FAMLog

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 0.9.8c」および「OpenSSL 0.9.7k」が公開されています。

これらのバージョンではセキュリティ上の問題が修正され、バージョン0.9.8bおよび0.9.7jまでには、指数に3を指定したRSA公開鍵が利用される場合に、PKCS #1 v1.5の署名を偽造でき、正当な署名と判定してしまう可能性がある問題が存在していたとのことです。

このため、OpenSSL 0.9.8cもしくは0.9.7kへのアップグレードが推奨されています。

「FileMaker Server 8v4 アップデータ」と共に「FileMaker Server 8v4 Advanced Web公開エンジンアップデータ」がファイルメーカー社のWebサイトで公開されています。

このアップデータは、FileMaker Server 8 AdvancedのWeb公開エンジンおよび管理コンソールをアップデートするもので、FileMaker Server Advancedのバージョン8.0v1、8.0v2および8.0v3を対象としています。なお、Mac版のアップデータは、PowerPCベースのMac用アップデータとなっています。

バージョン8.0v4では、XSLTスタイルシートにおいてdocument関数が無効なURLから読み込みを行おうとした場合に、スタックトレースとともにApache TomcatがHTTPステータスコード500のエラーを返してしまう問題を始めとして、いくつかの問題が修正されています。また、EXSLT機能のサポートを強化するために、Xalan-Javaがバージョン2.7.0にアップグレードされています。

なお、このアップデータではFileMaker Serverは更新されません。Web公開エンジンおよび管理コンソールをアップデートする前に、FileMaker Server 8のバージョンを必ずFileMaker Server 8v4にアップデートしておく必要があります。アップデート手順の詳細については、付属文書「FMSA Web アップデートお読みください.pdf」に記載されています。

（2007/01/08追記：リンク先のURLを変更しました。）

株式会社キー・プランニングが「KP-Backup 1.0.2 アップデート」を公開しています。

KP-BackupはFileMaker Serverの標準機能では実現できない機能を提供するバックアップソフトウェアであり、価格は税込13,440円です。

Windows版およびMac OS X版が共にアップデートされ、FileMaker Server 7/8がpauseおよびresumeコマンドの引数でOS標準のパス書式を理解しない点に対応し、データベースの一時停止に失敗してもバックアップ処理を実行してしまう場合がある不具合が修正されています。

Mac OS X版では、Java 2 Standard Edition (J2SE) 5.0 Release 4がインストールされた環境に対応し、さらにUniversal Binary対応を果たしているとのことです。

Mac OS X v10.4.7にはセキュリティ脆弱性を修正するアップデートも含まれています。

AFPサービスでファイル名およびフォルダ名が意図せず漏洩してしまう問題や、細工されたTIFF形式の画像を閲覧すると任意のコードが実行されてしまう問題、ローカルユーザーの特権昇格を許してしまうlaunchdの問題などが、バージョン10.4.7で修正されています。

こららの問題はMac OS XおよびMac OS X Server v10.4からv10.4.6までに影響するもので、それ以前のバージョンのMac OS XおよびMac OS X Serverには影響がないとのことです。

ファイルメーカー社が、「FileMaker Pro 8v3 アップデータ」と「FileMaker Pro 8v3 Advanced アップデータ」、「FileMaker Server 8v3 アップデータ」、および「FileMaker Server 8v3 Advanced Web公開エンジン アップデータ」の提供を開始しています。

バージョン8.0v3では、バージョン7または8.0v1のクライアントが、バージョン8.0v2のホストに接続している場合に、非保存の計算フィールドに対して検索を実行するとレコードセット全体が返されてしまう問題が解決されています。

なお、FileMaker Pro 8v3およびFileMaker Pro 8v3 AdvancedをFileMaker Server 8と組み合せて日本語を使用する場合には、FileMaker Server 8を必ずFileMaker Server 8v3にアップデートする必要があります。

（2007/01/08追記：リンク先のURLを変更しました。）

Mac OS X v10.4.5以降用の「J2SE 5.0 Release 4」には、セキュリティ上の問題を修正するアップデートも含まれています。

信頼されないJavaアプリケーションやJavaアプレットに対して上位アクセス権の獲得を許可してしまうセキュリティ上の問題がありましたが、J2SE 5.0 Release 4では、内部バージョン番号が1.5.0_06であるJ2SEに更新することで、その問題を解決しています。

さらに、Javaインプットメソッドのマイナーなセキュリティ関連の修正も、このアップデータに含まれているとのことです。

FileMaker 8のインスタントWeb公開において、データベースホームページを独自のページに置き換えている場合に、ステータスエリアが表示されたままカスタムデータベースホームページが表示されてしまうことがあります。

上記の現象は、ユーザーがスクリプトによってログアウトしたり、セッションがタイムアウトした場合に発生しますが、これを防ぐには「iwp_home.html」ファイルのヘッダセクションに下記のJavaScriptを追加します。

if ( window != window.top ) top.location = "/fmi/iwp/cgi?-home";

なお、上記のtop.locationの値には他の任意のURLを指定することもできます。

SSHプロトコルを使用するネットワーク接続ツールのフリーな実装である「OpenSSH 4.3」がリリースされています。

OpenSSH 4.3では、細工されたファイルをコピーした際に意図しないコマンドの実行を許可してしまうセキュリティ上の問題（CVE-2006-0225）が修正されています。

その他に、クライアント・サーバー間でレイヤー2もしくはレイヤー3でVPN環境を作成する実験的な機能が追加されています。

（参考）OpenSSH情報 - OpenSSH 4.3 リリース

アップルから、セキュリティ脆弱性の修正を含んだ「QuickTime 7.0.4」が先週リリースされています。

QuickTime 7.0.4では、細工されたQTIF、TGA、TIFFおよびGIF形式の画像ファイルやメディアファイルにより、悪意ある任意のコード実行を許してしまう脆弱性が修正されています。

同時に、多数の不具合の修正、iLife ’06への対応およびH.264のパフォーマンス改良などが行われています。

Mac OS X v10.4.3およびMac OS X Server v10.4.3にはセキュリティ脆弱性を修正するアップデートも含まれていて、Finder、ソフトウェア・アップデート、memberd、キーチェーンおよびカーネルのセキュリティ脆弱性が修正されます。

Finderの情報を見るウインドウで表示されるファイルとグループの所有権情報が特定の状況下で正しくない場合がある問題や、カーネルが利用するメモリー内にある重要なデータをローカルユーザーに漏洩してしまうことがある脆弱性などが修正されています。

カーネルの脆弱性についてはMac OS X v10.4.2およびそれ以前に影響がありますが、それ以外についてはMac OS X v10.4より前のシステムには影響がないとのことです。