FAMLog

macOS Ventura 13.4.1 (c)の提供が開始されています。

緊急セキュリティ対応となるmacOS Ventura 13.4.1 (c)には重要なセキュリティに関わる修正が含まれています。すでに悪用された可能性のある脆弱性（CVE-2023-37450）が修正されていることから、macOS Venturaを使用している場合にはmacOS Ventura 13.4.1 (c)にアップデートすることが推奨されます。

なお、macOS Ventura 13.4.1 (c)の前にmacOS Ventura 13.4.1 (a)が公開されていましたが、macOS Ventura 13.4.1 (a)では一部のWebサイトが正しく表示されない問題が発生していました。macOS Ventura 13.4.1 (a)の当該問題に対応するために急遽macOS Ventura 13.4.1 (c)が公開された次第です。

RubyのURIコンポーネントにReDoS脆弱性（CVE-2023-36617）が見つかり、2023年6月下旬に公開されたuri gem 0.12.2および0.10.3で当該脆弱性が修正されています。

特定の文字を含む無効なURLをURIパーサーが誤って取り扱っており、rfc2396_parser.rbとrfc3986_parser.rbを用いて文字列をURIオブジェクトにパースする際に実行時間が増加していましたが、CVE-2023-28755に対する不完全な修正がこの問題の原因となっていたとのことです。

uri gemを更新することが推奨されており、更新するにはgem update uriを実行します。なお、Bundlerを使用している場合はGemfileにgem "uri", ">= 0.12.2"を追加します（Ruby 3.1および3.2の場合）。

［関連］Ruby 3.2.2、Ruby 3.1.4、Ruby 3.0.6およびRuby 2.7.8が公開（FAMLog）

macOS Monterey 12.6.7およびmacOS Big Sur 11.7.8の提供が2023年6月下旬に開始されています。

macOS Monterey 12.6.7およびmacOS Big Sur 11.7.8では、すでに悪用された可能性のある脆弱性（CVE-2023-32434）が修正されています。そのため、macOS Montereyを使用している場合にはmacOS Monterey 12.6.7に、macOS Big Surを使用している場合にはmacOS Big Sur 11.7.8にアップデートすることが推奨されます。

なお、Claris FileMaker ProおよびClaris FileMaker Serverはバージョン19.4.1以降で正式にmacOS Montereyに対応するようになっています。FileMaker Serverは、バージョン19.1.2以降であればmacOS Big Surと互換性があり、バージョン19.3.1以降でユニバーサルバイナリとしてAppleシリコン搭載Macに対応しています。

［関連］macOS Ventura 13.4.1の提供が開始（FAMLog）

macOS Ventura 13.4.1の提供が開始されています。

macOS Ventura 13.4.1には重要なセキュリティに関わる修正が含まれています。すでに悪用された可能性のある脆弱性（CVE-2023-32434およびCVE-2023-32439）が修正されていることから、macOS Venturaを使用している場合にはmacOS Ventura 13.4.1にアップデートすることが推奨されます。

なお、Claris FileMaker ProおよびClaris FileMaker Serverはバージョン19.6.1以降でmacOS Venturaでのインストールが正式にサポートされるようになっています。

［関連］Safari 16.5.1の提供が開始（FAMLog）、iOS 16.5.1およびiPadOS 16.5.1の提供が開始（FAMLog）、iOS 15.7.7およびiPadOS 15.7.7の提供が開始（FAMLog）

2023年5月に公開されたApache Tomcat 8.5.89、Apache Tomcat 9.0.75およびApache Tomcat 10.1.9ではセキュリティ脆弱性が修正されています。

レスポンスにHTTPヘッダーが設定されていない場合にレスポンスヘッダーに関する情報が漏洩する可能性がある脆弱性（CVE-2023-34981）が修正されたApache Tomcat 8.5.89、Apache Tomcat 9.0.75およびApache Tomcat 10.1.9が公開されたのは2023年5月ですが、CVE-2023-34981に関する情報は2023年6月下旬に公開された次第です。

なお、現時点でのApache Tomcatの最新安定バージョンはバージョン10.1.10ですが、Claris FileMaker Server 2023（FileMaker Server 20.1.2）ではJava Web公開エンジンにApache Tomcat 9.0.69が使用されています。

［関連］JVNVU#92908681: Apache Tomcatにおける情報漏えいの脆弱性（Japan Vulnerability Notes）、Apache Tomcat 8.5.88、9.0.74および10.1.8ではセキュリティ脆弱性が修正済み（FAMLog）

（2023/08/28追記：「JJVNVU#92908681」を「JVNVU#92908681」に修正しました。）

2023年4月に公開されたApache Tomcat 8.5.88、Apache Tomcat 9.0.74およびApache Tomcat 10.1.8ではセキュリティ脆弱性が修正されています。

Apache Commons FileUploadにおけるサービス運用妨害（DoS）の脆弱性が修正されたApache Tomcat 8.5.88、Apache Tomcat 9.0.74およびApache Tomcat 10.1.8が公開されたのは2023年4月ですが、新たに採番されたCVE-2023-28709に関する情報は2023年5月下旬に公開された次第です。

なお、現時点でのApache Tomcatの最新安定バージョンはバージョン10.1.9ですが、Claris FileMaker Server 2023（FileMaker Server 20.1.1）ではJava Web公開エンジンにApache Tomcat 9.0.69が使用されています。

［関連］JVNVU#91253151: Apache TomcatのApache Commons FileUploadにおけるサービス運用妨害（DoS）の脆弱性（Japan Vulnerability Notes）

macOS Monterey 12.6.5およびmacOS Big Sur 11.7.6の提供が開始されています。

macOS Monterey 12.6.5およびmacOS Big Sur 11.7.6では、すでに悪用された可能性のある脆弱性（CVE-2023-28206）が修正されています。そのため、macOS Montereyを使用している場合にはmacOS Monterey 12.6.5に、macOS Big Surを使用している場合にはmacOS Big Sur 11.7.6にアップデートすることが推奨されます。

なお、Claris FileMaker ProおよびClaris FileMaker Serverはバージョン19.4.1以降で正式にmacOS Montereyに対応するようになっています。FileMaker Serverは、バージョン19.1.2以降であればmacOS Big Surと互換性があり、バージョン19.3.1以降でユニバーサルバイナリとしてAppleシリコン搭載Macに対応しています。

［関連］macOS Ventura 13.3.1の提供が開始（FAMLog）

Safari 16.4.1の提供が2023年4月上旬に開始されています。

WebKitの脆弱性（CVE-2023-28205）が修正されたSafari 16.4.1はmacOS Big SurおよびmacOS Montereyで利用できます。すでに悪用された可能性のある脆弱性が修正されていることから、macOS Big SurもしくはmacOS Montereyを使用している場合にはSafari 16.4.1にアップデートすることが推奨されます。

なお、macOS Venturaでは、当該脆弱性（CVE-2023-28205）はmacOS Ventura 13.3.1で修正されています。

［関連］macOS Ventura 13.3.1の提供が開始（FAMLog）

Ruby 3.2.2、Ruby 3.1.4、Ruby 3.0.6およびRuby 2.7.8が公開されています。

Ruby 3.2.2、Ruby 3.1.4、Ruby 3.0.6およびRuby 2.7.8では2点のセキュリティ脆弱性（CVE-2023-28755、CVE-2023-28756）が修正されています。

なお、今回公開されたRuby 2.7.8をもってRuby 2.7系列の公式サポートが終了しています。バージョン2.7のサポート終了に伴い、今後Ruby 2.7系列に対するセキュリティパッチは提供されなくなるため、より新しいバージョンのRubyに移行することが強く推奨されます。

（2023/04/05追記：タイトルを「Ruby 3.2.2、3.1.4、Ruby 3.0.6およびRuby 2.7.8が公開」から「Ruby 3.2.2、Ruby 3.1.4、Ruby 3.0.6およびRuby 2.7.8が公開」に変更しました。）

2023年2月に公開されたApache Tomcat 8.5.86、Apache Tomcat 9.0.72およびApache Tomcat 10.1.6ではセキュリティ脆弱性が修正されています。

Apache Tomcat 8.5.86、Apache Tomcat 9.0.72およびApache Tomcat 10.1.6では、httpsが設定されたX-Forwarded-Protoヘッダーを含むリクエストをHTTP経由でリバースプロキシから受信し、RemoteIpFilterを使用している場合において、Apache Tomcatが作成するセッションCookieにSecure属性が含まれない問題（CVE-2023-28708）が修正されています。

なお、Apache Tomcat 10.0系列は2022年10月にサポートが終了しており、現在Apache Tomcat 10.0系列を利用している場合にはApache Tomcat 10.1系列へのアップグレードが推奨されています。

［関連］JVNVU#90635957: Apache Tomcatにおける保護されていない認証情報の送信の脆弱性（Japan Vulnerability Notes）