FAMLog

Apache Tomcat 8.5.64およびApache Tomcat 9.0.44では情報漏洩の脆弱性（CVE-2024-21733）が修正されています。

Apache Tomcat 8.5.64およびApache Tomcat 9.0.44が公開されたのは2021年ですが、CVE-2024-21733は今月になって公開された次第です。不完全なPOSTリクエストを受信した際のエラーレスポンスに、他のユーザーが以前にリクエストしたデータが含まれる可能性があったとのことです。

なお、現時点でのApache Tomcatの最新安定バージョンはバージョン10.1.18ですが、Claris FileMaker Server 2023（FileMaker Server 20.3.1）ではJava Web公開エンジンにApache Tomcat 9.0.69が使用されています。

［関連］JVNVU#98698305: Apache Tomcatにおける情報漏えいの脆弱性（Japan Vulnerability Notes）、Apache Tomcat 8.5.61およびApache Tomcat 9.0.41が公開（FAMLog）、Apache Tomcat 7.0.109、8.5.68、9.0.48および10.0.7ではセキュリティ脆弱性が修正済み（FAMLog）

PHP 8.2.15とPHP 8.3.2が公開されています。

PHP 8.2.15およびPHP 8.3.2では不具合の修正が行われています。PHP 8.0系統の公式セキュリティサポートは2023年11月に終了しており、今後はバージョン8.1系列以降に更新することが推奨される状況になっています。

なお、PHP 8.1は2024年11月25日まで、PHP 8.2は2025年12月8日まで、PHP 8.3は2026年11月23日までセキュリティ修正が継続される予定となっています。PHPはバージョン8.4系統の開発も進められており、現在のところ2024年11月下旬にPHP 8.4が公開される予定となっています。

PHP 8.3系列は2026年11月下旬に公式のセキュリティサポートが終了する予定となっています。

PHP 8.3系列のアクティブサポートは2025年11月下旬に終了する予定であり、重大なセキュリティに関わる修正が行われるセキュリティサポートは2026年11月23日までの予定となっています。PHPはバージョン8.4系統の開発も進められており、現在のところ2024年11月下旬にPHP 8.4が公開される予定となっています。

現時点でのPHPの最新安定バージョンはバージョン8.3.1です。下位互換性のない変更点や推奨されなくなる機能もあるため、PHP 8.3に移行する場合にはあらかじめ移行ガイドで各種変更点を確認してから移行作業を行う必要があります。

［関連］PHP 8.2系列の公式セキュリティサポート終了予定日（FAMLog）

PHP 8.2系列は2025年12月上旬に公式のセキュリティサポートが終了する予定となっています。

PHP 8.2系列のアクティブサポートは2024年12月上旬に終了する予定であり、重大なセキュリティに関わる修正が行われるセキュリティサポートは2025年12月8日までの予定となっています。PHPはバージョン8.4系統の開発も進められており、現在のところ2024年11月下旬にPHP 8.4が公開される予定となっています。

PHP 8.1系統の保守は2024年11月25日に終了する予定であり、現時点でのPHPの最新安定バージョンはバージョン8.3.1です。なお、下位互換性のない変更点や推奨されなくなる機能もあるため、PHP 8.3に移行する場合にはあらかじめ移行ガイドで各種変更点を確認してから移行作業を行う必要があります。

［関連］PHP 8.1系列の公式セキュリティサポート終了予定日（FAMLog）

Eclipse Temurin 8u392、Eclipse Temurin 11.0.21およびEclipse Temurin 17.0.9が2023年11月下旬に公開され、同時にEclipse Temurin 21.0.1も公開されています。

Eclipse Temurinは、主要なマルチプラットフォームに対応しているOpenJDKディストリビューションの1つです。2021年にAdoptOpenJDKがEclipse Temurinとして刷新されましたが、Eclipse Temurin 8u392、11.0.21、17.0.9および21.0.1では複数のセキュリティ脆弱性が修正されています。

なお、Claris FileMaker Serverのバージョンや使用しているオペレーティングシステムによってOpenJDKのインストール手順が異なり、2024年1月4日時点ではOpenJDK 21への対応状況については特に言及されていません。インストール方法の詳細についてはClaris ナレッジベースの記事を必ず参照するようにしてください。

［関連］FileMaker Server と Java - 概要（Claris ナレッジベース）、macOS および Windows 上で Web 公開を使用する場合の、JAVA_HOME 環境変数の活用について（Claris ナレッジベース）

curl 8.5.0が2023年12月上旬に公開されています。

curlは、さまざまな通信規格に対応しているデータ転送ソフトウェアであり、Claris FileMakerでも利用されています。curl 8.5.0では2点のセキュリティ脆弱性（CVE-2023-46218およびCVE-2023-46219）が修正されています。

なお、Claris FileMaker Pro 2023（20.3.1）において、［URL から挿入］スクリプトステップのcURL オプションで-Vもしくは--versionオプションを使用して取得できるlibcurlのバージョン情報は次の通りです。

［出力例］
libcurl/7.83.0-DEV OpenSSL/3.0.8 zlib/1.2.12 libssh2/1.9.0_DEV
Features: AsynchDNS IPv6 Largefile NTLM NTLM_WB SSL libz TLS-SRP UnixSockets HTTPS-proxy alt-svc HSTS

Ruby 3.3.0が公開されています。

Rubyは、まつもとゆきひろ（Matz）氏によって1993年に開発が始められ、今もオープンソースソフトウェアとして開発が続けられているスクリプト言語です。Prismという新しいパーサーやRJITという新たなJITの仕組みが追加されているRuby 3.3では、YJITの高速化や新しいパーサージェネレーターであるLramaによるBisonの置き換えなど、さまざまな改善が行われています。

なお、2024年3月末頃で保守が終了する予定であるRuby 3.0系列は、現在セキュリティメンテナンスフェーズにあり、原則として重大なセキュリティ上の問題が発見された場合のみリリースが行われる状態であり、より新しいバージョンへ移行することが推奨されている状況です。

macOS Sonoma 14.2.1の提供が開始されています。

macOS Sonoma 14.2.1ではWindowServerのセキュリティ脆弱性（CVE-2023-42940）が修正されていて、macOS Sonoma 14.2で画面共有時に間違ったコンテンツを意図せず共有してしまう場合があった問題が修正されています。macOS Sonomaに対応しているMacは、iMac（2019以降）、iMac Pro（2017）、MacBook Air（2018以降）、MacBook Pro（2018以降）、Mac Pro（2019以降）、Mac Studio（2022以降）およびMac mini（2018以降）です。

Claris ナレッジベースによると、Claris FileMaker Pro 2023（20.2）およびClaris FileMaker Pro 2023（20.3）はmacOS Sonomaと互換性があるとのことです。FileMaker Pro 2023（20.3）でmacOS Sonomaとの互換性に関する既知の問題が一部修正されていましたが、一部は未解決のままとなっています。

［関連］Claris FileMaker 2023（バージョン20.3）の提供が開始（FAMLog）、macOS Sonoma 14.2の提供が開始（FAMLog）

PHP 8.1.27、PHP 8.2.14およびPHP 8.3.1が公開されています。

PHP 8.1.27、PHP 8.2.14およびPHP 8.3.1ではそれぞれ不具合の修正が行われています。PHP 8.0系統の公式セキュリティサポートは2023年11月に終了したため、今後はバージョン8.1系列以降にバージョンアップすることが強く推奨される状況になっています。

なお、PHP 8.1は2024年11月25日まで、PHP 8.2は2025年12月8日まで、PHP 8.3は2026年11月23日までセキュリティ修正が継続される予定となっています。

［関連］PHP 8.3.0が公開（FAMLog）

SSHプロトコルを使用するネットワーク接続ツールのフリーな実装であるOpenSSHの新バージョンであるOpenSSH 9.6が2023年12月中旬に公開されています。

不具合の修正だけでなくセキュリティ修正も含まれているOpenSSH 9.6では、中間者攻撃を可能にするTerrapin attackを妨害するプロトコル拡張が実装されていて、鍵交換中に不要なメッセージや予測されないメッセージを受け取った場合に接続の終了を要求するようになっています。

バージョン9.6ではいくつか小さな機能追加も実施されており、PEM PKCS8形式ED25519秘密鍵の読み取りがサポートされるようになっています。

［参考］OpenSSH 9.6p1 がリリースされました（春山征吾のBlog）