FAMLog

2023年2月に公開されたApache Tomcat 8.5.86、Apache Tomcat 9.0.72およびApache Tomcat 10.1.6ではセキュリティ脆弱性が修正されています。

Apache Tomcat 8.5.86、Apache Tomcat 9.0.72およびApache Tomcat 10.1.6では、httpsが設定されたX-Forwarded-Protoヘッダーを含むリクエストをHTTP経由でリバースプロキシから受信し、RemoteIpFilterを使用している場合において、Apache Tomcatが作成するセッションCookieにSecure属性が含まれない問題（CVE-2023-28708）が修正されています。

なお、Apache Tomcat 10.0系列は2022年10月にサポートが終了しており、現在Apache Tomcat 10.0系列を利用している場合にはApache Tomcat 10.1系列へのアップグレードが推奨されています。

［関連］JVNVU#90635957: Apache Tomcatにおける保護されていない認証情報の送信の脆弱性（Japan Vulnerability Notes）

curl 8.0.0が公開されています。

curlは、さまざまな通信規格に対応しているデータ転送ソフトウェアであり、Claris FileMakerでも利用されています。25周年を迎えたcurl 8.0.0では6点のセキュリティ脆弱性が修正されています。curl 7.88.1とAPIおよびABIの互換性はあることから、curl 7.88.1からバージョンアップする際の特筆すべき注意点は特にない模様です。

なお、バージョン8.0.0が公開された直後に問題が発覚したため、現時点では修正版としてバージョン8.0.1が公開されています。

SSHプロトコルを使用するネットワーク接続ツールのフリーな実装であるOpenSSHの新バージョンであるOpenSSH 9.3が2023年3月中旬に公開されています。

OpenSSH 9.3では、セキュリティの問題およびメモリ安全性に関連する問題が修正されています。

なお、バージョン9.3では新機能として、秘密鍵の読み込みやその他のチェックを行わずに有効な設定を解析して出力する「sshd -G」オプションが追加されています。

［参考］OpenSSH 9.3 がリリースされました（春山征吾のBlog）

PHP 8.1.17とPHP 8.2.4が公開されています。

PHP 8.1.17とPHP 8.2.4では不具合の修正が行われています。PHP 8.0系列のアクティブサポートは2022年11月にすでに終了しており、重大なセキュリティに関わる修正が行われるセキュリティサポートは2023年11月26日までの予定となっています。

なお、PHP 8.1は2024年11月25日まで、PHP 8.2は2025年12月8日までセキュリティ修正が継続される予定となっています。

LibreSSL 3.6.2およびLibreSSL 3.5.4が2023年2月上旬に公開されています。

LibreSSLは、OpenSSLからフォークされたものであり、OpenBSDの標準TLSライブラリとして採用されています。LibreSSL 3.6.2およびLibreSSL 3.5.4ではそれぞれ1点のセキュリティ脆弱性が修正されています。

なお、LibreSSLは約半年ごとに新しいバージョンの安定版がリリースされるスケジュールになっており、2022年10月に公開されたバージョン3.6.1でバージョン3.6系統が安定版として配布されるようになっていました。

Apache HTTP Server 2.4.56が公開されています。

Apache HTTP ServerはオープンソースのWebサーバーソフトウェアです。2点のセキュリティ脆弱性に対応したApache HTTP Server 2.4.56では、mod_proxy_uwsgiにおけるHTTPレスポンス分割の問題（CVE-2023-27522）と、mod_rewriteとmod_proxyにおけるHTTPリクエスト分割の問題（CVE-2023-25690）が修正されています。

なお、macOSおよびUbuntu 18.04向けのClaris FileMaker ServerではWebサーバーにApache HTTP Serverが内部的に使用されていますが、Ubuntu 20.04ではWebサーバーとしてApache HTTP Serverの代わりにnginxが使用されるようになっています。

［関連］JVNVU#94155938: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート（Japan Vulnerability Notes）

Node.js v14.21.3 (LTS)、Node.js v16.19.1 (LTS)およびNode.js v18.14.1 (LTS)が2023年2月中旬に公開されています。

Node.js v14.21.3、Node.js v16.19.1およびNode.js v18.14.1では、それぞれ複数のセキュリティ脆弱性が修正されています。Node.js v14は2023年4月末に、Node.js v16は2023年9月に、Node.js v18は2025年4月末にサポートが終了する予定となっています。

なお、Claris FileMaker ServerやClaris FileMaker CloudのClaris FileMaker Data API エンジンではNode.jsが使われていて、FileMaker Server 19.6.1ではNode.js v16.16.0が使用されています。

curl 7.88.1が公開されています。

curlは、さまざまな通信規格に対応しているデータ転送ソフトウェアであり、Claris FileMakerでも利用されています。バージョン7.88.0が2023年2月中旬に公開されていましたが、不具合の修正が行われているバージョン7.88.1にはセキュリティ修正は特に含まれていません。

なお、Claris FileMaker Pro 19.6.3において、［URL から挿入］スクリプトステップのcURL オプションで-Vもしくは--versionオプションを使用して取得できるlibcurlのバージョン情報は下記の通りです。

［出力例］
libcurl/7.83.0-DEV OpenSSL/3.0.7 zlib/1.2.11
Features: AsynchDNS IPv6 Largefile NTLM NTLM_WB SSL libz TLS-SRP UnixSockets HTTPS-proxy

［関連］curl 7.88.0が公開（FAMLog）

セキュリティ脆弱性の修正を含んだSafari 16.3の更新版が2023年2月中旬に公開されています。

WebKitの脆弱性（CVE-2023-23529）が修正されたSafari 16.3の更新版はmacOS Big SurおよびmacOS Montereyで利用でき、同時に公開されたmacOS Ventura 13.2.1にもSafari 16.3の更新版が含まれています。

なお、Safari 16.3は2023年1月に公開されていましたが、今回公開されたSafari 16.3の更新版では、ビルド番号がmacOS Big SurのSafari 16.3では16614.4.6.11.6に、macOS MontereyのSafari 16.3では17614.4.6.11.6に変更されています。

［関連］Safari 16.3の提供が開始（FAMLog）、macOS Ventura 13.2.1の提供が開始（FAMLog）

PHP 8.0.28、PHP 8.1.16およびPHP 8.2.3が公開されています。

PHP 8.0.28、PHP 8.1.16およびPHP 8.2.3ではそれぞれセキュリティ脆弱性の修正が行われています。PHP 7.4系統の公式セキュリティサポートは2022年11月に終了しており、今後はバージョン8.0系列以降にアップグレードすることが強く推奨される状況になっています。

なお、PHP 8.0は2023年11月26日まで、PHP 8.1は2024年11月25日まで、PHP 8.2は2025年12月8日までセキュリティ修正が継続される予定となっています。