8月後半に不正侵入を受けたことを明らかにしていたkernel.orgだが、メンテナンスメンバーは9月23日、「ステータスアップデート」として復旧作業の経過をメーリングリストにて報告した。インフラの変更も行われており、今後はシェルアクセスが禁止され、またアクセス制御機構「Gitolite」が導入されるという。
セキュリティ
Linux FoundationのWebサイト、セキュリティ問題のため一時オフラインに
非営利団体Linux Foundationは9月11日、メーリングリストにてセキュリティ問題を発見したと報告した。先のkernel.org侵入事件が関連する可能性があるという。現在サイトをオフラインにして、確認作業を進めている。
子プロセスでのサンドボックスを実験的に実装したOpenSSH 5.9/5.9p1リリース
OpenSSHを開発するOpen BSD Project開発チームは9月6日、最新版「OpenSSH 5.9」およびその移植(portable)版である「OpenSSH 5.9p1」をリリースした。特権分離済み子プロセスでサンドボックスが実験的に導入されるなど、新機能が加わっている。
「Apache Killer」対策を行った「Apache HTTP Server 2.2.20」公開
Apache Software Foundation(ASF)のApache HTTP Server開発チームは8月31日、最新版となる「Apache HTTP Server 2.2.20」を公開した。先に警告したDoS攻撃の脆弱性を修正したセキュリティリリースで、全ユーザーにアップグレードを呼びかけている。
Snort 2.9.1がリリース、プリプロセッサの改良やルールオプションの強化などが特徴
Snort開発チームは8月23日、「Snort 2.9.1」を公開した。オープンソースのネットワーク侵入防御/検出システム(IDS/IPS)で、LinuxやWindowsなどで動作する。Snort 2.9系のマイナーアップデート版となり、プリプロセッサの改良やルールオプションの強化などが行われている。
Apache HTTP Serverの脆弱性を突く「Apache Killer」――パッチは48時間以内にリリース予定
Apache HTTP Serverの開発チームは8月24日、同Webサーバーの脆弱性を突くDDoS攻撃ツール「Apache Killer」が出回っていると警告した。該当するApacheは1.3系および2系の全バージョン。パッチ発行までユーザーはおのおので対応を講じるよう呼びかけている。
PHP開発チームが「PHP 5.3.7」の重大なバグを報告、「5.3.8を待つように」
PHP開発チームは8月22日、4日前に公開した最新版「PHP 5.3.7」で重大なバグを報告した。バージョン5.3.8公開までアップグレードを控えるよう警告している。5.3.8は、数日以内にリリースするとしている。
侵入テスト向けのLinuxディストリビューション「BackTrack 5」の最新アップデート版「R1」が公開
ペネトレーション用Linuxディストリビューション「BackTrack」の開発チームは8月18日、「BackTrack 5 Release 1(R1)」を公開した。32ビットおよび64ビット向けのISOイメージ(KDEまたはGNOME)とVMware用イメージを用意、Backtrack-Linux.orgのWebサイトよりダウンロードできる。
多数のパスワードを安全に管理できるツール「KeePass Password Safe」
Webサービスへ登録するたびに増え続けるパスワードを、皆さんはどのように管理しておられるだろうか? 長くて複雑なパスワードをサービスごとに使い分けるのが理想と分かっていても、実際には「password」「1234」などの簡単なパスワードを使い回していたり、付箋紙やテキストファイルにメモしていたりしないだろうか。「KeePass Password Safe」(以下KeePass)を利用すれば、このようなパスワード管理の煩わしさから逃れられる。
オープンソースのフォレンジックツール「Volatility 2.0」登場
オープンソースのフォレンジックツール「Volatility」の開発チームは8月3日、「Volatility 2.0」をリリースした。プロジェクトに出資している米Volatile SystemsのWebサイトよりダウンロードできる。ライセンスはGPL。
WordPressの脆弱性スキャンツールを開発する「WPScan」プロジェクトがスタート
オープンソースのブログソフト「WordPress」の脆弱性をスキャンするツールを開発するプロジェクト「WordPress Security Scanner(WPScan)」が立ち上がった。ブラックボックスアプローチを利用して脆弱性をチェックできるツールを目指す。
Metasploit、報酬として総額5000ドルを支払う脆弱性検証モジュール開発プログラムを発表
オープンソースの脆弱性検証フレームワーク「Metasploit」のプロジェクトチームは6月14日、エクスプロイトモジュール開発に対して奨励金を支払うプログラム「Exploit Bounty」を発表した。指定した30件の脆弱性のエクスプロイトモジュール開発に対し、総額5000ドルの報酬が支払われる。
Webアプリケーションの脆弱性テストフレームワーク「w3af 1.0」リリース
Webアプリケーションの脆弱性を発見するフレームワーク「Web Application Attack and Audit Framework(w3af) 1.0」が公開された。SourceForgeのプロジェクトページよりダウンロードできる。
オープンソースのNACツール「PacaketFence 2.2」がリリース
オープンソースのネットワークアクセス管理(NAC)ツール「PacketFence」の開発チームは5月3日、最新版となる「PacketFence 2.2」を公開した。
FSFが「NoJavaScript」キャンペーン、第一弾としてGmailでの回避策を紹介
フリーソフトウェアを推進するFree Software Foundation(FSF)は3月30日、プロプライエタリなJavaScriptの問題について認知啓蒙を促すプログラム「NoJavaScript」を開始、第一弾としてJavaScriptを多用する米Googleの「Gmail」での回避法を紹介した。
オープンソースのWebアプリケーションファイアウォールを開発する「IronBee」プロジェクト発足
セキュリティ企業の米Qualysは2月14日(米国時間)、オープンソースのWebアプリケーションファイアウォール(WAF)開発プロジェクト「IronBee」の立ち上げを発表した。Webアプリケーションとクラウドという新しいトレンドに合わせ、Webアプリケーション向けファイアウォールを共同で開発する。
ClamWinベースのリアルタイム検出機能を備えたウイルス対策ソフト「Clam Sentinel」
オープンソースのウイルス対策ソフトウェア「ClamWin」は無償で使用でき、レガシーなOSにも対応しているのが特徴だが、常駐保護機能がないという欠点もある。このためサブ用途およびロースペック機向けが主で、常用にはあまり適さなかった。そこで利用したいのが「Clam Sentinel」である。
EFF、PS3ハッカーを提訴したソニーを批判
PlayStation3のハックツールを公開したハッカー数人がソニーに提訴されたが、これに対しElectronic Frontier Foundation(EFF)は1月19日、見解を発表した。EFFはソニーの行為を「研究者と自社顧客に対する危険なメッセージ」と非難している。
フリーながら業務使用も可能、非常駐型ウイルス対策ソフト「ClamWin Free Antivirus」
ほぼすべてのPCがインターネットに接続されている現在、PCを保護するためにウイルス対策ソフトは必須といえる。今回紹介するのは、無料で利用でき、かつビジネス用途でも利用できるウイルス対策ソフトClamWin Free Antivirus」 
である。
Linuxカーネルの再コンパイルなしに利用できるアクセス解析/制限モジュール「AKARI 1.0」リリース
10月10日、2.6系Linuxカーネル向けのアクセス解析/制限モジュール「AKARI 1.0」がリリースされた。AKARIはLinuxカーネル用のセキュリティ機能「TOMOYO 1.8」をベースとしたLSMモジュールで、カーネル本体の再コンパイルを行わずに利用できるローダブルカーネルモジュール(Loadable Kernel Mobules、LKM)として実装されているのが特徴。
