FAMLog

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 1.0.2p」と「OpenSSL 1.1.0i」が公開されています。

OpenSSL 1.0.2pおよびOpenSSL 1.1.0iでは複数のセキュリティ脆弱性（CVE-2018-0732とCVE-2018-0737）が修正されています。なお、OpenSSLのバージョン1.0.2系統は2019年12月31日までサポートされる予定になっています。

FileMaker Pro 17 Advancedのバージョン17.0.2にはOpenSSL 1.0.2oが同梱されています。なお、OpenSSL 1.0.2系列が使用されているのはFileMaker Pro 14.0.4以降です。

Apache Tomcat 7.0.90、Apache Tomcat 8.0.53、Apache Tomcat 8.5.32およびApache Tomcat 9.0.10が2018年6月下旬から2018年7月上旬にかけて順次公開された後、セキュリティ修正に関する情報が2018年7月下旬に公開されています。

Apache Tomcat 7.0.90、8.0.53、8.5.32および9.0.10では、WebSocketクライアントのTLS接続においてホスト名が検証されない問題（CVE-2018-8034）、UTF-8デコーダにおける補助文字の取り扱い不備によりデコーダが無限ループとなる問題（CVE-2018-1336）、およびデフォルトのCORSフィルタ設定が安全ではなかった問題（CVE-2018-8014）が修正されています。また、Apache Tomcat 8.5.32および9.0.10では、コネクタNIO/NIO2におけるコネクションの管理不備に関する問題（CVE-2018-8037）も修正されています。

なお、FileMaker Server 17では、Java Web公開エンジンにApache Tomcat 7.0.82が使用されていますが、Admin Console用管理サーバーではApache Tomcatの代わりにNode.jsが使用されるようになっています。

［関連］JVNVU#90416738: Apache Tomcat の複数の脆弱性に対するアップデート（Japan Vulnerability Notes）、Apache Tomcat 7.0.88、8.0.52、8.5.31および9.0.8が公開（FAMLog）

Apache HTTP Server 2.4.34が公開されています。

バージョン2.4.34では、mod_mdのDoS脆弱性（CVE-2018-8011）とmod_http2のDoS脆弱性（CVE-2018-1333）が修正されています。ACMEv1を使用してLet's Encryptの証明書を取得・更新できるmod_mdの機能強化や不具合修正もあわせて行われています。

なお、Apache HTTP Server 2.2系統はすでに保守が終了しており、今後はApache HTTP Server 2.4系統を利用することが推奨されます。

［関連］Apache HTTP Server 2.2系列の公式サポートが終了（FAMLog）、Apache HTTP Server 2.4.33が公開（FAMLog）

AppleからmacOS High Sierra 10.13.6と、macOS Sierra 10.12.6およびOS X El Capitan v10.11.6用のSecurity Update 2018-004が公開されています。

上記の各アップデートにはセキュリティに関わる修正が含まれており、Intel CPUのLazy FP state restore脆弱性（CVE-2018-3665）が修正されています。

なお、バージョン17、16および15.0.2以降のFileMaker ServerはmacOS High Sierraと互換性がありますが、FileMaker Server 14はmacOS High Sierraには対応していません。

［関連］macOS版FileMaker Server 17の動作環境（FAMLog）、FileMaker Serverの運用環境としてOS X El Capitan v10.11がサポート対象外に（FAMLog）

WebサーバーとTomcatの接続に使用されるコネクター「Apache Tomcat JK Connector 1.2.43」が2018年3月上旬に公開されています。

Apache Tomcat JK Connector 1.2.43では、IIS利用時におけるパストラバーサルのセキュリティ脆弱性（CVE-2018-1323）が修正されています。

なお、Mac版のFileMaker Server 7からFileMaker Server 11まではApache Tomcat JK Connector 1.2をベースにしたものがWebサーバーモジュールで使用されていました。macOS版のFileMaker Server 16ではmod_proxy_ajp.soが組み込まれたApache HTTP Serverを利用していますが、mod_proxy_ajpやApache Tomcat JK Connectorは特に内部では使われてはいません。

Apache Tomcat 7.0.85、Apache Tomcat 8.0.50、Apache Tomcat 8.5.28およびApache Tomcat 9.0.5が2018年2月中旬に公開されています。

Apache Tomcat 7.0.85、8.0.50、8.5.28および9.0.5では、2点のセキュリティ脆弱性が修正されており、特定のURLパターンによるアクセス制限が適切に設定されない問題（CVE-2018-1304）とServletのアノテーションで定義されているアクセス制限が適切に設定されない問題（CVE-2018-1305）が修正されています。

なお、現時点でのApache Tomcatの最新安定バージョンはバージョン9.0.5ですが、FileMaker Server 13とFileMaker Server 14、FileMaker Server 15、FileMaker Server 16のWeb公開機能とAdmin Console用管理サーバーではTomcat 7.0系列が使用されています。

［関連］JVNVU#95970576: Apache Tomcat の複数の脆弱性に対するアップデート（Japan Vulnerability Notes）

AppleからmacOS High Sierra 10.13.3、macOS Sierra 10.12.6およびOS X El Capitan v10.11.6用のSecurity Update 2018-001が公開されています。

上記の各アップデートにはセキュリティに関わる修正が含まれていますが、OS X Yosemite用のアップデートは用意されていません。

なお、macOS Sierra 10.12.6およびOS X El Capitan v10.11.6用のSecurity Update 2018-001にはMeltdown脆弱性（CVE-2017-5754）の影響緩和策が含まれているとのことです。

［関連］ARM ベースおよび Intel CPU の投機的実行の脆弱性について（Apple）、About speculative execution vulnerabilities in ARM-based and Intel CPUs（Apple）

AppleからSpectre脆弱性（CVE-2017-5753およびCVE-2017-5715）の影響緩和策が含まれているmacOS SierraおよびOS X El Capitan用のSafari 11.0.2が配布されています。

Spectre脆弱性の影響緩和策が含まれているSafariに更新すると、macOS Sierra 10.12.6用のSafariはバージョン11.0.2 (12604.4.7.1.6)に、OS X El Capitan 10.11.6用のSafariはバージョン11.0.2 (11604.4.7.1.6)に更新されます。

なお、SpectreだけでなくMeltdownという名称の脆弱性（CVE-2017-5754）も今月上旬に公表されましたが、2018年1月11日現在、macOSではmacOS High Sierra 10.13.2にMeltdownの影響緩和策が含まれていますが、macOS Sierra以前向けのmacOSにはMeltdownの影響緩和策はリリースされていない状況です。

［関連］About speculative execution vulnerabilities in ARM-based and Intel CPUs（Apple）、APPLE-SA-2017-12-13-5 Safari 11.0.2（FAMLog）、APPLE-SA-2018-1-8-2 macOS High Sierra 10.13.2 Supplemental Update（FAMLog）

AppleからmacOS High Sierra 10.13.2 追加アップデートが公開されています。

macOS High Sierra 10.13.2 追加アップデートにはセキュリティアップデートが含まれ、SafariとWebKitにおけるSpectre脆弱性（CVE-2017-5753およびCVE-2017-5715）の影響緩和策が含まれています。

なお、SpectreだけでなくMeltdownという名称の脆弱性（CVE-2017-5754）も最近公表されましたが、AppleはiOS 11.2、macOS 10.13.2およびtvOS 11.2にMeltdownの影響緩和策を含めていたと発表しており、Apple WatchについてはMeltdownとSpectreのどちらの影響も受けないとのことです。

［関連］ARM ベースおよび Intel CPU の投機的実行の脆弱性について（Apple）、APPLE-SA-2017-12-6-1 macOS High Sierra 10.13.2（FAMLog）、APPLE-SA-2018-1-8-1 iOS 11.2.2（FAMLog）

iOSデバイス向けのソフトウェアアップデートとなるiOS 11.2.2の提供が開始されています。

iOS 11.2.2にはセキュリティアップデートが含まれ、SafariとWebKitにおけるSpectre脆弱性（CVE-2017-5753およびCVE-2017-5715）の影響緩和策が含まれています。

なお、SpectreだけでなくMeltdownという名称の脆弱性（CVE-2017-5754）も最近公表されましたが、AppleはiOS 11.2、macOS 10.13.2およびtvOS 11.2にMeltdownの影響緩和策を含めていたと発表しており、Apple WatchについてはMeltdownとSpectreのどちらの影響も受けないとのことです。

［関連］ARM ベースおよび Intel CPU の投機的実行の脆弱性について（Apple）、APPLE-SA-2017-12-6-1 macOS High Sierra 10.13.2（FAMLog）、APPLE-SA-2017-12-6-2 iOS 11.2（FAMLog）