FAMLog

OpenSSL 3.0.12およびOpenSSL 3.1.4が公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 3.0.12およびOpenSSL 3.1.4では、鍵とIV（Initialization Vector）の長さに関する処理に問題があることで一部の共通鍵暗号の初期化時に切り捨てやオーバーフローが発生する可能性がある脆弱性（CVE-2023-5363）が修正されています。 OpenSSL Projectによると、OpenSSL SSL/TLS実装およびOpenSSL 3.0と3.1のFIPSプロバイダは本脆弱性の影響を受けないとのことです。

なお、現時点でのOpenSSLの最新安定バージョンはバージョン3.1.4ですが、バージョン3.0系統は長期サポート版（LTS）として位置付けられており、OpenSSL 3.0系統はOpenSSL 3.1系統のサポートが終了した後も約1年半引き続きサポートされる予定となっています。

［関連］JVNVU#99631663: OpenSSLにおける暗号鍵と初期化ベクトルの長さに関する処理の問題（OpenSSL Security Advisory [24th October 2023]）（Japan Vulnerability Notes）

2023年10月上旬に公開されたApache Tomcat 8.5.94、Apache Tomcat 9.0.81およびApache Tomcat 10.1.14ではセキュリティ脆弱性が修正されています。

Apache Tomcat 8.5.94、Apache Tomcat 9.0.81およびApache Tomcat 10.1.14では、HTTP/2プロトコルを採用するサーバに大量のリクエストのキャンセルによりサーバリソースを消費する問題（CVE-2023-44487）やHTTP Trailer headerを正しく解析しない問題（CVE-2023-45648）などが修正されています。

なお、現時点でのApache Tomcatの最新安定バージョンはバージョン10.1.15ですが、Claris FileMaker Server 2023（FileMaker Server 20.2.1）ではJava Web公開エンジンにApache Tomcat 9.0.69が使用されています。

［関連］JVNVU#93620838: Apache Tomcatにおける複数の脆弱性（Japan Vulnerability Notes）

Apache HTTP Server 2.4.58が公開されています。

Apache HTTP ServerはオープンソースのWebサーバーソフトウェアです。バージョン2.4.58では、HTTP/2を処理する際の脆弱性（CVE-2023-43622およびCVE-2023-45802）とmod_macroの脆弱性（CVE-2023-31122）が修正されています。

なお、macOSおよびUbuntu 18.04向けのClaris FileMaker ServerではWebサーバーにApache HTTP Serverが内部的に使用されていますが、Ubuntu 20.04以降ではWebサーバーとしてApache HTTP Serverの代わりにnginxが使用されるようになっています。

［関連］JVNVU#93413100: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート（Japan Vulnerability Notes）

（2023/10/25追記：関連記事を追加しました。）

Node.js v18.18.2 (LTS)が公開されています。

複数のセキュリティ脆弱性が修正されているNode.js v18.18.2では、HTTP/2 Rapid Resetの脆弱性（CVE-2023-44487）も修正されています。Node.js v16は2023年9月にサポートが終了したため、Node.js v18への更新が推奨される状況になっています。

なお、Claris FileMaker ServerやClaris FileMaker CloudのClaris FileMaker Data API エンジンではNode.jsが使われていて、FileMaker Server 20.2.1ではNode.js v18.13.0が使用されています。

［関連］Node.js v18のサポート終了予定日（FAMLog）、Node.js v16のサポート終了予定日（FAMLog）

iPhone向けのソフトウェア・アップデートとなるiOS 16.7.1と、iPad向けのソフトウェア・アップデートとなるiPadOS 16.7.1の提供が開始されています。

iOS 16.7.1およびiPadOS 16.7.1では複数のセキュリティ脆弱性が修正されています。すでに悪用された可能性のある脆弱性（CVE-2023-42824）が修正されていることから、iOS 16を使用している場合にはiOS 16.7.1に、iPadOS 16を使用している場合にはiPadOS 16.7.1にアップデートすることが推奨されます。

なお、App StoreからダウンロードできるClaris FileMaker Goを使用すれば、Claris FileMaker Proで作成したカスタム AppをiOSやiPadOS上で実行できます。FileMaker Go 2023はiOS 16以降もしくはiPadOS 16以降で動作します。

［関連］iOS 17.0.3およびiPadOS 17.0.3の提供が開始（FAMLog）

curl 8.4.0が公開されています。

curlは、さまざまな通信規格に対応しているデータ転送ソフトウェアであり、Claris FileMakerでも利用されています。curl 8.4.0では2点のセキュリティ脆弱性（CVE-2023-38545およびCVE-2023-38546）が修正されています。

なお、Claris FileMaker Pro 2023（20.2.1）において、［URL から挿入］スクリプトステップのcURL オプションで-Vもしくは--versionオプションを使用して取得できるlibcurlのバージョン情報は次の通りです。

［出力例］
libcurl/7.83.0-DEV OpenSSL/3.0.8 zlib/1.2.12 libssh2/1.9.0_DEV
Features: AsynchDNS IPv6 Largefile NTLM NTLM_WB SSL libz TLS-SRP UnixSockets HTTPS-proxy alt-svc HSTS

セキュリティ脆弱性の修正を含んだSafari 16.6.1の提供が開始されています。

WebKitの脆弱性（CVE-2023-41993）が修正されたSafari 16.6.1はmacOS MontereyおよびmacOS Big Surで利用できます。すでに悪用された可能性のある脆弱性が修正されていることから、macOS Big SurもしくはmacOS Montereyを使用している場合にはSafari 16.6.1に更新することが推奨されます。

なお、macOS Catalina用のSafari 16は提供されていないため、macOS Big Sur以降にアップグレードすることが推奨される状況になっていると言えます。

WebサーバーとApache Tomcatの接続に使用されるコネクターであるApache Tomcat JK Connector 1.2.49が2023年9月中旬に公開されています。

Apache Tomcat JK Connector 1.2.49では、特定の条件下で発生する情報漏洩の脆弱性（CVE-2023-41081）が修正されています。

なお、Mac版のFileMaker Server 7からFileMaker Server 11まではApache Tomcat JK Connector 1.2をベースにしたものがWebサーバーモジュールで使用されていました。macOS版のClaris FileMaker Server 2023ではmod_proxy_ajp.soが組み込まれたApache HTTP Serverを利用していますが、mod_proxy_ajpやApache Tomcat JK Connectorは特に内部では使われてはいません。

［関連］JVNVU#96802408: Apache Tomcat Connectors（mod_jk）における情報漏えいの脆弱性（Japan Vulnerability Notes）

OpenSSL 3.0.11およびOpenSSL 3.1.3が公開されています。

OpenSSLは通信暗号化ライブラリとして広く利用されているオープンソースソフトウェアです。OpenSSL 3.0.11およびOpenSSL 3.1.3では、深刻度が低であるセキュリティ脆弱性（CVE-2023-4807）が修正されています。

なお、現時点でのOpenSSLの最新安定バージョンはバージョン3.1.3ですが、バージョン3.0系統は長期サポート版（LTS）として位置付けられており、OpenSSL 3.0系統はOpenSSL 3.1系統のサポートが終了した後も約1年半引き続きサポートされる予定となっています。

［関連］JVNVU#96140980: OpenSSLのPOLY1305 MAC実装におけるWindows上のXMMレジスタが破損する問題（Security Advisory [8th September 2023]）（Japan Vulnerability Notes）、OpenSSL 1.1.1wが公開（FAMLog）

curl 8.3.0が公開されています。

curlは、さまざまな通信規格に対応しているデータ転送ソフトウェアであり、Claris FileMakerでも利用されています。curl 8.3.0では1点のセキュリティ脆弱性（CVE-2023-38039）が修正されています。

なお、Claris FileMaker Pro 2023（20.1.2）において、［URL から挿入］スクリプトステップのcURL オプションで-Vもしくは--versionオプションを使用して取得できるlibcurlのバージョン情報は次の通りです。

［出力例］
libcurl/7.83.0-DEV OpenSSL/3.0.8 zlib/1.2.11 libssh2/1.9.0_DEV
Features: AsynchDNS IPv6 Largefile NTLM NTLM_WB SSL libz TLS-SRP UnixSockets HTTPS-proxy alt-svc HSTS