Linux開発を推進する非営利団体Linux Foundationは5月29日、OpenSSLの脆弱性問題を受けて立ち上げた「Core Infrastructure Initiative」の最初のプロジェクトを発表した。新たに支援企業として米Adobe Systemsら5社が加わったことも発表した。
セキュリティ
「Heartbleed」セキュリティ問題を受け、OpenBSDがOpenSSLフォークの「LibreSSL」を開発
The OpenBSD Projectのメンバーが新プロジェクト「LibreSSL」を立ち上げた。OpenSSLで発見された「Heartbleed」脆弱性問題を受けてのもので、OpenSSLをフォークして新たなSSL/TLSプロトコルのフリー実装を作成するという。次期「OpenBSD 5.6」に導入する予定で開発を進めるという。
米Cisco、侵入検知システムSnortにアプリケーション検出技術「OpenAppID」を提供
米Cisco Systemsは2月25日(米国時間)、オープンソースのネットワーク侵入検知システム「Snort」向けにアプリケーション同定技術「OpenAppID」を提供したことを発表した。同日、OpenAppID技術が組み込まれた「Snort 2.9.7アルファ版」が公開されている。
機能にフォーカスした「OpenSSH 6.5/6.5p1」がリリース
オープンソースのSSH実装「OpenSSH」開発チームは1月29日、最新版「OpenSSH 6.5/6.5p1」をリリースした。機能改善を中心としたリリースで、暗号機能の強化や古い機能の削除が加わっている。
ネットワークアクセス制御システム「PacketFence 4.1」リリース
カナダInverseのPacketFenceプロジェクトは12月11日、オープンソースのネットワークアクセス制御(NAC)ツールの「PacketFence 4.1.0」をリリースした。新機能の追加や既存機能の強化が加わっている。
「PHP 5.5.7」がリリース、OPCache強化やセキュリティ修正などが行われる
スクリプト言語PHP開発チームは12月12日、5.5系の最新版「PHP 5.5.7」を公開した。バグ修正が中心のメンテナンスリリースで、同時に5.4系と5.3系も最新版がリリースされている。
AES-GCM暗号が関連した脆弱性を修正した「OpenSSH 6.4/6.4p」がリリース
フリーのSSH実装「OpenSSH」の開発チームは11月8日、最新版となる「OpenSSH 6.4/6.4p1」をリリースした。重要な脆弱性を修正したセキュリティリリースとなる。
Webサイト向けのスパム対策フレームワーク「Sketchy」、独SoundCloudが公開
音楽/ポッドキャスト公開サービス「SoundCloud」を提供するドイツSoundCloudが10月7日、ユーザーによるテキストベースのスパム投稿を削除するためのフレームワーク「Sketchy」をオープンソースで公開した。社内でスパム対策として開発・利用している技術という。
Webアプリケーション向けのセキュリティスキャナ「skipfish」を使う
近年では多くの分野でWebアプリケーションが使われるようになり、大量の個人情報や重要な秘密情報を扱うようなアプリケーションも少なくない。そのため、Webアプリケーションも攻撃対象として狙われやすくなっている。今回はWebアプリケーションのセキュリティ対策として、Googleが公開しているセキュリティ調査ツール「skipfish」を使ったセキュリティスキャンを紹介する。
Cisco、ペネトレーションテスター向けのデータ管理ツール「Kvasir」を公開
米Cisco Systemsの開発者は9月23日、ペネトレーションテスト管理ツール「Kvasir」をオープンソースソフトウェアとして公開した。複数のテストデータに統一的なデータ構造を持たせ、管理やレポートの作成を容易にするという。
Linuxベースの多機能ネットワークゲートウェイシステム「Untangle 10.0」リリース
米Untangleは9月18日(米国時間)、Linuxベースのネットワークゲートウェイ「Untangle 10.0」を発表した。無料版(Lite版)とサブスクリプション形式の有料版(Standard版とPremium版)があり、同社Webサイトよりダウンロードできる。
Mozilla、Webアプリ脆弱性テストのためのデータベース「FuzzDB」を発表
Mozillaの開発者は8月16日、アプリケーションの脆弱性テスト(Fuzzテスト)に向けたさまざまなリソースを集めたデータベース「FuzzDB」をオープンソースで公開したことを発表した。Webアプリケーションのセキュリティテストなどさまざまな用途に利用できる可能性があるとしている。
WindowsやLinuxで実行できる脆弱性スキャナ「Nessus」を試す
管理しているサーバーなどに脆弱性がないかを調べるツールを「脆弱性スキャナ」と呼ぶ。脆弱性スキャナにはさまざまなものがあるが、古くからよく知られているものの1つに「Nessus」がある。今回はこのNessusを使った脆弱性の調査について紹介する。
脆弱性スキャナ「OpenVAS」で実行するセキュリティチェック
昨今ではソフトウェアに脆弱性が発見されることは珍しくない。そのため、既知の脆弱性についていかに迅速に対処を行うかが重要となっている。本記事では既知の脆弱性を発見するためのツールである脆弱性スキャナ「OpenVAS」を使ったサーバーのセキュリティチェック方法について解説する。
ネットワークアクセス制御システム「PacketFence 4.0」リリース
カナダInverseのPacketFence開発チームは5月8日、オープンソースのネットワークアクセス制御システム「PacketFence 4.0」を公開した。Web管理画面の刷新といった変更が加わっている。
FreeBSDと米Google、新セキュリティフレームワーク「Capsicum」プロジェクトに出資
The FreeBSD Foundationは4月15日、米Googleと共同でUNIX系OS向けのセキュリティフレームワーク「Capsicum Framework Project」の開発に出資することを発表した。CapsicumはFreeBSDに搭載されているセキュリティフレームワークで、資金を受けて機能開発を進める。
ポートスキャンツール「Nmap」を使ったセキュリティチェック
サーバーの基本的なセキュリティ対策の1つとして重要なのが、ネットワーク内のどのマシンがどのポートでサービスを提供しているのかを把握することだ。このために有用なのが、ポートスキャナと呼ばれるツールだ。本記事ではポートスキャナとして有名な「Nmap」というソフトウェアを使用し、ポートスキャンを行う方法について解説する。
オープンソースの侵入検知/侵入防止エンジン「Suricata 1.4」リリース
Open Information Security Foudation(OISF)開発チームは12月13日、オープンソースの侵入検知/侵入防止エンジン「Suricata 1.4」のリリースを発表した。UNIXソケットサポートやIPレピュテーションサポート、Luaスクリプトによるパケット分析サポートなどが特徴となる。
ファイル改ざんや実行時アラートに対応する「コードサイニング証明書」を理解する
コードサイニング証明書(コード署名証明書)は、ベリサインなどの認証局(CA)から提供される証明書で、これを利用してソフトウェアなどのファイルに署名することでファイルの配布元を保証するとともに、ファイルの内容が改ざんされていないことを担保できる。この技術は10年以上前から利用されているが、マルウェア/アドウェアを仕込まれたコピー配布サイトの増加やWindowsにおける検証利用範囲の拡大などにより、近年では必要とされる場面が広がってきている。改めてコードサイニング証明書の現状を整理し、正確に把握していこう。
FreeBSD Projectのインフラに不正侵入、原因はSSHキーのリーク?
FreeBSD Projectは11月17日、同プロジェクトの管理下にあるマシン2台が不正侵入を受けていたこと発表した。エンドユーザーが危険な状態になるような改変はこれまでのところ確認しておらず、実際に影響が出たという情報も確認していないとのことだが、詳細を読んで対応を決定するよう奨励している。
