プログラミング言語「Ruby」の添付ライブラリ「WEBrick」に、端末エミュレータの攻撃に悪用されるおそれのある脆弱性がみつかり、Ruby公式サイトは2010年1月10日、最新修正版「Ruby 1.8.7 patchlevel 249」「Ruby 1.9.1 patchlevel 378」を公開した。WEBrickプロセスを更新するまでは、WEBrickのログを閲覧しないよう呼びかけている。
セキュリティ
JPCERT/CC、Webサイト改ざんとGumblarウイルスの感染で注意喚起
JPCERTコーディネーションセンター(JPCERT/CC)は2010年1月7日、Webサイトを改ざんするウイルス「Gumblar」の感染が昨年末から拡大していることを受け、注意喚起を行った。 OSやソフトウェアに最新の修正プログラムが適用されているか、Webサイトが改ざんされていないか確認するよう求めている。
シックス・アパート、脆弱性修正版のMovable Typeを公開
シックス・アパートは2010年1月6日、ブログソフト「Movable Type」のセキュリティ問題を修正したバージョン「Movable Type 5.01」と「Movable Type 4.27」を公開した。同社は、修正版へのアップグレードを強く推奨している。
IPA、ITセキュリティ評価基準「CC/CEM」新版日本語版を公開
情報処理推進機構(IPA)は2009年12月25日、国際的なITセキュリティ評価基準の最新版「CC/CEM バージョン3.1 リリース3(CC/CEM v3.1 Release3)」日本語版を公開、認証申請の受付を開始した。マイナーバージョンアップで、より明確な表現にするなど細部が修正されている。
IPA、Windows PCのセキュリティ設定チェックソフトを無償公開
情報処理推進機構(IPA)は2009年12月21日、Windows PCのセキュリティ設定項目を簡単な操作で確認できるソフトウェア「MyJVN(マイジェイブイエヌ)セキュリティ設定チェッカ」を無償公開した。一般ユーザー向けで、USBメモリーの自動実行機能を悪用して感染を拡大するウイルスが増加していることを受けた。
Rubyにヒープオーバーフローの脆弱性、修正版をリリース
プログラミング言語「Ruby」にヒープオーバーフローの脆弱性が見つかったことを受け、セキュリティ対策を施した最新修正版「Ruby 1.9.1-p376」が2009年12月7日、オフィシャルサイトで公開された。すべてのRuby 1.9.1ユーザーにアップグレードするよう推奨している。
EC-CUBEに顧客情報漏えいの脆弱性、早急な対策が必要
ロックオン(本社:大阪市)は2009年12月7日、同社が開発するオープンソースのECサイト構築ソフト「EC-CUBE」に、顧客情報漏えいのおそれがある脆弱性がみつかったと発表した。「極めて緊急度の高い深刻な脆弱性」で、早急に修正を適用するよう求めている。
「PostgreSQL」保護が加わったデータベース・ファイアウォール「GreenSQL 1.2」
イスラエルGreenSQLは12月2日、オープンソースのデータベース用ファイアウォールの最新版「GreenSQL 1.2」を公開した。「MySQL」に加えて「PostgreSQL」にネイティブ対応、PostgreSQLを保護できる唯一のデータベースファイアウォールという。
IPA、脆弱性対策用にPCソフトのバージョンチェックツールを無償公開
情報処理推進機構(IPA)は2009年11月30日、Webブラウザや動画再生ソフトなどWindowsPC用ソフトウェアのバージョンをチェックするツール「MyJVN(マイジェイブイエヌ)バージョンチェッカ」を無償公開した。7種類のソフトについて、バージョンを確認して脆弱性問題を解決した最新版にアップデートできる。
セキュリティが改善されたPHP 5.3.1リリース
PHP Development Teamは11月19日、オープンソースのスクリプト言語「PHP 5.3.1」をリリースした。セキュリティ関連の6件の強化・修正を含め、100件以上のバグが修正されている。
ハードディスクを完全消去する「DBAN」のインストールと使い方
PCやハードディスクを中古店やオークションなどで処分する場合に気を付けたいのが、含まれるデータの消去処理だ。一般的にフォーマットを行えば含まれるデータは削除されると思われているが、フォーマットでは完全な削除は行われず、復旧ツールなどを利用すれば中のデータにアクセスできてしまう。データを完全に削除するには、DBANのような削除ツールを使うとよい。
Mozilla、バグのある米Microsoftの「Firefox」プラグインを無効化
Mozillaの開発担当副社長、Mike Shaver氏は10月16日、セキュリティ欠陥が報告されている米Microsoftの「Firefox」アドオンを自動遮断することを発表した。深刻なセキュリティ問題があり、アドオンの削除が難しいことから遮断リストに加えることにしたという。
ファイルを安全に完全削除するツール「Eraser」のインストールと使い方
仕事で作った機密ファイルや、パスワードリスト、家計簿、個人情報、あるいは秘密のポエム等々、たいていの人は他人と共有する訳にいかないデータを色々持っている事だろう。セキュリティの事を考えると、これらのファイルを単に移動や削除するのは危険だ。見た目は削除されていても元の場所には痕跡が残っており、他人が復元できてしまう可能性があるのだ。「Eraser」を使うと、これらの機密ファイルを安全かつ完全に移動したり削除する事が可能となる。
Webサービスで利用するIDとパスワードを一括で管理する「Password Safe」の使い方
この数年でWebメールや動画共有サイト、SNSなどの便利なWebサービスは非常に多くなった。だが利用するWebサービスが増えると、その分ユーザーIDとパスワードも増加し、記憶するのが非常に困難となる。かといってすべて同じパスワードを使い回したり、テキストファイルにメモしたりするのはセキュリティの面で大きな問題になる。そこで使いたいのが複数のIDとパスワードをまとめて管理できる「Password Safe」だ。
ASETなど、Xen仮想サーバを利用したセキュア・プラットフォーム実証実験を開始
超先端電子技術開発機構(ASET)、住商情報システム、NEC、富士通の4者は2009年9月28日、仮想サーバ環境で実業務アプリケーションの安心・安全な運用を検証するための実証実験を10月から行うと発表した。ASETが経済産業省から受託した研究「セキュア・プラットフォームプロジェクト」で開発した技術を実業務システムに適用する。
バッファオーバーランの脆弱性を修正した「Namazu 2.0.20」リリース
Namazu Projectは2009年9月23日、日本語全文検索システムの最新バージョン「Namazu 2.0.20」を公開した。バッファオーバーランを起こす可能性がある脆弱性を修正しており、ユーザーには早急に最新版へバージョンアップするよう呼びかけている。
パスワード管理Webサービスと連携できるFirefox向けパスワードマネージャ「LastPass Password Manager」
Blogやオンラインショッピング、SNSなど、利用の際にログインが必要とされるWebサービスは多い。個人情報保護のため、これらに使用するパスワードはすべて異なるものを使うべきなのだが、現実問題としてそのように多くのパスワードを覚えておくのは大変である。そこで活用したいのが、パスワードをWebブラウザ側で一括管理できるパスワードマネージャである。今回紹介する「LastPass Password Manager」は、Webサービスとの連携により、複数のPC/Webブラウザ間でのパスワード同期機能を備えるパスワードマネージャだ。
オープンソースのディープパケットインスペクションエンジン「OpenDPI」が登場
ベンチャー企業の独Ipoqueは9月7日(ドイツ時間)、オープンソースのディープパケットインスペクション(DPI)エンジン「OpenDPI」を発表した。DPIに関するディスカッションを奨励し、ユーザー啓蒙につなげていきたいとしている。
IPA、旧バージョンの「OpenSSL」利用者に注意喚起
情報処理推進機構(IPA)は2009年9月8日、オープンソースの暗号化通信ソフト「OpenSSL」のユーザーに向け、脆弱性対策済みの新しいバージョンを使うよう「注意喚起」を発した。対策未適用のバージョンの報告が増加していることを受けたもので、迅速なバージョンアップを呼びかけている。
「Delphi」を汚染するウイルスが流行、作成ソフトをウイルス化
ボーランドの開発環境「Delphi」を“汚染”し、コンパイルしたソフトをウイルス化する新種ウイルス「TROJ_INDUC.AA」の感染事例が相次いでいる。トレンドマイクロ(本社:東京都渋谷区)によると、2009年8月24日現在、国内で1480台の感染報告があるという。
