FAMLog

Apache Log4jのセキュリティ脆弱性とClaris FileMakerに関する情報がClaris ナレッジベースで公開されています。

Apache Log4jはJavaベースのロギングユーティリティフレームワークで、Apache Software Foundationによって提供されています。バージョン2.14.1以前のApache Log4j2には、遠隔から攻撃者が任意のコードを実行できる脆弱性が存在し、当該脆弱性がすでに攻撃に広く利用されている状況になっています。

Claris ナレッジベースの記事では、現在サポート対象であるClaris FileMaker 19はLog4j2の脆弱性の影響はないことがClaris International Inc.によって確認されたという記述がありますが、メーカーサポートが終了しているバージョン18以前についてはサポート中の現行バージョンへのアップグレードを推奨するという言及に留まっています。

［関連］Q&A: Claris 製品と Apache Log4j の脆弱性（Claris ナレッジベース）、Claris FileMakerとApache Log4jのセキュリティ脆弱性（CVE-2021-44228）に関するご案内（株式会社エミック）、Claris FileMakerとApache Log4jのセキュリティ脆弱性（CVE-2021-44228）に関するご案内（続報）（株式会社エミック）

（2022年2月26日追記：Claris ナレッジベースにおける記事のタイトルが変更されていたのでタイトルを「CVE-2021-44228 - Apache Log4j 脆弱性の Claris 製品への影響」から「Q&A: Claris 製品と Apache Log4j の脆弱性」に変更し、さらに関連記事を1つ追加しました。）

Claris FileMaker Server 19.3.3の提供が開始されています。

FileMaker Server 19.3のセキュリティアップデートに相当するFileMaker Server 19.3.3では、外部DTD（文書型定義）を参照するExcel（.xlsx）またはXMLファイルをインポートする場合に、外部DTDが処理されないように外部エンティティ解決が無効になっています。この変更は、XML外部実体参照（XXE）に関する脆弱性を修正するためのものであり、FileMaker Pro 19.4.1およびFileMaker Server 19.4.1でも修正されていたものです。

バージョン19.3.3ではNode.jsがバージョン14.18.1に更新される変更も行われていますが、変更点の詳細および既知の問題についてはClaris FileMaker Server 19.3.3 リリースノートを参照するようにしてください。

［関連］Claris FileMaker Server 19.4.1の提供が開始（FAMLog）、FileMaker 19.4.1 アップデートによる XXE 脆弱性の軽減（Claris ナレッジベース）

LibreSSL 3.4.2が2021年11月下旬に公開されています。

LibreSSLは、OpenSSLからフォークされたものであり、OpenBSDの標準TLSライブラリとして採用されています。LibreSSL 3.4.2では1点のセキュリティ脆弱性が修正されています。

なお、LibreSSLは約半年ごとに新しいバージョンの安定版がリリースされ、1年間更新が行われるスケジュールになっています。

PHP 7.4系列は2022年11月に公式のセキュリティサポートが終了する予定となっています。

PHP 7.4系列のアクティブサポートは2021年11月28日に終了しており、重大なセキュリティに関わる修正が行われるセキュリティサポートは2022年11月28日までの予定となっています。

PHP 7.3系統の保守は2021年12月6日に終了する予定であり、現時点でのPHPの最新安定バージョンはバージョン8.1.0です。なお、下位互換性のない変更点や推奨されなくなる機能もあるため、PHP 8.1に移行する場合にはあらかじめ移行ガイドで各種変更点を確認してから移行作業を行う必要があります。

［関連］PHP 7.3系列の公式セキュリティサポート終了予定日（FAMLog）

PHP 8.1.0が公開されています。

パフォーマンスの向上が図られているPHP 8.1では、定数セットの代わりに利用できる列挙型や読み取り専用プロパティなど数多くの新機能が追加されています。下位互換性のない変更点や推奨されなくなる機能もあるため、PHP 8.0からPHP 8.1に移行する場合にはあらかじめ移行ガイドで各種変更点を確認してから移行作業を行う必要があります。

なお、PHP 7.4は2022年11月28日まで、PHP 8.0は2023年11月26日まで、PHP 8.1は2024年11月25日までセキュリティ修正が継続される予定となっています。PHP 7.3系統の保守は2021年12月6日に終了する予定であり、今後はバージョン7.4系列以降にアップグレードする必要がある状況です。

Ruby 3.0.3、Ruby 2.7.5およびRuby 2.6.9が公開されています。

Ruby 3.0.3およびRuby 2.7.5では3点のセキュリティ脆弱性（CVE-2021-41816、CVE-2021-41817、CVE-2021-41819）が修正されていて、Ruby 2.6.9では2点のセキュリティ脆弱性（CVE-2021-41817、CVE-2021-41819）が修正されています。

なお、Ruby 2.6系列は重大なセキュリティ上の問題への対応のみが行われるセキュリティメンテナンスフェーズにあり、2022年3月末頃を目処にRuby 2.6系列のセキュリティメンテナンスならびに公式サポートが終了する予定となっています。

PHP 7.3.33、PHP 7.4.26およびPHP 8.0.13が公開されています。

PHP 7.3.33、PHP 7.4.26およびPHP 8.0.13ではそれぞれセキュリティ脆弱性の修正が行われています。なお、PHP 7.3系列のアクティブサポートは2020年12月にすでに終了しており、重大なセキュリティに関わる修正が行われるセキュリティサポートは2021年12月6日までの予定となっています。

PHPはバージョン8.1系統の開発も進められており、現在バージョン8.1.0 RC 6が公開されている状況です。

（2022/01/11追記：「バージョンPHP 8.1.0 RC 6」を「バージョン8.1.0 RC 6」に変更・修正しました。）

Claris FileMaker Go 19.4.1の提供が開始されています。

OpenSSL 1.1.1lに更新されたFileMaker Go 19.4.1では、iOS 15上でFileMaker Goがバックグラウンドで実行されている場合に予期せず終了することがある問題や、共有されているカスタム Appにアクセスして閉じた後にデバイスを再起動するまでそのカスタム Appを再度開けない場合がある問題などが修正されています。

なお、FileMaker Go 18の提供終了予定日が2022年5月31日に変更されていますが、FileMaker 18 プラットフォームは2021年6月にメーカーサポートが終了しました。セキュリティアップデートは最新版のみにしか提供されないことや、予告なく早期にFileMaker Go 18の配布が終了する可能性もあるため、Claris FileMaker製品をバージョン19以降にバージョンアップすることが強く推奨されます。

［関連］Claris FileMaker Pro 19.4.1 アップデータが公開（FAMLog）、FileMaker Go 18の提供終了予定日が2022年5月31日に変更（FAMLog）

curl 7.80.0が公開されています。

curlは、さまざまな通信規格に対応しているデータ転送ソフトウェアであり、Claris FileMakerでも利用されています。バージョン7.80.0では機能追加や不具合の修正などが行われており、セキュリティ修正は含まれていません。

なお、バージョン16以降のClaris FileMakerでは［URL から挿入］スクリプトステップでさまざまなcURLオプションを指定できるようになっています。Claris FileMaker Pro 19.3.1およびClaris FileMaker Server 19.3.1ではcurlが更新されており、curl 7.76.0が使用されるようになっています。

Eclipse Temurin 8u312およびEclipse Temurin 11.0.13が公開されています。

Eclipse Temurinは、主要なマルチプラットフォームに対応しているOpenJDKディストリビューションの1つです。AdoptOpenJDKがEclipse Temurinとして今年刷新されましたが、Eclipse Temurin 8u312およびEclipse Temurin 11.0.13では複数のセキュリティ脆弱性が修正されています。

Claris ナレッジベースの記事では、AdoptOpenJDKをインストールする手順が記載されていますが、Claris FileMaker Serverのバージョンや使用しているオペレーティングシステムによって具体的な手順が異なります。インストール方法の詳細についてはClaris ナレッジベースの記事を必ず参照するようにしてください。

［関連］FileMaker Server と Java - 概要（Claris ナレッジベース）