FAMLog

「PHP 5.6.9」、「PHP 5.5.25」および「PHP 5.4.41」が公開されています。

PHP 5.6.9、PHP 5.5.25およびPHP 5.4.41では複数のセキュリティ脆弱性が修正されています。PHP 5.4系統は今後積極的な不具合の修正は行われない予定となっているため、今後はバージョン5.6系統もしくはバージョン5.5系統へのアップグレードが推奨されている状況です。

なお、FileMaker Server 14では、Windows版の場合はPHP 5.5.16、OS X Yosemiteの場合はPHP 5.5.14、OS X Mavericksの場合はPHP 5.4.24がインストールされ、PHP 5.3系統はサポートされていません。

ファイルメーカー社が「FileMaker Pro 13 および FileMaker Pro 13 Advanced v9 アップデータ」を公開しています。

このアップデータは、FileMaker Pro 13またはFileMaker Pro 13 Advancedをバージョン13.0v9に更新するものです。バージョン13.0v9では、FileMaker 13 プラットフォームのSSLに関する問題が修正されており、アプリケーションUIとFileMakerセキュリティ証明書が更新されているとのことです。

バージョン13.0v9のFileMaker Pro 13およびFileMaker Pro 13 Advancedからは、下記条件でSSLを有効にしているFileMaker Serverに接続できないので注意が必要です。

・FileMaker製品でサポートされているSSLサーバー証明書を購入・インストールせずに「保護された接続が必要」設定を有効にしている、13.0v5およびそれ以前のバージョンのFileMaker Server 13（バージョン13.0v9に未更新の場合）
・「保護された接続が必要」設定を有効にしているFileMaker Server 12およびFileMaker Server 12 Advanced（約2週間後に公開される予定のセキュリティ更新を未適用の場合）

バージョン12のFileMaker Serverについては、認証局からSSLサーバー証明書を購入していてもいなくてもFileMaker Pro 13.0v9からFileMaker Server 12にSSL接続できないので、約2週間後に公開される予定のセキュリティ更新を待つ必要がある模様です。

［関連］FileMaker 13.0v9 と FileMaker 12 のセキュリティ更新に関する Q&A（FileMaker ナレッジベース）、FileMaker Server 12 セキュリティ更新が公開（FAMLog）

（2015/04/23追記：2015年4月22日に「FileMaker Server 12 セキュリティ更新」が公開されたので、関連記事を追加・更新しました。）

ファイルメーカー社が「FileMaker Server 13.0v9 アップデータ」を公開しています。

このアップデータは、バージョン13.0v3、13.0v4もしくは13.0v5のFileMaker Server 13をバージョン13.0v9に更新するものです。FileMaker Server 13.0v9では、FileMaker 13 プラットフォームの潜在的なSSLに関する問題が修正されており、アプリケーションUIとFileMakerセキュリティ証明書が更新されているとのことです。

FileMaker製品でサポートされているSSLサーバー証明書を購入・インストールせずに、バージョン13.0v5およびそれ以前のFileMaker Server 13で「保護された接続が必要」にチェックをつけて有効にしている場合に、同時に公開されたFileMaker Pro 13.0v9および約2週間後に公開される予定であるFileMaker Go 13.0.9がサーバーに接続できなくなってしまうことが注意点として案内されています。アップデータ実行手順の詳細については、アップデータに同梱されている文書を必ず参照するようにしてください。

［関連］セキュリティ更新 - FileMaker 13v9/FileMaker 12（FileMaker ナレッジベース）

Appleから「Xcode 6.2」が2015年3月上旬に公開されています。

バージョン6.2ではApache SubversionとGitのセキュリティ脆弱性が修正されており、Subversionがバージョン1.7.19に、Gitがバージョン1.9.5に更新されます。なお、更新されたSubversionおよびGitを利用するにはXcodeを起動して各種コンポーネントをインストールする必要があるので注意が必要です。

Xcode 6.2はhttps://developer.apple.com/xcode/downloads/から入手可能で、動作条件としてOS X Mavericks v10.9.4以降が必要です。

（2015/03/18追記：更新されたSubversionおよびGitを利用するにはXcodeを起動して各種コンポーネントをインストールする必要がある旨の記述を追加しました。）

Apache Tomcatに含まれるversion.shスクリプトを使用することで、OS X版のFileMaker Server 13に同梱されているTomcatのバージョンを確認できます。

FileMaker Server 13.0v5がインストールされているOS X Yosemite v10.10.1ではバージョン情報は次のように表示されます。

［実行例］
$ sudo sh "/Library/FileMaker Server/Common/Tomcat/bin/version.sh"
（実際には1行で入力します）

［実行結果］
java version "1.7.0_71" Java(TM) SE Runtime Environment (build 1.7.0_71-b14) Java HotSpot(TM) 64-Bit Server VM (build 24.71-b01, mixed mode)
Using CATALINA_BASE:   /Library/FileMaker Server/Common/Tomcat
Using CATALINA_HOME:   /Library/FileMaker Server/Common/Tomcat
Using CATALINA_TMPDIR: /Library/FileMaker Server/Common/Tomcat/temp
Using JRE_HOME:        /Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Home
Using CLASSPATH:       /Library/FileMaker Server/Common/Tomcat/bin/bootstrap.jar:/Library/FileMaker Server/Common/Tomcat/bin/tomcat-juli.jar
Server version: Apache Tomcat/7.0.55
Server built:   Jul 18 2014 05:34:04
Server number:  7.0.55.0
OS Name:        Mac OS X
OS Version:     10.10.1
Architecture:   x86_64
JVM Version:    1.7.0_71-b14
JVM Vendor:     Oracle Corporation

現時点におけるFileMaker Serverの最新バージョンはバージョン13.0v5です。FileMaker Server 12ではTomcat 6.0系列が使用されていましたが、FileMaker Server 13.0v5にはTomcat 7.0.55が同梱されています。

［関連］Mac版FileMaker Server 12に含まれるTomcatのバージョンを確認する（FAMLog）

Appleが、Mac App StoreにおいてOS X Yosemiteにサーバー機能を追加する「OS X Server v4.0.3 Update」の配布を開始しています。

OS X Server 4は、Mac App Storeで購入してOS X Yosemiteに追加できます。価格は2,000円で、OS X Server v4.0からのアップデートは無料です。なお、OS X Server v4.0.3の利用にはOS X Yosemite v10.10.1が必要です。

旧バージョンのOS X Serverからアップグレードする場合は、まずOS X Yosemiteにアップグレードした後、OS X Server 4を購入してインストールする必要があります。

FileMaker Pro 13またはFileMaker Pro 13 Advancedのバージョン13.0v4では、FileMaker Serverにアップロードする際に暗号化通信が行われている場合にOS X版では緑色のロックアイコンが表示されるようになっています。

FileMaker Pro 13でFileMaker Server 13にデータベースファイルをアップロードする際、TCPの443番ポートおよびHTTPSが使用されます。SSLサーバー証明書を認証局から購入し、SSLサーバー証明書と中間CA証明書をWebサーバーにインストールする必要がありますが、fmsadminコマンドを使用して設定する手順については詳細は不明です。

FileMaker Pro 13からは、SSLサーバー証明書と一致するサーバー名を利用してサーバーに接続します。鍵アイコンの色が緑でない場合には暗号化通信は事実上実現されていないので要注意です（OS X版の場合）。

［関連］FileMaker 製品でサポートされる SSL サーバ証明書の販売元と種類の一覧（FileMaker ナレッジベース）、「FileMaker UG 全国合同オフラインミーティング 2014」発表資料（FAMLog）

（2014/12/10追記：緑色のロックアイコンが表示されるのはOS X版の場合である旨を追記しました。Windows版のロックアイコンについては関連記事をご参照ください。）

ファイルメーカー社が「FileMaker Server 13.0v5 アップデータ」を公開しています。

FileMaker Server 13.0v5では、下記のセキュリティに関する問題が修正されています。

・OS X版のFileMaker ServerにおいてApache WebサーバーのSSL 3.0が無効化されました。SSL 3.0にはPOODLE (Padding Oracle On Downgraded Legacy Encryption) と呼ばれる中間者攻撃の脆弱性があるためです。
・中間者攻撃によってFileMaker Serverがセキュリティの低い暗号スイートを使用する可能性のある問題が解決されました。
・設定ファイルがリモートマシンからアクセスされる可能性のある問題が解決されました。
・XMLおよびPHP Web公開テクノロジーがデフォルトで無効化されました。
・FileMaker WebDirectでブラウザーのCookie設定のセキュリティが強化されました。
・インストーラーおよびアップデータがOS X v10.9およびv10.10でのインストール用にデジタル署名されるようになりました。
・SHA-2版SSLサーバー証明書がサポートされました。
・サードパーティ製コンポーネント（Java 7、Apache Tomcat、PHP、OpenSSL）の更新にはセキュリティの強化および修正が含まれています。

FileMaker Server 13.0v5に更新することで、Java 7はバージョン7 Update 71に、Apache Tomcatのバージョンは7.0.55に、Windows版ではPHPのバージョンは5.5.16に、OS X YosemiteではPHPのバージョンは5.5.14に更新されます。

「PHP 5.6.3」、「PHP 5.5.19」および「PHP 5.4.35」が公開されています。

PHP 5.6.3、PHP 5.5.19およびPHP 5.4.35ではFileinfo拡張モジュールにおける脆弱性（CVE-2014-3710）が修正されています。PHP 5.4系統は今後積極的な不具合の修正は行われない予定となっているため、今後はバージョン5.6系統もしくはバージョン5.5系統へのアップグレードが推奨されています。

なお、FileMaker Server 13では、Windows版の場合はPHP 5.3.27、OS X Mountain Lionの場合はPHP 5.3.15、OS X Mavericksの場合はPHP 5.4.17がインストールされます。PHP 5.5系統以降についてはFileMaker ServerやFileMaker API for PHPとの互換性に関する情報は現時点では特にファイルメーカー社からの案内は特にない状況です。

IPA（独立行政法人情報処理推進機構）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）が、FileMaker製品のクロスサイトスクリプティング（XSS）脆弱性に関する情報を2014年9月に公開しています。

脆弱性の内容は、FileMaker製品のバージョン12およびそれ以前のバージョンで利用できるインスタントWeb公開機能にクロスサイトスクリプティングの脆弱性が存在するというものです。脆弱性が確認されているFileMaker製品は下記の通りです。

・FileMaker Pro 12およびそれ以前のバージョン
・FileMaker Pro 12 Advancedおよびそれ以前のバージョン
・FileMaker Server 12 Advancedおよびそれ以前のバージョン

上記の脆弱性は、サンプルデータベースの存在がJPCERT/CCによる脆弱性分析結果の評価値が高い一因となっています。この脆弱性を悪用するにはデータベースの管理者権限が必要であり、FileMaker Server Advancedと一緒にインストールされるサンプルデータベース（FMServer_Sampleデータベース）を削除することが脆弱性を緩和する重要な回避策となります。通常の使用範囲では本脆弱性により深刻な影響を受けることはまずあり得ませんが、データベースファイルには必ずパスワードを設定し、出所が不明なデータベースファイルを開かないようにご注意ください。

［関連］FileMaker 12およびそれ以前に存在する脆弱性について（株式会社エミック）