Mozillaの開発者は8月16日、アプリケーションの脆弱性テスト(Fuzzテスト)に向けたさまざまなリソースを集めたデータベース「FuzzDB」をオープンソースで公開したことを発表した。Webアプリケーションのセキュリティテストなどさまざまな用途に利用できる可能性があるとしている。
脆弱性
脆弱性スキャナ「OpenVAS」で実行するセキュリティチェック
昨今ではソフトウェアに脆弱性が発見されることは珍しくない。そのため、既知の脆弱性についていかに迅速に対処を行うかが重要となっている。本記事では既知の脆弱性を発見するためのツールである脆弱性スキャナ「OpenVAS」を使ったサーバーのセキュリティチェック方法について解説する。
米Oracle、攻撃が確認されたJava脆弱性を修正したアップデートを緊急リリース
米Oracleは8月30日、Java SE Runtime Environment 7の脆弱性を修正した最新版「Java 7 Update 7」および「Java 6 Update 35」を公開した。ゼロディ攻撃が確認されている深刻な脆弱性へのパッチを含んでおり、Oracleは早急にアップデートするよう呼びかけている。
2件のセキュリティ問題を修正した「Apache HTTP Server 2.4.3」がリリース
Apache Software Foundation(ASF)とApache HTTP Server Projectは8月21日、オープンソースのWebサーバー「Apache HTTP Server 2.4.3」をリリースした。2件のセキュリティ問題が修正されており、すべてのユーザーにアップデートを推奨している。
Ruby on Rails 3系に深刻なセキュリティ問題、修正版への迅速なアップデートを推奨
Ruby on Railsの開発チームは7月26日、「Ruby on Rails 3.2.7」および「3.1.7」「3.0.16」をリリースした。Ruby on Rails 3.x系で発見された深刻なセキュリティ問題を修正したメンテナンスリリースで、開発チームは3.x系のユーザーに対しすぐにアップデートするよう呼びかけている。
「PHP 5.4.2」におけるCGI関連のバグ修正は不完全、5月8日に再リリースへ
PHP開発チームは5月3日、「PHP 5.4.2」および「PHP 5.3.12」をリリースした。ここで2004年より存在していたというCGI関連の脆弱性を修正したとしていたが、その3日後にこの脆弱性を完全に修正できていないことが報告された。そのため、5月8日にこの脆弱性を修正したものがリリースされる予定となっている。
脆弱性修正によって新たに生じた脆弱性を修正した「PHP 5.3.10」がリリース
PHP開発チームは2月2日、「PHP 5.3.10」を公開した。1月に公開された「PHP 5.3.9」でのセキュリティ修正により生じた脆弱性を補う修正が施されており、全ユーザーにアップグレードを推奨している。
SambaにDoS攻撃を可能にする脆弱性が発覚、これを修正した「Samba 3.6.3」リリース
Samba Teamは1月29日、最新安定版「Samba 3.6.3」を公開した。25日にSamba 3.6.2がリリースされたばかりだが、Samba 3.6系にDoS攻撃を受ける脆弱性があることが発覚、これに対応するセキュリティリリースとなる。
Apache TomcatにDoS攻撃を招く脆弱性が発見される。5.5系から7.0系までが対象
Apache Tomcat開発チームは1月17日、Apache Tomcatに関するセキュリティ警告を発表した。影響を受けるのはバージョン5.5.0~5.5.34、6.0.0~6.0.33、7.0.0~7.0.22で、対策済みバージョンへのアップデートを呼びかけている。
Rapid7、Metasploit Frameworkベースの侵入テストツール「Metasploit Community Edition」をリリース
オープンソースの侵入テスト「Metasploit Framework」プロジェクトを出資する米Rapid7は10月18日(米国時間)、Metasploit Frameworkを土台とした侵入テストツール「Metasploit Community Edition」を発表した。同社Webサイトより無料でダウンロードできる。
Apache HTTP Serverのmod_proxyに脆弱性
2011年10月6日、Apache HTTP Serverのmod_proxyに脆弱性が発見された。リバースプロクシとしてApacheを利用している場合に影響を受けるという。脆弱性が存在するのはhttpd 1.3系の全バージョンと、2.x系の全バージョン。
「Apache Killer」対策を行った「Apache HTTP Server 2.2.20」公開
Apache Software Foundation(ASF)のApache HTTP Server開発チームは8月31日、最新版となる「Apache HTTP Server 2.2.20」を公開した。先に警告したDoS攻撃の脆弱性を修正したセキュリティリリースで、全ユーザーにアップグレードを呼びかけている。
Apache HTTP Serverの脆弱性を突く「Apache Killer」――パッチは48時間以内にリリース予定
Apache HTTP Serverの開発チームは8月24日、同Webサーバーの脆弱性を突くDDoS攻撃ツール「Apache Killer」が出回っていると警告した。該当するApacheは1.3系および2系の全バージョン。パッチ発行までユーザーはおのおので対応を講じるよう呼びかけている。
米Google、Webアプリケーション向けの高速な脆弱性スキャナ「Skipfish」を公開
米Googleは3月19日、Webアプリケーション向けのセキュリティ脆弱性スキャナ「Skipfish」を公開した。現在最新版となるバージョン1.1ベータのコードが公開されている。
JPCERT/CC、Webサイト改ざんとGumblarウイルスの感染で注意喚起
JPCERTコーディネーションセンター(JPCERT/CC)は2010年1月7日、Webサイトを改ざんするウイルス「Gumblar」の感染が昨年末から拡大していることを受け、注意喚起を行った。 OSやソフトウェアに最新の修正プログラムが適用されているか、Webサイトが改ざんされていないか確認するよう求めている。
Rubyにヒープオーバーフローの脆弱性、修正版をリリース
プログラミング言語「Ruby」にヒープオーバーフローの脆弱性が見つかったことを受け、セキュリティ対策を施した最新修正版「Ruby 1.9.1-p376」が2009年12月7日、オフィシャルサイトで公開された。すべてのRuby 1.9.1ユーザーにアップグレードするよう推奨している。
EC-CUBEに顧客情報漏えいの脆弱性、早急な対策が必要
ロックオン(本社:大阪市)は2009年12月7日、同社が開発するオープンソースのECサイト構築ソフト「EC-CUBE」に、顧客情報漏えいのおそれがある脆弱性がみつかったと発表した。「極めて緊急度の高い深刻な脆弱性」で、早急に修正を適用するよう求めている。
バッファオーバーランの脆弱性を修正した「Namazu 2.0.20」リリース
Namazu Projectは2009年9月23日、日本語全文検索システムの最新バージョン「Namazu 2.0.20」を公開した。バッファオーバーランを起こす可能性がある脆弱性を修正しており、ユーザーには早急に最新版へバージョンアップするよう呼びかけている。
IPA、旧バージョンの「OpenSSL」利用者に注意喚起
情報処理推進機構(IPA)は2009年9月8日、オープンソースの暗号化通信ソフト「OpenSSL」のユーザーに向け、脆弱性対策済みの新しいバージョンを使うよう「注意喚起」を発した。対策未適用のバージョンの報告が増加していることを受けたもので、迅速なバージョンアップを呼びかけている。
IPA、ぜい弱性情報DB「JVN iPedia」で情報自動収集を試行、開発者側から登録可能に
独立行政法人情報処理推進機構(IPA)は2009年4月28日、運営しているぜい弱性対策情報データベース「JVN iPedia」で、製品開発者が発信するぜい弱性対策情報の自動収集を試行開始した。自動収集を利用することで、開発者は製品ユーザーに広く対策を促すことができるようになるという。
