FAMLog

WebサーバーとApache Tomcatの接続に使用されるコネクターであるApache Tomcat JK Connector 1.2.49が2023年9月中旬に公開されています。

Apache Tomcat JK Connector 1.2.49では、特定の条件下で発生する情報漏洩の脆弱性（CVE-2023-41081）が修正されています。

なお、Mac版のFileMaker Server 7からFileMaker Server 11まではApache Tomcat JK Connector 1.2をベースにしたものがWebサーバーモジュールで使用されていました。macOS版のClaris FileMaker Server 2023ではmod_proxy_ajp.soが組み込まれたApache HTTP Serverを利用していますが、mod_proxy_ajpやApache Tomcat JK Connectorは特に内部では使われてはいません。

［関連］JVNVU#96802408: Apache Tomcat Connectors（mod_jk）における情報漏えいの脆弱性（Japan Vulnerability Notes）

OpenSSL 3.0.11およびOpenSSL 3.1.3が公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 3.0.11およびOpenSSL 3.1.3では、深刻度が低であるセキュリティ脆弱性（CVE-2023-4807）が修正されています。

なお、現時点でのOpenSSLの最新安定バージョンはバージョン3.1.3ですが、バージョン3.0系統は長期サポート版（LTS）として位置付けられており、OpenSSL 3.0系統はOpenSSL 3.1系統のサポートが終了した後も約1年半引き続きサポートされる予定となっています。

［関連］JVNVU#96140980: OpenSSLのPOLY1305 MAC実装におけるWindows上のXMMレジスタが破損する問題（Security Advisory [8th September 2023]）（Japan Vulnerability Notes）、OpenSSL 1.1.1wが公開（FAMLog）

curl 8.3.0が公開されています。

curlは、さまざまな通信規格に対応しているデータ転送ソフトウェアであり、Claris FileMakerでも利用されています。curl 8.3.0では1点のセキュリティ脆弱性（CVE-2023-38039）が修正されています。

なお、Claris FileMaker Pro 2023（20.1.2）において、［URL から挿入］スクリプトステップのcURL オプションで-Vもしくは--versionオプションを使用して取得できるlibcurlのバージョン情報は次の通りです。

［出力例］
libcurl/7.83.0-DEV OpenSSL/3.0.8 zlib/1.2.11 libssh2/1.9.0_DEV
Features: AsynchDNS IPv6 Largefile NTLM NTLM_WB SSL libz TLS-SRP UnixSockets HTTPS-proxy alt-svc HSTS

OpenSSL 1.1.1wが公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 1.1.1wでは深刻度が低であるセキュリティ脆弱性（CVE-2023-4807）が修正されていますが、 OpenSSL 1.1.1系列は2023年9月11日にサポートが終了したことから今後はバージョン3.0系列以降を利用することが強く推奨されます。

なお、現時点でのOpenSSLの最新安定バージョンはバージョン3.1.2ですが、バージョン3.0系統は長期サポート版（LTS）として位置付けられており、OpenSSL 3.0系統はOpenSSL 3.1系統のサポートが終了した後も約1年半引き続きサポートされる予定となっています。

［関連］JVNVU#96140980: OpenSSLのPOLY1305 MAC実装におけるWindows上のXMMレジスタが破損する問題（Security Advisory [8th September 2023]）（Japan Vulnerability Notes）、OpenSSL 1.1.1系列のサポート終了予定日（FAMLog）、OpenSSL 3.0系列のサポート終了予定日（FAMLog）

macOS Monterey 12.6.9およびmacOS Big Sur 11.7.10の提供が開始されています。

macOS Monterey 12.6.9およびmacOS Big Sur 11.7.10では、悪意のある画像を処理させることで任意のコードが実行される可能性のあるセキュリティ脆弱性（CVE-2023-41064）が修正されています。当該脆弱性がすでに攻撃に利用されている状況になっていることから、macOS Montereyを使用している場合にはmacOS Monterey 12.6.9に、macOS Big Surを使用している場合にはmacOS Big Sur 11.7.10に更新することが推奨されます。

なお、Claris FileMaker ProおよびClaris FileMaker Serverはバージョン19.4.1以降で正式にmacOS Montereyに対応するようになっています。

［関連］macOS Ventura 13.5.2の提供が開始（FAMLog）

iPhone向けのソフトウェア・アップデートとなるiOS 15.7.9と、iPad向けのソフトウェア・アップデートとなるiPadOS 15.7.9の提供が開始されています。

iOS 15.7.9およびiPadOS 15.7.9では悪意のある画像を処理させることで任意のコードが実行される可能性のあるセキュリティ脆弱性（CVE-2023-41064）が修正されています。当該脆弱性がすでに攻撃に利用されている状況になっていることから、iOS 16およびiPadOS 16に未対応の機種でiOS 15およびiPadOS 15を使用している場合にはアップデートを適用することが推奨されています。

なお、App StoreからダウンロードできるClaris FileMaker Goを使用すれば、Claris FileMaker Proで作成したカスタム AppをiOSやiPadOS上で実行できます。FileMaker Go 2023はiOS 16以降もしくはiPadOS 16以降で動作するため、iOS 15およびiPadOS 15を使用している場合にはFileMaker Go 19.6.3を使う必要があります。

［関連］iOS 16.6.1およびiPadOS 16.6.1の提供が開始（FAMLog）

iPhone向けのソフトウェア・アップデートとなるiOS 16.6.1と、iPad向けのソフトウェア・アップデートとなるiPadOS 16.6.1の提供が開始されています。

iOS 16.6.1およびiPadOS 16.6.1では2点のセキュリティ脆弱性が修正されています。すでに攻撃に利用されている状況になっている脆弱性（CVE-2023-41061およびCVE-2023-41064）が修正されていることから、すべての対象ユーザーにアップデートを適用することが推奨されています。

なお、App StoreからダウンロードできるClaris FileMaker Goを使用すれば、Claris FileMaker Proで作成したカスタム AppをiOSやiPadOS上で実行できます。FileMaker Go 2023はiOS 16以降もしくはiPadOS 16以降で動作します。

［関連］macOS Ventura 13.5.2の提供が開始（FAMLog）

macOS Ventura 13.5.2の提供が開始されています。

macOS Ventura 13.5.2では、悪意のある画像を処理させることで任意のコードが実行される可能性のあるセキュリティ脆弱性（CVE-2023-41064）が修正されています。当該脆弱性がすでに攻撃に利用されている状況になっていることから、macOS Venturaを使用している場合にはmacOS Ventura 13.5.2にアップデートすることが推奨されます。

なお、Claris FileMaker ProおよびClaris FileMaker Serverはバージョン19.6.1以降でmacOS Venturaでのインストールが正式にサポートされるようになっています。

Apache Tomcat 8.5.93、Apache Tomcat 9.0.80およびApache Tomcat 10.1.13が公開されています。

Apache Tomcat 8.5.93、Apache Tomcat 9.0.80およびApache Tomcat 10.1.13では、ROOTディレクトリに配置されたデフォルトのWebアプリケーションがFORM認証を使用するように設定されている場合に発生していた、オープンリダイレクトの脆弱性（CVE-2023-41080）が修正されています。

なお、現時点でのApache Tomcatの最新安定バージョンはバージョン10.1.13ですが、Claris FileMaker Server 2023（FileMaker Server 20.1.2）ではJava Web公開エンジンにApache Tomcat 9.0.69が使用されています。

［関連］JVNVU#93446549: Apache Tomcatにおけるオープンリダイレクトの脆弱性（Japan Vulnerability Notes）

SSHプロトコルを使用するネットワーク接続ツールのフリーな実装であるOpenSSHの新バージョンであるOpenSSH 9.3p2が公開されています。

OpenSSH 9.3p2では、特定の条件下において転送されたエージェントのソケットを介してリモートでのコード実行に悪用される可能性があるセキュリティ脆弱性（CVE-2023-38408）が修正されています。

なお、当該脆弱性はQualys Security Advisory teamによって発見され、悪用可能であることが示されたとのことです。

［参考］OpenSSH 9.3p2 がリリースされました（春山征吾のBlog）