opnsense.orgは1月31日(現地時間)、ファイアウォールソリューションOPNsenseの最新版、「OPNsense 19.1」をリリースした。

「OPNsense」は、FreeBSDをベースとしたファイアウォールソリューション。開発終了した「m0n0wall」の事実上の後継プロジェクトとなる。Webベースの設定ユーザインターフェイスを持っており、容易にファイアウォールを構築できる。

「OPNsense 19.1」は、PIEファイアウォールシェーパーをサポートしたほか、ファイアウォールエイリアスAPIが完成版となった。また、リモートのLDAPとローカルのTOTPを利用した二要素認証が利用できるようになった。その他にも複数の機能向上が図られている。

「OPNsense」は、Webサイトからダウンロードできる。

(川原 龍人/びぎねっと)

[関連リンク]
Blogによる記事

CreationlineとRAINLABは1月30日(現地時間)、コンテナイメージ共有ソフトウェア「Beiran」をオープンソースソフトウェアとして公開した。

「Beiran」は、DockerおよびKubernetesに対応するコンテナイメージ共有ソフトウェア。P2P方式によって大規模なコンテナ環境での運用における負荷集中を改善する。P2P方式を利用することによって、同一拠点内の別のサーバがイメージを保持している時に、拠点内サーバからコンテナイメージを分散、並列して取得する。この仕組みによって、大規模コンテナ環境において、イメージのダウンロードがボトルネックとなる問題を解決する。

　なお、アナウンスの中では、「Beiran」は未だ改善すべき点が多々あるため、多くの開発者の参加を求めるとしている。

（川原 龍人/びぎねっと）

［関連リンク］
リリースアナウンス(Creationline)
Beiran

Debian Projectは1月23日（現地時間）、Debian GNU/Linuxの最新安定版「Debian 9 “Stretch”」のポイントリリース、「Debian 9.7」をリリースした。

「Debian 9.7」は、パッケージマネージャ「APT」に存在する脆弱性を修正した緊急リリース。それ以外の変更は含まれていない。修正された脆弱性は極めて危険なものなので、Debian GNU/Linuxのユーザはアップグレードが強く推奨される。

「Debian 9.7」は、ミラーサイトなどから入手できる。「Debian 9.6」からアップグレードすることも可能。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

　Linuxデスクトップ向けアプリケーションパッケージングツール「Flatpak 1.2.0」が1月28日(現地時間)、リリースされた。

　「Flatpak」は、デスクトップ向けアプリケーションの作成、ディストリビューション化・パッケージングなどを行うフレームワーク。アプリケーション開発環境を備えており、依存性管理機能などを備えている。構築・パッケージ化したアプリケーションは、さまざまなLinuxディストリビューションで利用できる、クロスディストリビューションとなっている。

　「Flatpak 1.2.0」では、CUIの挙動の変更、エクスポート時にアイコンファイルを検証するヘルパーツールの搭載、その他の機能強化・バグ修正が加わっている。

　「Flatpak 1.2.0」は、GitHubから入手できる。

(川原 龍人/びぎねっと)

[関連リンク]
Flatpak
GitHub

US-CERTは1月24日(現地時間)、「National Cybersecurity and Communications Integration Center(NCCIC)」においてDNSインフラストラクチャハイジャックが広範囲で観測されたと発表された。

DNSインフラストラクチャハイジャックでは、DNSサーバを乗っ取った後、DNS情報を不正に書き換えて偽のサイトに誘導する。DNSユーザは、偽のサイトに誘導され、情報を窃取されるなどの損害を被る恐れがある。

この攻撃に備える施策としては、
〇DNSサポートを変更できるすべてのアカウントのパスワードを再設定する
〇DNSレポートを変更できるアカウントやドメイン登録を実施したアカウントに多要素認証を導入する
〇パブリックDNSサポートを精査し、名前解決が適切に行われていることを確認する
〇不正に利用された証明書を検索によって洗い出し、すべて削除する

DNSサーバがジャックされると、攻撃者は中間者攻撃など危険な攻撃に悪用することもできてしまうほか、問題の発見が遅れる恐れも大きいため、DNS管理者は十分な注意を払うことが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
注意喚起本文

Node.js Developersは1月25日（現地時間）、JavaScriptアプリケーションプラットフォーム、「Node.js 11.8.0」をリリースした。

Node.jsは、イベント化された入出力を扱うサーバーサイドJavaScriptアプリケーションフレームワーク。JavaScriptコードを実行するランタイムと、I/Oやネットワークアクセスなどの機能を提供するライブラリから構成され、Webサーバなどのスケーラブルなネットワークプログラムを想定している。

「Node.js 11.8.0」では、いくつかのイベントで挙動に変更が加えられているほか、Node.js APIの「napi_threadsafe_function」が安定版となった。その他、ツールのアップデート、複数の不具合解消などが施されている。

「Node.js 11.8.0」は、Webサイトから無償でダウンロード・利用できる。

(川原 龍人/びぎねっと)

[関連リンク]
Blogによる記事

Operaは1月23日（現地時間）、Webブラウザの最新版「Opera 58」をリリースした。

「Opera 58」では、ブラウザエンジンを「Google Chrome 71」相当のものにアップデートされているほか、複数のタブをまとめて閉じる際に警告を発する機能を追加した。これ以外にも複数の強化・不具合の修正が施されている。

「Opera 58（日本語版）」は、OperaのWebサイトから無償でダウンロード・利用できる。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

情報処理推進機構(IPA)は1月23日、2018年第4四半期の脆弱性対策情報データベースJVN iPediaの登録状況を発表した。登録された脆弱性でもっとも多かったのはクロスサイトスクリプティング。

　脆弱性対策情報データベース「JVN iPedia」では、ソフトウェア製品に関する脆弱性対策情報が公開されている。システム管理者が迅速に脆弱性対策を行えるよう、1）国内のソフトウェア開発者が公開した脆弱性対策情報、2）脆弱性対策情報ポータルサイトJVNで公表した脆弱性対策情報、3）米国国立標準技術研究所NISTの脆弱性データベース「NVD」が公開した脆弱性対策情報を集約、翻訳している。

　2018年第4四半期（2018年10月1日から12月31日まで）にJVN iPedia日本語版へ登録された脆弱性対策情報は国内製品開発者6件、JVN 66件、NVD 3,488件、合計3,560件となり、脆弱性対策情報の登録件数の累計は92,674件となった。

JVN iPediaに登録された脆弱性の種類別件数としては、昨年に引き続きクロスサイトスクリプティングとバッファエラーが上位を占めている。 また、2018年の特徴的な脆弱性として、8位の「整数オーバーフローまたはアップアラウンド」が挙げられる。2017年には181件だった登録件数が、2018年には498件と2倍以上に増加している。これは、イーサリアムが提供するトークン規格のERC20に準拠した数100個のトークンに脆弱性があったことが一因として挙げられるとしている。

(川原 龍人/びぎねっと)

[関連リンク]
記事本文

Linux kernelの最新版、「Linux 4.20.5」が1月26日付（現地時間）でリリースされた。

今回のリリースは、Linux 4.20系列のメンテナンスアップデートリリース。このリリースでは不正な権限昇格の危険がある脆弱性が修正されている。管理者は、各ディストリビューターなどから提供されているアップデートまたはパッチを適用することが強く推奨される。

「Linux 4.20.5」は、gitもしくはkernel.orgからダウンロードできる。

(川原 龍人/びぎねっと)

[関連リンク]
kernel.org

　「Debian GNU/Linux」などでパッケージ管理システムとして利用されている「apt」に、中間者攻撃が可能になる脆弱性が発見された。この脆弱性を悪用されると、リモートから管理者権限で任意のコードを実行される危険がある。

　この脆弱性は、現在aptを利用しているLinuxディストリビューションのすべてに影響する危険がある。DebianやUbuntuなどでは、すでに修正パッチが提供されているため、ユーザは迅速なアップデートの適用が強く推奨される。また、その他のaptを利用しているLinuxディストリビューション利用者も、パッチが提供され次第速やかにアップデートを適用する必要がある。

(川原 龍人/びぎねっと)

[関連リンク]
DebianのErrata