP ServerはオープンソースのWebサーバーソフトウェアです。バージョン2.4.58では、HTTP/2を処理する際の脆弱性（CVE-2023-43622およびCVE-2023-45802）とmod_macroの脆弱性（CVE-2023-31122）が修正されています。

なお、macOSおよびUbuntu 18.04向けのClaris FileMaker ServerではWebサーバーにApache HTTP Serverが内部的に使用されていますが、Ubuntu 20.04以降ではWebサーバーとしてApache HTTP Serverの代わりにnginxが使用されるようになっています。

［関連］JVNVU#93413100: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート（Japan Vulnerability Notes）

（2023/10/25追記：関連記事を追加しました。）

Node.js v18.18.2 (LTS)が公開されています。

複数のセキュリティ脆弱性が修正されているNode.js v18.18.2では、HTTP/2 Rapid Resetの脆弱性（CVE-2023-44487）も修正されています。Node.js v16は2023年9月にサポートが終了したため、Node.js v18への更新が推奨される状況になっています。

なお、Claris FileMaker ServerやClaris FileMaker CloudのClaris FileMaker Data API エンジンではNode.jsが使われていて、FileMaker Server 20.2.1ではNode.js v18.13.0が使用されています。

［関連］Node.js v18のサポート終了予定日（FAMLog）、Node.js v16のサポート終了予定日（FAMLog）

PHP 8.1.24とPHP 8.2.11が2023年9月下旬に公開されています。

PHP 8.1.24とPHP 8.2.11では不具合の修正が行われています。PHP 8.0系列のアクティブサポートは2022年11月にすでに終了しており、重大なセキュリティに関わる修正が行われるセキュリティサポートは2023年11月26日までの予定となっています。PHPはバージョン8.3系統の開発も進められており、現在バージョン8.3.0 RC 4が公開されている状況です。

なお、PHP 8.1は2024年11月25日まで、PHP 8.2は2025年12月8日までセキュリティ修正が継続される予定となっています。