FAMLog

RubyのURIコンポーネントにReDoS脆弱性（CVE-2023-36617）が見つかり、2023年6月下旬に公開されたuri gem 0.12.2および0.10.3で当該脆弱性が修正されています。

特定の文字を含む無効なURLをURIパーサーが誤って取り扱っており、rfc2396_parser.rbとrfc3986_parser.rbを用いて文字列をURIオブジェクトにパースする際に実行時間が増加していましたが、CVE-2023-28755に対する不完全な修正がこの問題の原因となっていたとのことです。

uri gemを更新することが推奨されており、更新するにはgem update uriを実行します。なお、Bundlerを使用している場合はGemfileにgem "uri", ">= 0.12.2"を追加します（Ruby 3.1および3.2の場合）。

［関連］Ruby 3.2.2、Ruby 3.1.4、Ruby 3.0.6およびRuby 2.7.8が公開（FAMLog）

macOS Ventura 13.4.1の提供が開始されています。

macOS Ventura 13.4.1には重要なセキュリティに関わる修正が含まれています。すでに悪用された可能性のある脆弱性（CVE-2023-32434およびCVE-2023-32439）が修正されていることから、macOS Venturaを使用している場合にはmacOS Ventura 13.4.1にアップデートすることが推奨されます。

なお、Claris FileMaker ProおよびClaris FileMaker Serverはバージョン19.6.1以降でmacOS Venturaでのインストールが正式にサポートされるようになっています。

［関連］Safari 16.5.1の提供が開始（FAMLog）、iOS 16.5.1およびiPadOS 16.5.1の提供が開始（FAMLog）、iOS 15.7.7およびiPadOS 15.7.7の提供が開始（FAMLog）

iPhone向けのソフトウェア・アップデートとなるiOS 15.7.7と、iPad向けのソフトウェア・アップデートとなるiPadOS 15.7.7の提供が開始されています。

iOS 15.7.7およびiPadOS 15.7.7では複数のセキュリティ脆弱性が修正されていて、すでに悪用されている可能性のある脆弱性も修正されていることから、iOS 16およびiPadOS 16に未対応の機種でiOS 15およびiPadOS 15を使用している場合にはアップデートを適用することが推奨されています。

なお、App StoreからダウンロードできるClaris FileMaker Goを使用すれば、Claris FileMaker Proで作成したカスタム AppをiOSやiPadOS上で実行できます。FileMaker Go 2023はiOS 16以降もしくはiPadOS 16以降で動作するため、iOS 15およびiPadOS 15を使用している場合にはFileMaker Go 19.6.3を使う必要があります。

［関連］iOS 16.5.1およびiPadOS 16.5.1の提供が開始（FAMLog）

iPhone向けのソフトウェア・アップデートとなるiOS 16.5.1と、iPad向けのソフトウェア・アップデートとなるiPadOS 16.5.1の提供が開始されています。

iOS 16.5.1およびiPadOS 16.5.1では複数のセキュリティ脆弱性が修正されています。すでに悪用された可能性のある脆弱性が修正されていることから、すべての対象ユーザーにアップデートを適用することが推奨されています。

なお、App StoreからダウンロードできるClaris FileMaker Goを使用すれば、Claris FileMaker Proで作成したカスタム AppをiOSやiPadOS上で実行できます。FileMaker Go 2023はiOS 16以降もしくはiPadOS 16以降で動作します。

セキュリティ脆弱性の修正を含んだSafari 16.5.1の提供が開始されています。

WebKitの脆弱性が修正されたSafari 16.5.1はmacOS MontereyおよびmacOS Big Surで利用でき、同時に公開されたmacOS Ventura 13.4.1にもSafari 16.5.1が含まれています。すでに悪用された可能性のある脆弱性が修正されていることから、Safari 16.5.1にアップデートすることが推奨されます。

なお、macOS Catalina用のSafari 16は提供されていないため、macOS Big Sur以降にアップグレードすることが推奨される状況になっていると言えます。

2023年5月に公開されたApache Tomcat 8.5.89、Apache Tomcat 9.0.75およびApache Tomcat 10.1.9ではセキュリティ脆弱性が修正されています。

レスポンスにHTTPヘッダーが設定されていない場合にレスポンスヘッダーに関する情報が漏洩する可能性がある脆弱性（CVE-2023-34981）が修正されたApache Tomcat 8.5.89、Apache Tomcat 9.0.75およびApache Tomcat 10.1.9が公開されたのは2023年5月ですが、CVE-2023-34981に関する情報は2023年6月下旬に公開された次第です。

なお、現時点でのApache Tomcatの最新安定バージョンはバージョン10.1.10ですが、Claris FileMaker Server 2023（FileMaker Server 20.1.2）ではJava Web公開エンジンにApache Tomcat 9.0.69が使用されています。

［関連］JVNVU#92908681: Apache Tomcatにおける情報漏えいの脆弱性（Japan Vulnerability Notes）、Apache Tomcat 8.5.88、9.0.74および10.1.8ではセキュリティ脆弱性が修正済み（FAMLog）

（2023/08/28追記：「JJVNVU#92908681」を「JVNVU#92908681」に修正しました。）

Node.js v18.16.1 (LTS)およびNode.js v16.20.1 (LTS)が公開されています。

Node.js v18.16.1およびNode.js v16.20.1では、それぞれ複数のセキュリティ脆弱性が修正されています。Node.js v18は2025年4月に、Node.js v16は2023年9月にサポートが終了する予定となっています。

なお、Claris FileMaker ServerやClaris FileMaker CloudのClaris FileMaker Data API エンジンではNode.jsが使われていて、FileMaker Server 20.1.2ではNode.js v18.13.0が使用されています。

［関連］Node.js v18のサポート終了予定日（FAMLog）、Node.js v16のサポート終了予定日（FAMLog）

PHP 8.0.29、PHP 8.1.20およびPHP 8.2.7が公開されています。

PHP 8.0.29、PHP 8.1.20およびPHP 8.2.7ではそれぞれセキュリティ脆弱性の修正が行われています。PHP 8.0系列のアクティブサポートは2022年11月にすでに終了しており、重大なセキュリティに関わる修正が行われるセキュリティサポートは2023年11月26日までの予定となっています。PHPはバージョン8.3系統の開発も進められており、現在バージョン8.3.0 Alpha 1が公開されている状況です。

なお、PHP 8.1は2024年11月25日まで、PHP 8.2は2025年12月8日までセキュリティ修正が継続される予定となっています。

curl 8.1.2が2023年5月下旬に公開されています。

curlは、さまざまな通信規格に対応しているデータ転送ソフトウェアであり、Claris FileMakerでも利用されています。バージョン8.1.2では不具合の修正が行われており、セキュリティ修正は含まれていません。

なお、Claris FileMaker Pro 2023（20.1.1）において、［URL から挿入］スクリプトステップのcURL オプションで-Vもしくは--versionオプションを使用して取得できるlibcurlのバージョン情報は次の通りです。

［出力例］
libcurl/7.83.0-DEV OpenSSL/3.0.8 zlib/1.2.11 libssh2/1.9.0_DEV
Features: AsynchDNS IPv6 Largefile NTLM NTLM_WB SSL libz TLS-SRP UnixSockets HTTPS-proxy alt-svc HSTS

2023年4月に公開されたApache Tomcat 8.5.88、Apache Tomcat 9.0.74およびApache Tomcat 10.1.8ではセキュリティ脆弱性が修正されています。

Apache Commons FileUploadにおけるサービス運用妨害（DoS）の脆弱性が修正されたApache Tomcat 8.5.88、Apache Tomcat 9.0.74およびApache Tomcat 10.1.8が公開されたのは2023年4月ですが、新たに採番されたCVE-2023-28709に関する情報は2023年5月下旬に公開された次第です。

なお、現時点でのApache Tomcatの最新安定バージョンはバージョン10.1.9ですが、Claris FileMaker Server 2023（FileMaker Server 20.1.1）ではJava Web公開エンジンにApache Tomcat 9.0.69が使用されています。

［関連］JVNVU#91253151: Apache TomcatのApache Commons FileUploadにおけるサービス運用妨害（DoS）の脆弱性（Japan Vulnerability Notes）