Google(米Alphabet傘下)は8月30日、Googleのオープンソースプロジェクトのバグ発見に報酬を支払う「Open Source Software Vulnerability Rewards Program(OSS VRP)」を発表した。
脆弱性
Linuxはバグ修正の優等生、平均25日で修正ーーGoogleのProject Zero
Google(米Alphabet)のセキュリティチームProject Zeroは2月10日、過去2年間のゼロディ脆弱性に関するデータを公開した。Linuxは脆弱性の報告から修正までの期間が短く、平均して25日という。
任意のコード実行の脆弱性を修正した「Apache Log4j 2.16」が公開
Apache Log4j開発チームは12月13日、Javaロギングツールの最新版「Apache Log4j 2.16.0」を公開した。遠隔から任意のコードを実行されるおそれのある脆弱性(CVE-2021-44228)とそれに続く脆弱性(CVE-2021-45046)を修正するものとなり、アップデートを推奨している。
「PostgreSQL 14.1」が公開、セキュリティ脆弱性を修正
The PostgreSQL Global Development Groupは11月11日、最新のポイントリリースとなる「PostgreSQL 14.1」を公開した。2件のセキュリティ修正が加わっている。合わせて、9.6系最後のリリースも公開した。
Googleオープンソースソフトの脆弱性データベースOSVを拡大、Go、Rust、Python、DWFもサポート
Google(米Alphabet)は6月24日、オープンソースプロジェクトの脆弱性データベース「Open Source Vulnerabilities(OSV)」を拡大し、Go、Rust、Python、DWFの脆弱性データベースをサポートすることを発表した。
Mozilla、Webアプリ脆弱性テストのためのデータベース「FuzzDB」を発表
Mozillaの開発者は8月16日、アプリケーションの脆弱性テスト(Fuzzテスト)に向けたさまざまなリソースを集めたデータベース「FuzzDB」をオープンソースで公開したことを発表した。Webアプリケーションのセキュリティテストなどさまざまな用途に利用できる可能性があるとしている。
脆弱性スキャナ「OpenVAS」で実行するセキュリティチェック
昨今ではソフトウェアに脆弱性が発見されることは珍しくない。そのため、既知の脆弱性についていかに迅速に対処を行うかが重要となっている。本記事では既知の脆弱性を発見するためのツールである脆弱性スキャナ「OpenVAS」を使ったサーバーのセキュリティチェック方法について解説する。
米Oracle、攻撃が確認されたJava脆弱性を修正したアップデートを緊急リリース
米Oracleは8月30日、Java SE Runtime Environment 7の脆弱性を修正した最新版「Java 7 Update 7」および「Java 6 Update 35」を公開した。ゼロディ攻撃が確認されている深刻な脆弱性へのパッチを含んでおり、Oracleは早急にアップデートするよう呼びかけている。
2件のセキュリティ問題を修正した「Apache HTTP Server 2.4.3」がリリース
Apache Software Foundation(ASF)とApache HTTP Server Projectは8月21日、オープンソースのWebサーバー「Apache HTTP Server 2.4.3」をリリースした。2件のセキュリティ問題が修正されており、すべてのユーザーにアップデートを推奨している。
Ruby on Rails 3系に深刻なセキュリティ問題、修正版への迅速なアップデートを推奨
Ruby on Railsの開発チームは7月26日、「Ruby on Rails 3.2.7」および「3.1.7」「3.0.16」をリリースした。Ruby on Rails 3.x系で発見された深刻なセキュリティ問題を修正したメンテナンスリリースで、開発チームは3.x系のユーザーに対しすぐにアップデートするよう呼びかけている。
「PHP 5.4.2」におけるCGI関連のバグ修正は不完全、5月8日に再リリースへ
PHP開発チームは5月3日、「PHP 5.4.2」および「PHP 5.3.12」をリリースした。ここで2004年より存在していたというCGI関連の脆弱性を修正したとしていたが、その3日後にこの脆弱性を完全に修正できていないことが報告された。そのため、5月8日にこの脆弱性を修正したものがリリースされる予定となっている。
脆弱性修正によって新たに生じた脆弱性を修正した「PHP 5.3.10」がリリース
PHP開発チームは2月2日、「PHP 5.3.10」を公開した。1月に公開された「PHP 5.3.9」でのセキュリティ修正により生じた脆弱性を補う修正が施されており、全ユーザーにアップグレードを推奨している。
SambaにDoS攻撃を可能にする脆弱性が発覚、これを修正した「Samba 3.6.3」リリース
Samba Teamは1月29日、最新安定版「Samba 3.6.3」を公開した。25日にSamba 3.6.2がリリースされたばかりだが、Samba 3.6系にDoS攻撃を受ける脆弱性があることが発覚、これに対応するセキュリティリリースとなる。
Apache TomcatにDoS攻撃を招く脆弱性が発見される。5.5系から7.0系までが対象
Apache Tomcat開発チームは1月17日、Apache Tomcatに関するセキュリティ警告を発表した。影響を受けるのはバージョン5.5.0~5.5.34、6.0.0~6.0.33、7.0.0~7.0.22で、対策済みバージョンへのアップデートを呼びかけている。
Rapid7、Metasploit Frameworkベースの侵入テストツール「Metasploit Community Edition」をリリース
オープンソースの侵入テスト「Metasploit Framework」プロジェクトを出資する米Rapid7は10月18日(米国時間)、Metasploit Frameworkを土台とした侵入テストツール「Metasploit Community Edition」を発表した。同社Webサイトより無料でダウンロードできる。
Apache HTTP Serverのmod_proxyに脆弱性
2011年10月6日、Apache HTTP Serverのmod_proxyに脆弱性が発見された。リバースプロクシとしてApacheを利用している場合に影響を受けるという。脆弱性が存在するのはhttpd 1.3系の全バージョンと、2.x系の全バージョン。
「Apache Killer」対策を行った「Apache HTTP Server 2.2.20」公開
Apache Software Foundation(ASF)のApache HTTP Server開発チームは8月31日、最新版となる「Apache HTTP Server 2.2.20」を公開した。先に警告したDoS攻撃の脆弱性を修正したセキュリティリリースで、全ユーザーにアップグレードを呼びかけている。
Apache HTTP Serverの脆弱性を突く「Apache Killer」――パッチは48時間以内にリリース予定
Apache HTTP Serverの開発チームは8月24日、同Webサーバーの脆弱性を突くDDoS攻撃ツール「Apache Killer」が出回っていると警告した。該当するApacheは1.3系および2系の全バージョン。パッチ発行までユーザーはおのおので対応を講じるよう呼びかけている。
米Google、Webアプリケーション向けの高速な脆弱性スキャナ「Skipfish」を公開
米Googleは3月19日、Webアプリケーション向けのセキュリティ脆弱性スキャナ「Skipfish」を公開した。現在最新版となるバージョン1.1ベータのコードが公開されている。
JPCERT/CC、Webサイト改ざんとGumblarウイルスの感染で注意喚起
JPCERTコーディネーションセンター(JPCERT/CC)は2010年1月7日、Webサイトを改ざんするウイルス「Gumblar」の感染が昨年末から拡大していることを受け、注意喚起を行った。 OSやソフトウェアに最新の修正プログラムが適用されているか、Webサイトが改ざんされていないか確認するよう求めている。
