プログラミング言語「Ruby」にヒープオーバーフローの脆弱性が見つかったことを受け、セキュリティ対策を施した最新修正版「Ruby 1.9.1-p376」が2009年12月7日、オフィシャルサイトで公開された。すべてのRuby 1.9.1ユーザーにアップグレードするよう推奨している。
脆弱性
EC-CUBEに顧客情報漏えいの脆弱性、早急な対策が必要
ロックオン(本社:大阪市)は2009年12月7日、同社が開発するオープンソースのECサイト構築ソフト「EC-CUBE」に、顧客情報漏えいのおそれがある脆弱性がみつかったと発表した。「極めて緊急度の高い深刻な脆弱性」で、早急に修正を適用するよう求めている。
バッファオーバーランの脆弱性を修正した「Namazu 2.0.20」リリース
Namazu Projectは2009年9月23日、日本語全文検索システムの最新バージョン「Namazu 2.0.20」を公開した。バッファオーバーランを起こす可能性がある脆弱性を修正しており、ユーザーには早急に最新版へバージョンアップするよう呼びかけている。
IPA、旧バージョンの「OpenSSL」利用者に注意喚起
情報処理推進機構(IPA)は2009年9月8日、オープンソースの暗号化通信ソフト「OpenSSL」のユーザーに向け、脆弱性対策済みの新しいバージョンを使うよう「注意喚起」を発した。対策未適用のバージョンの報告が増加していることを受けたもので、迅速なバージョンアップを呼びかけている。
IPA、ぜい弱性情報DB「JVN iPedia」で情報自動収集を試行、開発者側から登録可能に
独立行政法人情報処理推進機構(IPA)は2009年4月28日、運営しているぜい弱性対策情報データベース「JVN iPedia」で、製品開発者が発信するぜい弱性対策情報の自動収集を試行開始した。自動収集を利用することで、開発者は製品ユーザーに広く対策を促すことができるようになるという。
セキュリティ問題を修正した「OpenSSH 5.2」
The OpenBSD Projectは2月23日、SSHプロトコルを利用するためのフリーソフトウェア「OpenSSH 5.2」を公開した。セキュリティ強化とバグ修正アップデートとなっている。
IPA、開発者向けにTCP/IP脆弱性検証ツール最新版を無償貸出
独立行政法人情報処理推進機構(IPA)は2009年1月8日、TCP/IPを実装したソフトウェアの脆弱性検証ツール最新版を開発者向けに貸出開始した。既知の脆弱性を体系的に検証し、再発を防止できるという。費用は無償で、貸出期間は1年間(更新可能)。日本国内の製品開発ベンダーで、法人格を持つ事業体が対象。
Samba、セキュリティアップデート「Samba 3.2.7」リリース
オープンソースのファイルサーバーソフトウェア「Samba」を開発するSamba Teamは1月5日、最新版「Samba 3.2.7」をリリースした。セキュリティ対応リリースとなり、Samba管理者に対し、最新版へのアップグレードを推奨している。
Mozilla、修正漏れに対応した最後の2系「Firefox 2.0.0.20」をリリース
Mozilla Foundationは12月18日(米国時間)、オープンソースのWebブラウザ最新版「Firefox 2.0.0.20」をリリースした。16日にリリースしていた2.0.0.19で、脆弱性の修正に対応漏れがあったことを受けてのもの。バージョン2系では最後のアップデートとなる。
神戸デジタル・ラボ、Webサイト診断用テスト環境の構築サービスを開始
神戸デジタル・ラボ(本社:神戸市)は2008年12月1日、実システムと同じ環境を構築して、事前にサイトのセキュリティ診断などができる「診断用テスト環境の構築サービス」を開始した。価格は、WebサーバとDBサーバを1台のマシンで構成する「サービスプラン1台パック」で20万円から(別途ProactiveDefense診断価格がかかる)。
WordPress、セキュリティ問題を修正したバージョン2.6.5をリリース
オープンソースのブログソフトウェアを開発するWordPress.orgは11月26日(米国時間)、セキュリティ問題を修正した最新版「WordPress 2.6.5」をリリースした。最新版は同プロジェクトのWebサイトよりダウンロードできる。
Mozilla、Firefox 2.0系と3.0系のセキュリティアップデート
Mozilla Foundationは11月12日(米国時間)、Webブラウザ「Firefox」のセキュリティアップデートとして、「Firefox 3.0.4」「Firefox 2.0.0.18」をリリースした。統合ソフトウェア「SeaMonkey」も、セキュリティ問題を修復したアップデート版をリリースしている。
IPA、SQLインジェクション検出ツールをバージョンアップ
独立行政法人 情報処理推進機構(IPA)は2008年11月11日、WebサイトのSQLインジェクション検出ツール「iLogScanner」をバージョンアップしたと発表した。検出可能なSQLインジェクション攻撃パターンを従来の1.5倍に強化。動作プラットフォームにCentOS 5とFirefox 2を追加した。無償で利用できる。
OpenVASを使ったセキュリティ監査
セキュリティはもちろん重要だが、絶えず最新の対策を用意することは難しく、脆弱性のチェックをネットワーク全体に対して行うのは非常に面倒でもある。よって、そうしたテストを自動化し、なおかつ最も適切な最新のテストを実行できる方法が必要になる。 Open Vulnerability Assessment System (OpenVAS)は、セントラルサーバとGUIフロントエンドからなるネットワークセキュリティスキャナである。OpenVASサーバは、Nessus Attack Scripting Language(NASL)で書かれた何種類ものネットワーク脆弱性テスト(NVT)を実行できる。また、こうしたテストはOpenVASプロジェクトによって頻繁に更新されている。
テクマトリックス、Javaテストツール「Jtest」に脆弱性検出機能を標準搭載
テクマトリックスは2008年10月6日、米Parasoftが開発したJavaテストツール「Parasoft Jtest 8.3」に脆弱性検出機能などセキュリティ関連機能を追加したと発表した。これまで別売オプションで個別対応していた機能を標準搭載にした。価格は据え置きで、既存ユーザーは無料で追加機能を利用できる。
US-CERT、SSH鍵を利用したLinuxシステムへの攻撃について警告
米政府セキュリティ対策期間のUS Computer Emergency Readiness Team(US-CERT)は8月26日(米国時間)、盗んだSSH鍵を使ったLinuxベースのインフラへの攻撃が確認されたと報告、IT管理者に警告を出した。rootのアクセス権限を取得してルートキットをインストールし、さらなるSSH鍵を盗むという。
ratproxy――Webアプリケーションのセキュリティレベルを検証するGoogle提供ツール
Webアプリケーション開発者によるセキュリティレベルの検証作業をサポートすることを目的として、 ratproxy と呼ばれるオープンソース型ツールが先日Googleからリリースされた。これはWeb 2.0およびAJAXアプリケーションを対象に構築された非破壊型の検査ツールであり、セキュリティ上の問題点が可読性に優れた形式にてレポートされるようになっている。
オープンソースソフトのセキュリティ問題を警告ーー米Fortify
セキュリティ企業の米Fortify Softwareは7月21日(米国時間)、オープンソースソフトウェアにおけるセキュリティを調査したレポート「Open Source Security Study」を発表した。オープンソースの採用が増加しているが、オープンソース開発プロセスにはセキュリティが組み込まれていないと警告している。
Mozilla、「Firefox 3.0.1」をリリース
Mozilla Foundationは7月16日(米国時間)、「Firefox 3.0.1」をリリースした。最新のWebブラウザ「Firefox 3.0」の最初のアップデートとなり、3件の脆弱性を修正した。バージョン3.0ユーザーは、48時間以内に自動でアップデートされる。
DNSの脆弱性に対するパッチが公開
Linux、Windows、Cisco、Sunなど、どんなDNSサーバを稼働させていても、新たに見つかる脆弱性の危険がつきまとう。そう語るのはIO Activeにおける侵入テスト調査の責任者Dan Kaminsky氏、今年初めにDNSの“設計上の欠陥”を思いがけず発見した人物だ。
