FAMLog

Appleが、OS X Mavericks v10.9.5にサーバー機能を追加する「OS X Server v3.2.2 Update」の配布を2014年10月中旬に開始しています。

バージョン3.2.2では、このセキュリティアップデートではSSL 3.0の脆弱性に対応するためWebサーバーやカレンダーサーバー等でSSL 3.0が無効化されています。

OS X Server v3.2.2と同時に、OS X Mountain Lion v10.8.5向けのOS X Server v2.2.5 Updateの配布も開始されています。なお、今月公開されたOS X Yosemiteにサーバー機能を追加する場合にはOS X Server v4.0が別途必要です。

IPA（独立行政法人情報処理推進機構）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）が、FileMaker製品におけるSSLサーバー証明書検証不備の脆弱性に関する情報を2014年9月に公開しています。

脆弱性の内容は、FileMaker Pro、FileMaker Pro AdvancedおよびFileMaker Goのバージョン12およびそれ以前のバージョンにSSLサーバー証明書検証不備の脆弱性が存在するというものです。脆弱性が確認されているFileMaker製品は下記の通りです。

・FileMaker Pro 12およびそれ以前のバージョン
・FileMaker Pro 12 Advancedおよびそれ以前のバージョン
・FileMaker Go 12およびそれ以前のバージョン

上記の脆弱性を修正するには、FileMaker Pro、FileMaker Pro AdvancedおよびFileMaker Goをバージョン13にアップグレードする必要があるというのが実状です。なお、FileMaker Serverについては、バージョン13にアップグレードする必要は必ずしもなく、バージョン12のままでも構いません。

［関連］FileMaker 12およびそれ以前に存在する脆弱性について（株式会社エミック）、FileMaker Pro 13の新機能：暗号化通信状態のインジケータ（FAMLog）

（2014/10/23追記：関連記事を追加・更新しました。）

IPA（独立行政法人情報処理推進機構）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）が、FileMaker製品のクロスサイトスクリプティング（XSS）脆弱性に関する情報を2014年9月に公開しています。

脆弱性の内容は、FileMaker製品のバージョン12およびそれ以前のバージョンで利用できるインスタントWeb公開機能にクロスサイトスクリプティングの脆弱性が存在するというものです。脆弱性が確認されているFileMaker製品は下記の通りです。

・FileMaker Pro 12およびそれ以前のバージョン
・FileMaker Pro 12 Advancedおよびそれ以前のバージョン
・FileMaker Server 12 Advancedおよびそれ以前のバージョン

上記の脆弱性は、サンプルデータベースの存在がJPCERT/CCによる脆弱性分析結果の評価値が高い一因となっています。この脆弱性を悪用するにはデータベースの管理者権限が必要であり、FileMaker Server Advancedと一緒にインストールされるサンプルデータベース（FMServer_Sampleデータベース）を削除することが脆弱性を緩和する重要な回避策となります。通常の使用範囲では本脆弱性により深刻な影響を受けることはまずあり得ませんが、データベースファイルには必ずパスワードを設定し、出所が不明なデータベースファイルを開かないようにご注意ください。

［関連］FileMaker 12およびそれ以前に存在する脆弱性について（株式会社エミック）

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 1.0.1j」、「OpenSSL 1.0.0o」および「OpenSSL 0.9.8zc」が公開されています。

これらのバージョンでは複数のセキュリティ脆弱性が修正されています。

同時に、2015年12月31日をもってバージョン0.9.8系統のサポートを終了する予定であることが発表されています。

［関連］OpenSSL 0.9.8 End Of Life Announcement

Java SE 7 Update 71およびJDK 7 Update 71が公開されています。

バージョン7 Update 71では複数の脆弱性が修正されており、できる限り早く更新することが強く推奨されています。バージョン7 Update 72も公開されていますが、バージョン7 Update 71で特に問題に直面していない場合にはバージョン7 Update 72に更新する必要はありません。

なお、FileMaker Serverのバージョンが12.0v4およびそれ以前（かつバージョン10以降）の場合には、バージョン7 Update 51と同様、JavaのコントロールパネルでFileMaker Server Admin Console 開始ページのURLを「例外サイト・リスト」に事前に登録しておかないとAdmin Consoleを起動できないのでその点は注意が必要です（Javaのセキュリティ・レベルを「中」にする必要はありません）。

［関連］FileMaker Server 12.0v5および12.0v6用のソフトウェアパッチが公開（FAMLog）

SSHプロトコルを使用するネットワーク接続ツールのフリーな実装であるOpenSSHの新バージョン「OpenSSH 6.7」が2014年10月上旬に公開されています。

OpenSSH 6.7では、Unixドメインソケットの転送がサポートされるようになった他、SFTPで中断されたアップロードの復帰が可能になる機能が新たに追加されています。さらに、移植版OpenSSHではlibressl-portableに対してのビルドがサポートされるようになっています。

その他にも機能追加だけでなく不具合の修正も行われていますが、バージョン6.7ではtcpwrappers/libwrapのサポートが削除されているので要注意です。

［参考］OpenSSH 6.7/6.7p1 がリリースされました.（春山 征吾のくけー）

CakePHP 2.5.5が公開されています。

CakePHPは、MITライセンスで提供されるオープンソースのWebアプリケーションフレームワークです。CakePHP 2.5.5はCakePHP 2.5系統の保守リリースであり、不具合の修正や機能の改善が行われています。

CakePHPはバージョン2.6系統およびバージョン3.0系統の開発も進められており、それぞれ現在ベータ版が公開されている状況です。なお、FMCakeMixは現在のところCakePHP 3.0に対応していないのでご注意ください。

ファイルメーカー社が、FileMaker カンファレンス 2014用の「FMCon2Goスケジューラー」の提供を開始しています。

FMCon2Goスケジューラーは、2014年11月26日（水）から11月28日（金）まで開催されるFileMaker カンファレンス 2014のスケジュールをバージョン12以降のFileMaker Go、FileMaker ProもしくはFileMaker Pro Advancedで確認できるデータベースです。

FMCon2Goスケジューラーは、［情報］画面に「アンロック」ボタンが用意されており、ロックを解除することでスクリプトやレイアウトの中身を解析することも可能となっています。

［関連］「FileMaker カンファレンス 2014」のご案内（FAMLog）

アップルから、セキュリティ脆弱性の修正を含んだSafari 6.2およびSafari 7.1が配布されています。

Safari 6.2とSafari 7.1ではSafariおよびWebKitの脆弱性が多数修正されています。Safari 6.2はOS X Mountain Lion v10.8.5向け、Safari 7.1はOS X Mavericks v10.9.5向けのものです。今回OS X Lion用のSafari 6.2が提供されていないことから、実質的にOS X Mountain Lion以降にアップグレードすることが推奨される状況になっています。

なお、Windows用のSafariについてはバージョン6の登場以降更新版が公開されていないため、Safari for Windowsの使用を停止して他のWebブラウザーに移行することが強く推奨されます。

bashの脆弱性（CVE-2014-6271およびCVE-2014-7169）を修正する「OS X bash Update 1.0」が公開されています。

OS X bash Update 1.0は、OS X Mavericks v10.9.5、OS X Mountain Lion v10.8.5、OS X Lion v10.7.5およびOS X Lion Server v10.7.5向けのもので、早急に適用することが強く推奨されます。

OS X bash Update 1.0を適用することで、bashのバージョンは3.2.53に更新されます。

［関連］JVNVU#97219505: GNU Bash に OS コマンドインジェクションの脆弱性（Japan Vulnerability Notes）