FAMLog

「FileMaker Server 12 セキュリティ更新」が公開されています。

FileMaker Server 12 セキュリティ更新は、FileMaker Server 12.0v5およびOS X Mavericks用のFileMaker Server 12.0v6向けに用意されているもので、FileMakerネットワーク共有のSSL/TLS暗号化通信に関するセキュリティ脆弱性が修正されています。FileMaker Serverのバージョン12.0v1、12.0v2、12.0v3または12.0v4を使用している場合は、この更新を適用する前にまずバージョン12.0v5以上に更新する必要があります。

FileMaker Server 12でSSLを有効化している場合には、FileMaker Pro 13.0v9およびFileMaker Go 13.0.9にアップデートする前にFileMaker Server 12 セキュリティ更新を事前に適用する必要があるので、FileMaker ナレッジベースの記事を更新の適用前に必ず読むようにしてください。

［関連］FileMaker Pro 13.0v9 アップデータが公開（FAMLog）、FileMaker Go 13.0.9が公開（株式会社エミック）

「PHP 5.6.8」、「PHP 5.5.24」および「PHP 5.4.40」が公開されています。

PHP 5.6.8、PHP 5.5.24およびPHP 5.4.40ではそれぞれ複数のセキュリティ脆弱性が修正されていて、Apache 2.4のapache2handlerでリモートの攻撃者によって任意のコードが実行される可能性がある問題等に対処されています。

なお、PHP 5.4系統は今後積極的な不具合の修正は行われない予定となっているため、今後はバージョン5.6系統もしくはバージョン5.5系統へのアップグレードが推奨されている状況です。

Apache Tomcat 7.0.61が2015年4月上旬に公開されています。

Apache Tomcat 7.0.61では、Java 8を使用した際にTLSでサーバー側の暗号スイートを優先できるようになっています。現時点でのApache Tomcatの最新バージョンはバージョン8.0系統で、先月公開されたバージョン8.0.21でも同様にサーバー側の暗号スイートを優先できるオプションが追加されています。

FileMaker Server 13のWeb公開機能とAdmin Console用管理サーバーではTomcat 7.0系列が使われていて、バージョン13.0v9ではApache Tomcat 7.0.55が使用されています。なお、Javaのバージョン8とFileMaker Serverの互換性に関する情報は現時点でもファイルメーカー社からの案内は特にない状況です。

Java SE 7 Update 79およびJDK 7 Update 79が公開されています。

バージョン7 Update 79では複数の脆弱性が修正されており、できる限り早く更新することが強く推奨されています。バージョン7 Update 80も公開されていますが、バージョン7 Update 79で特に問題に直面していない場合にはバージョン7 Update 80に更新する必要はありません。なお、Java 7は今回で公式アップデートが終了し、2015年5月以降はJava 7が公式ダウンロード・サイトでアップデートされることはないとのことです。

同時にJava SE 8 Update 45およびJDK 8 Update 45も公開されていますが、Javaのバージョン8についてはFileMaker Server Admin Consoleとの互換性に関する情報は現時点ではファイルメーカー社からの案内は特にない状況です。

アップルから、セキュリティ脆弱性の修正を含んだSafari 8.0.5、Safari 7.1.5およびSafari 6.2.5が配布されています。

Safari 8.0.5、Safari 7.1.5およびSafari 6.2.5ではSafariおよびWebKitの脆弱性が修正されています。Safari 6.2.5はOS X Mountain Lion v10.8.5向け、Safari 7.1.5はOS X Mavericks v10.9.5向けのものです。

現在OS X Lion向けにSafariの更新は行われておらず、OS X Mountain Lion以降にアップグレードすることが推奨される状況になっています。また、Windows用のSafariについてはバージョン6の登場以降更新版が公開されていないため、Safari for Windowsの使用を停止して他のWebブラウザーに移行する必要があります。

AppleからOS X Yosemite v10.10.3およびSecurity Update 2015-004が公開されています。

Security Update 2015-004は、OS X Mountain Lion v10.8.5およびOS X Mavericks v10.9.5用のものがそれぞれ用意されており、多数のセキュリティに関わる修正が含まれています。

このアップデートにより、OpenSSLはバージョン0.9.8zdに、OS X YosemiteのApache HTTP Serverはバージョン2.4.10に、OS X MavericksとOS X Mountain LionのApache HTTP Serverはバージョン2.2.29に更新されます。また、OS X YosemiteのPHPはバージョン5.5.20に、OS X MavericksのPHPはバージョン5.4.38に、OS X Mountain LionのPHPはバージョン5.3.29に更新されます。

PHP用のWebアプリケーションフレームワーク「CakePHP 3.0.1」が公開されています。

CakePHPは、MITライセンスで提供されるオープンソースのWebアプリケーションフレームワークです。CakePHP 3.0.1はCakePHP 3.0系統の保守リリースであり、不具合の修正や機能の改善が行われています。

CakePHP 2からバージョンアップを行う際には、移行ガイドで各種変更点を確認してから移行作業を行う必要があります。なお、FMCakeMix（CakePHP用のFileMakerデータソースドライバー）は現時点ではCakePHP 3に対応していません。

ファイルメーカー社が「FileMaker Pro 13 および FileMaker Pro 13 Advanced v9 アップデータ」を公開しています。

このアップデータは、FileMaker Pro 13またはFileMaker Pro 13 Advancedをバージョン13.0v9に更新するものです。バージョン13.0v9では、FileMaker 13 プラットフォームのSSLに関する問題が修正されており、アプリケーションUIとFileMakerセキュリティ証明書が更新されているとのことです。

バージョン13.0v9のFileMaker Pro 13およびFileMaker Pro 13 Advancedからは、下記条件でSSLを有効にしているFileMaker Serverに接続できないので注意が必要です。

・FileMaker製品でサポートされているSSLサーバー証明書を購入・インストールせずに「保護された接続が必要」設定を有効にしている、13.0v5およびそれ以前のバージョンのFileMaker Server 13（バージョン13.0v9に未更新の場合）
・「保護された接続が必要」設定を有効にしているFileMaker Server 12およびFileMaker Server 12 Advanced（約2週間後に公開される予定のセキュリティ更新を未適用の場合）

バージョン12のFileMaker Serverについては、認証局からSSLサーバー証明書を購入していてもいなくてもFileMaker Pro 13.0v9からFileMaker Server 12にSSL接続できないので、約2週間後に公開される予定のセキュリティ更新を待つ必要がある模様です。

［関連］FileMaker 13.0v9 と FileMaker 12 のセキュリティ更新に関する Q&A（FileMaker ナレッジベース）、FileMaker Server 12 セキュリティ更新が公開（FAMLog）

（2015/04/23追記：2015年4月22日に「FileMaker Server 12 セキュリティ更新」が公開されたので、関連記事を追加・更新しました。）

ファイルメーカー社が「FileMaker Server 13.0v9 アップデータ」を公開しています。

このアップデータは、バージョン13.0v3、13.0v4もしくは13.0v5のFileMaker Server 13をバージョン13.0v9に更新するものです。FileMaker Server 13.0v9では、FileMaker 13 プラットフォームの潜在的なSSLに関する問題が修正されており、アプリケーションUIとFileMakerセキュリティ証明書が更新されているとのことです。

FileMaker製品でサポートされているSSLサーバー証明書を購入・インストールせずに、バージョン13.0v5およびそれ以前のFileMaker Server 13で「保護された接続が必要」にチェックをつけて有効にしている場合に、同時に公開されたFileMaker Pro 13.0v9および約2週間後に公開される予定であるFileMaker Go 13.0.9がサーバーに接続できなくなってしまうことが注意点として案内されています。アップデータ実行手順の詳細については、アップデータに同梱されている文書を必ず参照するようにしてください。

［関連］セキュリティ更新 - FileMaker 13v9/FileMaker 12（FileMaker ナレッジベース）

FileMaker ServerとFREAK脆弱性に関する情報がFileMaker ナレッジベースに掲載されています。

ナレッジベースの記事において、FileMaker Server 13.0v5以降ではFREAK脆弱性の影響を受けないものの、FileMaker Serverの13.0v5より前のバージョンではFREAK問題を防ぐように設計されていない旨が案内されています。

このことから、SSL/TLSを使用して通信を暗号化する場合には、現時点ではFileMaker Serverのバージョン13.0v5を利用することが強く推奨されると言えるでしょう。

［関連］FREAK 脆弱性（FileMaker ナレッジベース）

（2015/04/04追記：不要な改行を削除しました。）