はじめる人のびぎねっと。

プライバシーポリシー

びぎねっとITニュース

情報処理推進機構、「Vuls」を用いた効率的なソフトウェアの脆弱性対策を解説した資料を公開

情報処理推進機構(IPA)は2月21日、オープンソースソフトウェア「Vuls」を用いた脆弱性対策の手順などについて解説した「脆弱性対策の効果的な進め方(ツール活用編)」を公開した。

 IPAが運用している日本語版「脆弱性対策情報データベースJVN iPedia」には、累計92,674件の脆弱性対策情報の登録がある(2018年12月末時点)。また、JVN iPediaには毎月新規に1,100件超の脆弱性が登録されている。組織のシステム管理者は、膨大な脆弱性対策情報から必要な情報だけを抽出し、効率のよい作業を行うことが求められる。そこで、主に脆弱性対策情報を手動で収集しているシステム管理者を想定し、「ツール活用編」を作成した。この中では、脆弱性対策の作業フローと「Vuls」のインストール、情報収集の方法などが解説されている。収集の対象は、自組織で管理しているUNIX系サーバのソフトウェア。IPAの検証環境では、約370種のソフトウェアがインストールされているLinuxサーバに対して、Vulsのスキャンモードの1つである「fast-scan」を実行したところ、脆弱性対策情報の有無の抽出を数分で行えたという。

 また、「ツール活用編」に合わせ、セキュリティ対策初心者向けに「脆弱性対策の効果的な進め方(実践編)第2版」も公開した。

(川原 龍人/びぎねっと)

[関連リンク]
記事本文
アナウンス

Google、プログラミング言語「Dart 2.2」をリリース

Googleは2月27日(現地時間)、プログラミング言語「Dart 2.2」をリリースした。

Dartは、2013年11月に初めてリリースされたオブジェクト指向のプログラミング向け言語。昨年8月に大幅な方向転換を図った「Dart 2.0」がリリースされている。「Dart 2.0」は言語の在り方が見直されており、モバイルとWeb開発向けのプログラミング言語として「再スタート」を図っている。

「Dart 2.2」では、静的呼び出しのオーバーヘッド低減によるパフォーマンスの向上やリテラルシンタックスの拡張など、複数の改善が加わっている。

 DartはプロジェクトのWebサイト

「Dart 2.2」は、Webサイトから入手できる。

(川原 龍人/びぎねっと)

[関連リンク]
リリースアナウンス

Google、オープンソースのプログラミング言語「Go 1.12」をリリース

Googleは2月25日(現地時間)、オープンソースのプログラミング言語Goの正式版、「Go version 1.12(Go 1.12)」をリリースした。

Goは、Pythonのようなダイナミック性と、C/C++のようなコンパイル言語の特徴を併せ持ったプログラミング言語。コンパイラとランタイムライブラリから構成されており、短時間でコードのコンパイルが可能。並列プログラミングもサポートしている。インタプリタ言語とコンパイル言語の長所を採り入れ、新たなポジションの確立を目指している。

Go言語は、Windows、Mac OS X、FreeBSD、Linux、Androidのほか、DragonFly BSDやSolarisに対応している。「Go 1.12」は、TLS 1.3を準備的にサポートしたほか、ランタイムの強化、モジュールやライブラリの強化など、複数の機能強化が加わっている。また、「Go 1.12」ではWindows/armをサポートし、Raspberry Pi 3などのWindows 10 IoT Core/Arm(32bit)でも利用できるようになった(FreeBSD 10.x、macOS 10.10 Yosemiteは「Go 1.12」をもってサポートが打ち切られる)。

「Go 1.12」は、Linux版とMac OS X版がWebサイトに公開されている。ライセンスはBSDベースの独自ライセンスとなっている。

(川原 龍人/びぎねっと)

[関連リンク]
Blogによる記事
Go公式サイト

ネットワークプロトコルアナライザ「Wireshark 2.6.7/2.4.13」リリース

Wireshark Foundationは8月29日(現地時間)、ネットワークプロトコルアナライザ「Wireshark 2.6.7/2.4.13」をリリースした。

Wiresharkは、Ethrealを前身とするネットワークプロトコルアナライザ。パケットキャプチャやプロトコル解析により、ネットワークの解析を行うことができるオープンソースのソフトウェア。

「Wireshark 2.6.7/2.4.13」は、「2.6」系列および「2.4」系列のアップデートリリース。いずれも不具合および脆弱性の修正が主となっているアップデートリリース。修正された脆弱性にはディセクタークラッシュの恐れがあるものもあり、ユーザはアップデートが強く推奨される。

「Wireshark 2.6.7/2.4.13」は、Windows版、Linux版、BSD版、SolarisやHP-UXなどに対応したUNIX版、Mac OS X版パッケージが用意されている。「Wireshark」はWebサイトから無償でダウンロード・利用できる。

(川原 龍人/びぎねっと)

[関連リンク]
リリースノート

バージョン管理システム「Git 2.21.0」リリース

バージョン管理システムGitの最新版、「Git 2.21.0」が2月24日(現地時間)リリースされた。

Gitは、Linux kernelのソースコード管理を目的として、Linus Torvaldsらによって開発が開始された、高速の分散型バージョン管理システム。ワークディレクトリがすべてのリポジトリ履歴を持っているため、中央サーバへのアクセスを行わなくてもリビジョン間の履歴を調べることができる。

「Git 2.21.0」では、日時で日付を指定する「–date=human」というフォーマットが利用できるようになったほか、UTF-16LE-BOMのサポート、パフォーマンスの工場、機能の安定性向上、バグフィクスなどが施されている。

「Git 2.21.0」は、Webサイトから無償でダウンロード・利用できる。

(川原 龍人/びぎねっと)

[関連リンク]
リリースノート

Torを用いて安全にファイルを送受信できる「OnionShare 2」リリース

onionshare.orgは2月19日(現地時間)、「Tor」を用いて安全にファイルを送受信できる「OnionShare 2」をリリースした。

 匿名で安全にファイルを送受信できるツール「OnionShare」の最新版v2.0が、2月19日に公開された。2年ぶりのメジャーバージョンアップとなる。

 「OnionShare」は、接続経路の秘匿技術「Tor」(The Onion Router)を利用したオープンソースのファイル送受信ツール。「OnionShare」を利用すると、ファイルをホストする側がWebサーバを起動し、「.onion」ドメインの一時URLを生成する。このURLにはTor経由でアクセスできるため、ファイルを取得する側は「Tor Browser」を利用して共有URLからファイルを取得する。

 「OnionShare 2」では、「Onion」の新しいサービスが利用できるようになっているほか、不特定多数からのアクセス専用のURLを生成するパブリックモードが追加されるなど、複数の機能改善が施されている。

 「OnionShare 2」は、Webサイトから入手できる。

(川原 龍人/びぎねっと)

[関連リンク]
onionshare.org

「BIND 9」に複数の脆弱性、修正版がリリース

DNSサーバBINDに、深刻度「高(High)」となる脆弱性が発見された。この脆弱性は、CVE-2018-5744にて指摘されている。

この脆弱性は、実装上の不具合により、特定の組み合わせを持つEDNSオプションの処理においてメモリの解放に失敗し、メモリリークを起こす恐れがあるというもの。悪用されると、異常動作やサービス停止を誘発する可能性がある。また、これ以外にも2件の脆弱性が発見されている。

対象となるバージョンは、ISC BIND 9.12.0~9.12.3-P1/9.11.3~9.11.5-P1/9.10.7~9.10.8-P1。ISCは、この脆弱性を修正した「BIND 9.12.3-P4/9.11.5-P4」をリリースしており、ユーザは早期のアップグレードが推奨される。なお、BIND 9.10系列およびそれ以前の系列はサポート終了となっているため、系列のアップグレードが推奨される。

修正されたバージョンのISC BINDおよびISC DHCPは、Webサイトから無償で入手できる。

(川原 龍人/びぎねっと)

[関連リンク]
JPRSによるアナウンス

オープンソースのコンパイラ「GCC 8.3」リリース

GCCは2月22日(現地時間)、オープンソースの多言語コンパイラ 「GCC 8.3」を正式にリリースした。

GCC は「GNU Compiler Collection」の略。C、C++、Objective-C、FORTRAN、Javaなど複数の開発言語に対応しているコンパイラ。現在では、Linuxをはじめとする、さまざまなUNIX系OSで標準搭載されている。

「GCC 8.3」は、GCC 8系列の最新アップデートリリースで、不具合の修正が主となっている。修正された不具合にはコンパイルエラーに繋がるものなどもあるため、アップグレードが推奨される。GCC 8.3は、ミラーサイトから無償でダウンロード・利用することができる。

(川原 龍人/びぎねっと)

[関連リンク]
リリースアナウンス

Facebook、抽象解釈ベースのコード解析ライブラリ「SPARTA」リリース

 Facebookは2月20日(現地時間)、抽象解釈ベースのコード解析ライブラリ「SPARTA」をオープンソースとしてリリースした。

抽象解釈を土台とし、簡単に高度な解析を実行できるツールを目指すという。

 従来、抽象解釈ベースのツールの活用は高度な知識を必要とするため高い難度であったが、ソフトウェアコンポーネントはC++で構築され、抽象解釈の複雑な部分はカプセル化されており、抽象解釈の利用が簡単な操作でできるようになるという。

 「SPARTA」はGitHubに公開されている。「SPARTA」はMac OS XおよびLinuxで利用でき、「Boost 1.58以上」が必要となる。

(川原 龍人/びぎねっと)

[関連リンク]
GitHub

US-CERT、複数のCisco Systems製品に存在する脆弱性に関する注意喚起

 US-CERTは2月20日(現地時間)、Cisco Systems製の複数のプロダクトに脆弱性が存在すると発表し、注意喚起を発表した。

 今回発見された脆弱性の中には、悪用されることによってリモートからシステムの制御権が乗っ取られる危険のあるものもあり、注意が必要。危険な脆弱性であるため、ユーザは提供済みのアップデートを適用することが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
US-CERTの発表
Security Advisory(Cisco)

 

このページのTOPへ

Powered by Wordpress