FAMLog

OpenSSL 1.1.1mおよびOpenSSL 3.0.1が2021年12月中旬に公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 3.0.1では1点のセキュリティ脆弱性（CVE-2021-4044）が修正されていますが、OpenSSL 3.0.1で修正された当該脆弱性はOpenSSL 1.1.1系列には影響はないとのことです。

なお、Claris FileMaker Pro 19.4.1およびClaris FileMaker Server 19.4.1では、使用されているOpenSSLのバージョンがバージョン1.1.1lに更新されています。

［関連］OpenSSL 3.0.0が公開（FAMLog）

セキュリティ脆弱性の修正を含んだSafari 15.2の提供が2021年12月中旬に開始されています。

WebKitにおける複数の脆弱性が修正されたSafari 15.2は、macOS Big SurおよびmacOS Catalinaで利用できます。同時に公開されたmacOS Monterey 12.1にもSafari 15.2が含まれています。

なお、macOS Mojave 10.14用のSafari 15は提供されておらず、macOS Catalina以降にアップグレードすることが推奨される状況になっています。

［関連］macOS Monterey 12.1の提供が開始（FAMLog）

macOS Catalina 10.15.7用のSecurity Update 2021-008の提供が2021年12月中旬に開始されています。

macOS Catalina 10.15.7用のSecurity Update 2021-008には多数のセキュリティに関わる修正が含まれて、悪意のあるアプリケーションにカーネル権限を取得されて任意のコードを実行される可能性がある問題や、悪意のあるアプリケーションにGatekeeperによるチェックを回避される可能性がある問題などが修正されています。

なお、FileMaker Serverはバージョン18.0.3以降でmacOS Catalinaに対応していて、Claris FileMaker Server 19もmacOS Catalinaをサポートしています。

［関連］macOS Monterey 12.1の提供が開始（FAMLog）、macOS Big Sur 11.6.2の提供が開始（FAMLog）

macOS Big Sur 11.6.2の提供が2021年12月中旬に開始されています。

macOS Big Sur 11.6.2では複数のセキュリティ脆弱性が修正されていて、悪意のあるアプリケーションにカーネル権限を取得されて任意のコードを実行される可能性がある問題や、悪意のあるアプリケーションにGatekeeperによるチェックを回避される可能性がある問題などが修正されています。

なお、Claris FileMaker Serverはバージョン19.1.2以降であればmacOS Big Surと互換性があり、バージョン19.3.1以降でユニバーサルバイナリとしてAppleシリコン搭載Macに対応するようになっています。

［関連］macOS Monterey 12.1の提供が開始（FAMLog）

macOS Monterey 12.1の提供が2021年12月中旬に開始されています。

macOS Monterey 12.1では複数のセキュリティ脆弱性が修正されています。macOS Montereyに対応しているMacは、MacBook（Early 2016以降）、MacBook Air（Early 2015以降）、MacBook Pro（Early 2015以降）、Mac mini（Late 2014以降）、iMac（Late 2015以降）、iMac Pro（2017以降）およびMac Pro（Late 2013以降）です。

Claris FileMaker ProおよびClaris FileMaker Serverはバージョン19.4.1以降で正式にmacOS Montereyに対応するようになっています。なお、macOS版のFileMaker Server 19.4.1ではインストール時にPHPがインストールされなくなっている点に留意する必要があります。

Claris FileMaker Go 19.4.2の提供が開始されています。

FileMaker Go 19.4.2では、Claris FileMaker ServerにECC P-384 SSL証明書が使用されている場合に完全修飾ドメイン名を使用してカスタム Appに安全に接続できない問題が修正されています。

なお、FileMaker Go 18の提供終了予定日が2022年5月31日に変更されていますが、FileMaker 18 プラットフォームは2021年6月にメーカーサポートが終了しました。セキュリティアップデートは最新版のみにしか提供されないことや、予告なく早期にFileMaker Go 18の配布が終了する可能性もあるため、Claris FileMaker製品をバージョン19以降にバージョンアップすることが強く推奨されます。

［関連］Claris FileMaker Pro 19.4.2の提供が開始（FAMLog）、Claris FileMaker Server 19.4.2の提供が開始（FAMLog）

Apache Log4jのセキュリティ脆弱性とClaris FileMakerに関する情報がClaris ナレッジベースで公開されています。

Apache Log4jはJavaベースのロギングユーティリティフレームワークで、Apache Software Foundationによって提供されています。バージョン2.14.1以前のApache Log4j2には、遠隔から攻撃者が任意のコードを実行できる脆弱性が存在し、当該脆弱性がすでに攻撃に広く利用されている状況になっています。

Claris ナレッジベースの記事では、現在サポート対象であるClaris FileMaker 19はLog4j2の脆弱性の影響はないことがClaris International Inc.によって確認されたという記述がありますが、メーカーサポートが終了しているバージョン18以前についてはサポート中の現行バージョンへのアップグレードを推奨するという言及に留まっています。

［関連］Q&A: Claris 製品と Apache Log4j の脆弱性（Claris ナレッジベース）、Claris FileMakerとApache Log4jのセキュリティ脆弱性（CVE-2021-44228）に関するご案内（株式会社エミック）、Claris FileMakerとApache Log4jのセキュリティ脆弱性（CVE-2021-44228）に関するご案内（続報）（株式会社エミック）

（2022年2月26日追記：Claris ナレッジベースにおける記事のタイトルが変更されていたのでタイトルを「CVE-2021-44228 - Apache Log4j 脆弱性の Claris 製品への影響」から「Q&A: Claris 製品と Apache Log4j の脆弱性」に変更し、さらに関連記事を1つ追加しました。）

Claris FileMaker Server 19.3.3の提供が開始されています。

FileMaker Server 19.3のセキュリティアップデートに相当するFileMaker Server 19.3.3では、外部DTD（文書型定義）を参照するExcel（.xlsx）またはXMLファイルをインポートする場合に、外部DTDが処理されないように外部エンティティ解決が無効になっています。この変更は、XML外部実体参照（XXE）に関する脆弱性を修正するためのものであり、FileMaker Pro 19.4.1およびFileMaker Server 19.4.1でも修正されていたものです。

バージョン19.3.3ではNode.jsがバージョン14.18.1に更新される変更も行われていますが、変更点の詳細および既知の問題についてはClaris FileMaker Server 19.3.3 リリースノートを参照するようにしてください。

［関連］Claris FileMaker Server 19.4.1の提供が開始（FAMLog）、FileMaker 19.4.1 アップデートによる XXE 脆弱性の軽減（Claris ナレッジベース）

LibreSSL 3.4.2が2021年11月下旬に公開されています。

LibreSSLは、OpenSSLからフォークされたものであり、OpenBSDの標準TLSライブラリとして採用されています。LibreSSL 3.4.2では1点のセキュリティ脆弱性が修正されています。

なお、LibreSSLは約半年ごとに新しいバージョンの安定版がリリースされ、1年間更新が行われるスケジュールになっています。

PHP 7.4系列は2022年11月に公式のセキュリティサポートが終了する予定となっています。

PHP 7.4系列のアクティブサポートは2021年11月28日に終了しており、重大なセキュリティに関わる修正が行われるセキュリティサポートは2022年11月28日までの予定となっています。

PHP 7.3系統の保守は2021年12月6日に終了する予定であり、現時点でのPHPの最新安定バージョンはバージョン8.1.0です。なお、下位互換性のない変更点や推奨されなくなる機能もあるため、PHP 8.1に移行する場合にはあらかじめ移行ガイドで各種変更点を確認してから移行作業を行う必要があります。

［関連］PHP 7.3系列の公式セキュリティサポート終了予定日（FAMLog）