FAMLog

Appleが、Mac App StoreにおいてOS X Mavericksにサーバー機能を追加する「OS X Server v3.2.1 Update」の配布を開始しています。

バージョン3.2.1では、セキュリティ脆弱性が修正されていて、WikiサービスのSQLインジェクション脆弱性やPostgreSQLの脆弱性等が修正されています。なお、OS X Server v3.2.1の利用にはOS X Mavericks v10.9.5が必要です。

OS X Server 3は、Mac App Storeで購入してOS X Mavericksに追加できます。価格は2,000円で、OS X Server v3.0以降からのアップデートは無料です。OS X Server v3.2.1と同時に、OS X Mountain Lion v10.8.5向けのOS X Server v2.2.3 Updateの配布も開始されています。

「PHP 5.4.33」と「PHP 5.5.17」が公開されています。

PHP 5.4.33とPHP 5.5.17では不具合の修正が行われており、DateTimeのコンストラクタでメモリーリークが発生していた問題等が修正されています。

なお、PHP 5.4系統は今後積極的な不具合の修正は行われない予定となっています。セキュリティ脆弱性の修正のみを目的としたリリースは向こう1年間を期限としており、今後はバージョン5.6系統もしくはバージョン5.5系統へのアップグレードが推奨されています。

AppleからOS X Mavericks v10.9.5およびSecurity Update 2014-004が公開されています。

Security Update 2014-004は、OS X Mountain Lion v10.8.5、OS X Lion v10.7.5およびOS X Lion Server v10.7.5用のものがそれぞれ用意されていますが、バージョン10.6.8用のアップデートは用意されていません。また、OS X Mavericks v10.9.5にも多数のセキュリティに関わる修正が含まれています。

このアップデートにより、OpenSSLはバージョン0.9.8zaに、OS X MavericksのPHPはバージョン5.4.30に更新され、OS X Mavericks v10.9.5にはSafari 7.0.6が同梱されています。

■FileMaker Server 13.0v4 アップデータが公開（2014年8月）

FileMaker Server 13.0v4 アップデータが2014年8月に公開されました。FileMaker Server 13の最新版はバージョン13.0v4となっており、バージョン13.0v4ではFileMaker Server Admin Consoleのセキュリティ脆弱性が修正されています。

［関連］FileMaker Server 13.0v4 アップデータが公開（FAMLog）

■PHP 5.3系統の最終バージョンが公開（2014年8月）

PHP 5.3.29が2014年8月に公開されました。PHP 5.3.29はPHP 5.3系統における最後のバージョンとなる予定であるため、今後はバージョン5.4系統以降へのアップグレードが推奨されています。なお、現時点におけるPHPの最新バージョンは2014年8月下旬に公開されたバージョン5.6.0です。

［関連］PHP 5.3.29が公開（FAMLog）

（今回から「FileMaker Web News」を「FAMLog News Archive」に名称変更しました。）

CakePHP 2.5.4が公開されています。

CakePHPは、MITライセンスで提供されるオープンソースのWebアプリケーションフレームワークです。CakePHP 2.5.4では、不具合の修正や機能の改善が行われており、セキュリティ脆弱性の修正は特にない模様です。

CakePHPはバージョン3.0系統の開発も進められており、現在ベータ版が公開されている状況です。なお、FMCakeMixは現在のところCakePHP 3.0に対応していないのでご注意ください。

「Apache HTTP Server 2.2.29」が公開されています。

Apache HTTP Server 2.2.29は、Apache HTTP Server 2.2系統の最新版です。バージョン2.2.29では、Apache Portable Runtime（APR）のバージョン1.5.1が同梱され、mod_deflateやmod_cgidの脆弱性など4件のセキュリティ脆弱性が修正されています。

なお、Apache HTTP Server 2.0系統はすでに保守が終了しており、今後はApache 2.2系統もしくはApache 2.4系統の利用が強く推奨されます。

［関連］Apache HTTP Server 2.4.10が公開（FAMLog）

FileMakerネットワーク共有で暗号化通信を実現するには、バージョン12以降のFileMaker Serverでデータベースファイルをホストした上で、FileMaker製品でサポートされているSSLサーバー証明書を認証局から購入する必要があります。

2016年8月現在、FileMaker 14以前でサポートされているSSLサーバー証明書の販売元と種類の一覧は下記の通りです。

・コモドジャパン 企業認証タイプSSL（Comodo Elite SSL Certificate）
・シマンテック セキュア・サーバ ID
・ジオトラスト トゥルービジネスID（SHA-2のみ）
・Thawte SSL 123（ドメイン認証型）
・GoDaddy Standard SSL（ドメイン認証型）

FileMaker Pro 13.0v9およびFileMaker Go 13.0.9ではSSL暗号化通信に関するセキュリティ脆弱性が修正されているため、SSL暗号化通信を利用する場合には、FileMaker ProとFileMaker Pro Advancedをバージョン13.0v9以降に、FileMaker Goの場合にはバージョン13.0.9以降にアップデートする必要があります。

署名ハッシュアルゴリズムにSHA-2を利用したSSLサーバー証明書に対応しているFileMakerソフトウェアは、FileMaker Pro 13.0v4以降（FileMaker Pro Advancedも同様）、FileMaker Go 13.0.6以降、およびFileMaker Server 13.0v5以降です。

［関連］FileMaker 製品でサポートされる SSL サーバ証明書の販売元と種類の一覧（FileMaker ナレッジベース）、FileMaker Pro 13の新機能：暗号化通信状態のインジケータ（FAMLog）、FileMaker Pro 13.0v9 アップデータが公開（FAMLog）、FileMaker Pro 14.0.3 アップデータが公開（FAMLog）、FileMaker 15でサポートされるSSLサーバー証明書の販売元と種類の一覧（FAMLog）

---

（2014/09/11追記：「FileMaker Serverでは、ワイルドカードSSLサーバー証明書は現状サポートされていない」を「FileMaker製品では、ハッシュアルゴリズムにSHA-2を利用したSSLサーバー証明書およびワイルドカードSSLサーバー証明書は現状サポートされていない」に変更・更新しました。）

（2014/12/01追記：「COMODO JAPAN 企業認証タイプSSL」を「コモドジャパン 企業認証タイプSSL」に、「Geotrust QuickSSL Premium」を「ジオトラスト クイックSSL プレミアム」に変更しました。また、FileMaker Pro 13.0v4およびFileMaker Go 13.0.6でSHA-2に対応したことに伴い、「ジオトラスト トゥルービジネスID（SHA-2のみ）」をリストに追加しました。さらに、「2014年8月現在」を「2014年12月現在」に変更し、「署名ハッシュアルゴリズムにSHA-2を利用したSSLサーバー証明書に対応しているFileMakerソフトウェアは、FileMaker Pro 13.0v4（FileMaker Pro Advancedも同様）、FileMaker Go 13.0.6以降、およびFileMaker Server 13.0v5です。」という文章を追加しました。）

（2015/06/10追記：「2014年12月現在」を「2015年6月現在」に変更し、Comodo Elite SSL Certificateに関する情報およびリンクを追加しました。SHA-2対応バージョンについて一部記載を変更（FileMaker Pro 13.0v4以降、FileMaker Server 13.0v5以降というように「以降」を追加）し、「FileMaker Pro 13.0v9およびFileMaker Go 13.0.9ではSSL暗号化通信に関するセキュリティ脆弱性が修正されているため、SSL暗号化通信を利用する場合には、FileMaker ProとFileMaker Pro Advancedをバージョン13.0v9以降に、FileMaker Goの場合にはバージョン13.0.9以降にアップデートする必要があります。」という文章を追加しました。あわせて、関連リンクに「FileMaker Pro 13.0v9 アップデータが公開」を追加しました。）

（2015/10/15追記：FileMaker Pro 14.0.3でワイルドカードSSLサーバー証明書がサポートされたため、「なお、FileMaker製品では、ワイルドカードSSLサーバー証明書は現状サポートされていないので注意が必要です。」という記述を削除しました。あわせて、関連リンクに「FileMaker Pro 14.0.3 アップデータが公開」を追加しました。）

（2016/08/16追記：「2015年6月現在、FileMaker製品でサポートされているSSLサーバー証明書の販売元と種類の一覧は下記の通りです。」を「2016年8月現在、FileMaker 14以前でサポートされているSSLサーバー証明書の販売元と種類の一覧は下記の通りです。」に変更しました。また、2016年2月以降に発行されたジオトラスト クイックSSL プレミアム（ドメイン認証型）の証明書はサポートされていないため、リストから削除しました。）

（2016/11/7追記：FileMaker 12 製品のメーカーサポートは2016年9月23日をもって終了となりました。また、関連リンクに「FileMaker 15でサポートされるSSLサーバー証明書の販売元と種類の一覧」を追加しました。）

Ruby on Rails 4.0.9とRuby on Rails 4.1.5が2014年8月中旬に公開されています。

Rails 4.0.9およびRails 4.1.5では、Active Recordのcreate_withメソッドに存在していたセキュリティ脆弱性が修正されています。

なお、Ruby on Railsはバージョン4.2系統の開発も進められており、現在ベータ版としてバージョン4.2.0 beta1が公開されている状況です。

「PHP 5.4.32」と「PHP 5.5.16」が公開されています。

PHP 5.4.32とPHP 5.5.16では不具合の修正が行われている他、Fileinfo拡張モジュールやGD拡張モジュール、dns_get_record()における脆弱性などのセキュリティ脆弱性がそれぞれ修正されています。

なお、PHPはバージョン5.6系統の開発も進められており、現在「PHP 5.6.0RC4」が公開されている状況です。

FileMaker Server 13.0v4 アップデータを適用すると、FileMaker Server Admin Consoleのセキュリティ脆弱性が修正されます。

バージョン13.0v4では、外部グループメンバーのアカウントでAdmin Consoleへのログインを許可していない場合に管理者グループ機能を利用していると、外部グループメンバーでのログインが有効になってしまい未許可のローカルアカウントでログインできてしまっていた問題が修正されています。そのため、FileMaker Server 13を利用している場合には、バージョン13.0v4に更新することが推奨されます。

上記の情報はアップデータ登場時には非公開でしたが、先日FileMaker Knowledge Baseで記事内容が更新され、上記の概要が明らかになった次第です。

［関連］Software Update: FileMaker Server 13.0v4（FileMaker Knowledge Base）