FAMLog

「INTER-Mediator 5.3」を公開しました。バージョン5.3にはセキュリティ修正が含まれています。

INTER-Mediatorは、予算規模の小さな組織でも業務システムの開発を円滑にできることを目指して開発された、MITライセンスで提供されるWebアプリケーションフレームワークです。HTMLへの属性追加と設定ファイルを作成するだけで、データベースと連動するWebアプリケーションを開発できます。

バージョン5.3では、Googleアカウントを利用したOAuth 2.0での認証や、navi-controlキーで制御するMaster/DetailスタイルUIがモバイル環境に対応するようになり、params.phpで変数$webServerNameを設定することでCSRF攻撃対策を有効にできるように修正されています。ファイルアップロードコンポーネントにおける脆弱性も修正されている他、多数の改善や不具合修正が含まれています。同時に、バージョン5.3をベースにしたINTER-Mediator-Server VMもリリースしました。

Apache Tomcat 7.0.68が公開されています。

現時点でのApache Tomcatの最新バージョンはバージョン8.0系統です。Apache Tomcat 7.0.68では主に不具合の修正が行われており、セキュリティ修正が含まれているかは現状では不明です。Apache TomcatはHTTP/2がサポートされたバージョン9.0系統の開発も進められており、現在「Apache Tomcat 9.0.0.M3 (alpha)」が公開されている状況です。

なお、FileMaker Server 13とFileMaker Server 14のWeb公開機能とAdmin Console用管理サーバーではTomcat 7.0系列が使われていて、バージョン13.0v5以降およびバージョン14ではApache Tomcat 7.0.55が使用されています。

［関連］Apache Tomcat 6.0.45、7.0.68および8.0.32ではセキュリティ脆弱性が修正済み（FAMLog）

（2016/04/26追記：関連記事へのリンクを追加しました。）

Apache Tomcat 6.0.45とApache Tomcat 8.0.32が2016年2月上旬に公開されています。

現時点でのApache Tomcatの最新バージョンはバージョン8.0系統です。Apache Tomcat 6.0.45ではTomcat Native Libraryがバージョン1.1.34に、Apache Tomcat 8.0.32ではTomcat Native Libraryがバージョン1.2.4に更新されています。主に不具合の修正が行われていますが、セキュリティ修正が含まれているかは現状では不明です。Apache TomcatはHTTP/2がサポートされたバージョン9.0系統の開発も進められており、現在「Apache Tomcat 9.0.0.M3 (alpha)」が公開されている状況です。

なお、FileMaker Server 13とFileMaker Server 14のWeb公開機能とAdmin Console用管理サーバーではTomcat 7.0系列が使われていて、バージョン13.0v5以降およびバージョン14ではApache Tomcat 7.0.55が使用されています。

セキュリティ脆弱性の修正が行われているFileMaker Server 14.0.4では、クリックジャッキング対策としてWebサーバーがX-Frame-Optionsレスポンスヘッダーを出力するように変更されています。

バージョン14.0.4では、SAMEORIGINという値を指定したX-Frame-Optionsレスポンスヘッダーを出力するようになっています。クリックジャッキング攻撃の対策に伴う修正のため、別のWebサーバーでホストされているWebページ内で、<iframe>タグを使用してFileMaker WebDirectおよびカスタムWeb公開コンテンツを埋め込めなくなっているので注意が必要です。

別のWebサーバーで<iframe>タグを使用してFileMaker WebDirectおよびカスタムWeb公開コンテンツを埋め込んでいなければ特に影響はありませんが、今後は、FileMaker WebDirectおよびカスタムWeb公開コンテンツを個別のWebページの<iframe>タグで表示する場合、それらのWebページはFileMaker Server Webサーバーでホストされている必要があります。

［関連］FileMaker Server 14.0.4におけるテクノロジーテストページの修正点（FAMLog）

Java 8 Update 73およびJava 8 Update 74が公開されています。

バージョン8 Update 73ではWindowsプラットフォームのみに影響するセキュリティ脆弱性（CVE-2016-0603）が修正されています。攻撃方法が複雑であるものの、WindowsプラットフォームでJava 8、7あるいは6をインストールする際にシステムを乗っ取られる可能性があった点が修正されているとのことです。

なお、Java 7の公式アップデートはすでに終了しており、バージョン7およびそれ以前のJavaを利用している場合には、Java 8への更新を検討および実行する必要がある状況です。

［関連］FileMaker Server 10/11のAdmin ConsoleとJava 8 Update 71は非互換（FAMLog）

「PHP 5.5.32」、「PHP 5.6.18」および「PHP 7.0.3」が公開されています。

PHP 5.5.32、PHP 5.6.18およびPHP 7.0.3では、複数のセキュリティ脆弱性が修正されている他、同梱されているPerl互換正規表現ライブラリであるPCREライブラリはバージョン8.38に更新されています。互換性を考慮すると当面はPHP 5.6系統もしくはPHP 5.5系統の利用が現実的と言えますが、PHP 5.5系統の保守は今年の7月に終了する予定となっています。

PHP 7では実行速度が高速化されていることから将来的にはPHP 7.0系統の普及が期待されますが、下位互換性のない変更点や推奨されなくなる機能もあるため、PHP 7に移行する場合には事前に移行ガイドを参照してからアップグレードを行う必要があります。

OpenSSL 1.0.1系列は2016年12月31日にサポートが終了する予定となっています。

OpenSSLのバージョン0.9.8系統およびバージョン1.0.0系統は2015年12月31日にセキュリティ修正を含むサポートが終了したため、今後はバージョン1.0.2系統もしくはバージョン1.0.1系統へのアップグレードが推奨されます。

OpenSSLはバージョン1.1.0系統の開発も進められており、現在開発版としてバージョン1.1.0 Alpha 2が公開されている状況です。なお、OpenSSL 1.0.2のサポートは2019年12月31日に終了する予定となっています。

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 1.0.2f」と「OpenSSL 1.0.1r」が公開されています。

OpenSSL 1.0.2fおよびOpenSSL 1.0.1rではセキュリティ脆弱性が修正されています。OpenSSLのバージョン0.9.8系統およびバージョン1.0.0系統は2015年12月31日にセキュリティ修正を含むサポートが終了したため、今後はバージョン1.0.2系統もしくはバージョン1.0.1系統へのアップグレードが推奨されます。バージョン1.0.1系統のサポートが2016年12月31日に終了する予定となっていることを考慮すると、今後はOpenSSL 1.0.2系列へのアップグレードが推奨されることになります。

なお、FileMaker Pro 14.0.4およびFileMaker Server 14.0.4aにはOpenSSL 1.0.2dが同梱されています。

セキュリティ脆弱性が多数修正されたJava 8 Update 71およびJava 8 Update 72が今月公開されましたが、Java 8 Update 71以降を適用したクライアント環境ではFileMaker Server 10およびFileMaker Server 11のAdmin Consoleを起動できなくなっています。

上記は、Java 8 Update 71において署名ハッシュアルゴリズムがMD5である証明書との互換性がなくなったことに起因しています。なお、バージョン12およびそれ以前のFileMaker ServerとJava 8の互換性に関する情報はファイルメーカー社からの案内は特にない状況であり、FileMaker Server 10や11では元々Java 8はサポートされていませんでした。

現在Java 7の公式アップデートはすでに終了しており、バージョン7およびそれ以前のJavaを利用している場合には、Java 8への更新を検討および実行する必要がある状況です。FileMaker Server 13以降では管理用の端末にJavaをインストールする必要がなくなっており、安全性を考慮すると、Java 8に対応しているFileMaker Server 14もしくはFileMaker Server 13.0v10へのバージョンアップが強く推奨される状況になっていると言えます。

［関連］Java と FileMaker Server - 概要とトラブルシュート（FileMaker ナレッジベース）、Java™ SE Development Kit 8, Update 71 Release Notes（Oracle）、Java 8 Update 71およびJava 8 Update 72が公開（FAMLog）

アップルから、セキュリティ脆弱性の修正を含んだSafari 9.0.3が配布されています。

多数の脆弱性やプライバシーに関わる問題が修正されたSafari 9.0.3は、OS X Mavericks v10.9.5およびOS X Yosemite v10.10.5で利用できます。また、同時に公開されたOS X El Capitan v10.11.3にもSafari 9.0.3が含まれています。

OS X Mountain Lion用のSafari 9は提供されておらず、OS X Mavericks以降にアップグレードすることが推奨される状況になっています。Windows用のSafariについてはバージョン6の登場以降更新版が公開されていないため、Safari for Windowsの使用を停止して他のWebブラウザーに移行する必要があります。