はじめる人のびぎねっと。

プライバシーポリシー

びぎねっとITニュース

「Node.js 11.8.0」リリース

Node.js Developersは1月25日(現地時間)、JavaScriptアプリケーションプラットフォーム、「Node.js 11.8.0」をリリースした。

Node.jsは、イベント化された入出力を扱うサーバーサイドJavaScriptアプリケーションフレームワーク。JavaScriptコードを実行するランタイムと、I/Oやネットワークアクセスなどの機能を提供するライブラリから構成され、Webサーバなどのスケーラブルなネットワークプログラムを想定している。

「Node.js 11.8.0」では、いくつかのイベントで挙動に変更が加えられているほか、Node.js APIの「napi_threadsafe_function」が安定版となった。その他、ツールのアップデート、複数の不具合解消などが施されている。

「Node.js 11.8.0」は、Webサイトから無償でダウンロード・利用できる。

(川原 龍人/びぎねっと)

[関連リンク]
Blogによる記事

「Opera 58」リリース

Operaは1月23日(現地時間)、Webブラウザの最新版「Opera 58」をリリースした。

「Opera 58」では、ブラウザエンジンを「Google Chrome 71」相当のものにアップデートされているほか、複数のタブをまとめて閉じる際に警告を発する機能を追加した。これ以外にも複数の強化・不具合の修正が施されている。

「Opera 58(日本語版)」は、OperaのWebサイトから無償でダウンロード・利用できる。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

IPA、2018年第4四半期の脆弱性対策情報データベースJVN iPediaの登録状況を発表

情報処理推進機構(IPA)は1月23日、2018年第4四半期の脆弱性対策情報データベースJVN iPediaの登録状況を発表した。登録された脆弱性でもっとも多かったのはクロスサイトスクリプティング。

 脆弱性対策情報データベース「JVN iPedia」では、ソフトウェア製品に関する脆弱性対策情報が公開されている。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVNで公表した脆弱性対策情報、3)米国国立標準技術研究所NISTの脆弱性データベース「NVD」が公開した脆弱性対策情報を集約、翻訳している。

 2018年第4四半期(2018年10月1日から12月31日まで)にJVN iPedia日本語版へ登録された脆弱性対策情報は国内製品開発者6件、JVN 66件、NVD 3,488件、合計3,560件となり、脆弱性対策情報の登録件数の累計は92,674件となった。

JVN iPediaに登録された脆弱性の種類別件数としては、昨年に引き続きクロスサイトスクリプティングとバッファエラーが上位を占めている。 また、2018年の特徴的な脆弱性として、8位の「整数オーバーフローまたはアップアラウンド」が挙げられる。2017年には181件だった登録件数が、2018年には498件と2倍以上に増加している。これは、イーサリアムが提供するトークン規格のERC20に準拠した数100個のトークンに脆弱性があったことが一因として挙げられるとしている。

(川原 龍人/びぎねっと)

[関連リンク]
記事本文

「Linux 4.20.5」リリース

Linux kernelの最新版、「Linux 4.20.5」が1月26日付(現地時間)でリリースされた。

今回のリリースは、Linux 4.20系列のメンテナンスアップデートリリース。このリリースでは不正な権限昇格の危険がある脆弱性が修正されている。管理者は、各ディストリビューターなどから提供されているアップデートまたはパッチを適用することが強く推奨される。

「Linux 4.20.5」は、gitもしくはkernel.orgからダウンロードできる。

(川原 龍人/びぎねっと)

[関連リンク]
kernel.org

パッケージ管理システム「apt」に中間者攻撃が可能になる脆弱性

 「Debian GNU/Linux」などでパッケージ管理システムとして利用されている「apt」に、中間者攻撃が可能になる脆弱性が発見された。この脆弱性を悪用されると、リモートから管理者権限で任意のコードを実行される危険がある。

 この脆弱性は、現在aptを利用しているLinuxディストリビューションのすべてに影響する危険がある。DebianやUbuntuなどでは、すでに修正パッチが提供されているため、ユーザは迅速なアップデートの適用が強く推奨される。また、その他のaptを利用しているLinuxディストリビューション利用者も、パッチが提供され次第速やかにアップデートを適用する必要がある。

(川原 龍人/びぎねっと)

[関連リンク]
DebianのErrata

「Wine 4.0.0」リリース

Wine HQは1月22日(現地時間)、x86アーキテクチャ上のLinuxなどでWindows向けアプリケーションを動作させるソフトウェア、「Wine 4.0.0」をリリースした。

Wineは「Wine Is Not an Emulator」の略称であり、その名の通りエミュレータを動作させるのではなく、Windowsアプリケーションをネイティブ動作させるソフトウェア。X Window Systemを利用して、Windows向けのGUIアプリケーションを動作させることができる。

「Wine 4.0.0」はメジャーアップデートリリースに相当する。グラフィックスAPI「Vulkan」をサポートしたほか、「Direct3D 12」やゲームコントローラへの対応など、複数の機能強化が施されている。

「Wine 4.0.0」は、Webサイトから無償でダウンロード・利用できる。

(川原 龍人/びぎねっと)

[関連リンク]
ニュースリリース

セキュリティに特化したLinuxディストリビューション「Parrot 4.5」リリース

Parrotsec.orgは1月21日(現地時間)、セキュリティに特化したLinuxディストリビューション「Parrot 4.5」をリリースした。

「Parrot」は、Debian GNU/Linuxをベースとし、セキュリティ施策ツールや開発ツールが搭載されたLinuxディストリビューション。セキュアなシステムに加え、プログラミング環境や専門性の高いセキュリティ研究などの用途に適したディストリビューションとなっている。「Parrot 4.5」では、32bitアーキテクチャがサポート対象外となっており、注意が必要。

 「Parrot 4.5」は、Webサイトから無償でダウンロードできる。

(川原 龍人/びぎねっと)

[関連リンク]
ニュースリリース

IoT/組み込み向け「Ubuntu Core 18」リリース

 Canonicalは1月22日(現地時間)、IoT向けLinuxディストーション「Ubnutu Core 18」をリリースした。

「Ubuntu Core 18」は、「Ubuntu 18.04」をベースとし、IoT向けに軽量化などの処理を施したLinuxディストリビューション。組み込み、コンテナでの利用にも適している。パッケージを必要なもののみに絞り込み、260MBという容量を実現している。特徴の一つに、「Snap」と呼ばれる脆弱性をスキャンする機能を備えたパッケージシステムを持つなどセキュリティ施策も備えている。また、「Ubuntu Core 18」は、今後10年間のセキュリティアップデートを提供する予定となっている。

 「Ubuntu Core 18」はIntelおよびARMアーキテクチャに対応しており、Raspberry PiやQualcomm Dragonboard 410などに容易にインストールし、利用することができるとしている。

(川原 龍人/びぎねっと)

[関連リンク]
Ubuntu Core
アナウンス

Microsoft、2019・2020年にサポート終了となる製品を発表

Microsoftは1月14日(現地時間)、2019年および2020年にサポートを終了する主要な製品のリストを発表した。

〇2019年7月9日
Microsoft SQL Server 2008/2008 R2

〇2020年1月14日
Microsoft Windows 7
Microsoft Windows 7 for Embedded Systems
Microsoft Windows Server 2008/2008 R2
Microsoft Exchange Server 2010

〇2020年10月13日
Microsoft Windows Embedded Standard 7
Microsoft Office 2010 client
Microsoft Projext Server 2010
Microsoft SharePoint 2010

サポートが打ち切られると、セキュリティアップデートが提供されなくなるため、セキュリティ上大きな問題が生じる可能性があるため、注意が必要。

(川原 龍人/びぎねっと)

[関連リンク]
記事本文

トレンドマイクロ、サイバー犯罪集団「Magecart」の新しい攻撃を確認

トレンドマイクロは1月18日、サイバー犯罪集団「Magecart」による活動の急増を検出したと発表した。「Magecart」は、電子商取引(eコマース)サイトに不正なコードを注入し、ユーザが入力した支払い情報を窃取する攻撃を行っている集団。今回確認された攻撃では、277のeコマースサイトで、ユーザが入力した情報を窃取する「スキミングコード」が読み込まれていたという。スキミングコードは「JS_OBFUS.C」として検出されている。調査の結果、このスキミングコードは、フランスのオンライン広告企業「Adverline」が提供するJavaScriptライブラリに注入されていたことが判明した。トレンドマイクロは迅速にAdverlineに連絡し、同社は直ちに必要な措置を講じたという。

対象となったWebサイトには、化粧品、ヘルスケア用品、衣料品などを扱う有名メーカーの販売サイトだけでなく、チケット発行、旅行および航空券の予約などのサービスを提供するサイトも含まれていた。

今回の攻撃は、対象サイトを直接侵害するスキミング攻撃とは異なり、サードパーティのサービスが提供するJavaScriptライブラリにコードを注入することでeコマースサイトを攻撃するという手法。これにより、問題のライブラリが埋め込まれたすべてのWebサイトがスキミングコードを読み込むようになる。また、サードパーティのサービスを狙うことにより、広範なWebサイトに影響がおよび、より多くの情報を窃取されることになる。

(川原 龍人/びぎねっと)

[関連リンク]
Blogによる記事

 

このページのTOPへ

Powered by Wordpress