InfoQ ホームページ Security Vulnerabilities に関するすべてのコンテンツ
-
直近のNpmインシデントによりセキュリティ上の脆弱性が発覚
先週、npmレジストリで操作インシデントが発生した。これによって、require-from-stringなどに依存する多くのパッケージが利用できなくなった。このインシデントは解決するのは比較的単純であったが、npmを使用してプロジェクトに悪質なコードを挿入するために悪用された可能性のある主要なセキュリティの脆弱性が明らかになった。
-
NISTがアプリケーションコンテナのセキュリティに関するガイドラインを公開
National Institute of Standards and Technology(NIST)は先頃、アプリケーションコンテナテクノロジと、その最も重要なセキュリティ上の問題に関する報告書を公開した。イメージやレジストリ、オーケストレータ、ホストOS、ハードウェアなどの脆弱性領域とその対策を概説した、公開済の2つの報告書を要約したものだ。
-
-
Webには時代遅れで脆弱性のあるJavaScirptライブラリで溢れていることが研究により明らかに
最新の研究により、Alexaの上位75,000件のウェブサイトのうち37%が少なくとも1つの、10%近くが少なくとも2つの脆弱性をもつことがわかった。さらにショッキングなことに、Alexaの上位500件のウェブサイトのうち26%は脆弱性のあるライブラリを使用している。
-
Cloudbleed - Cloudflareプロキシのメモリリーク
Cloudflareプロキシに対するリクエストのごく一部で、無関係なリクエストからパスワードなどの機密情報を含む可能性のあるデータがリークする、バッファオーバーフローのバグが発生した。‘Cloudbleed’と命名されたこの問題を発見したのは、GoogleのProject Zeroに所属する脆弱性研究者のTavis Ormandy氏だ。
-
オブジェクトのデシリアライゼーションフィルタがJava 9からバックポートされる
JEP 290は、オブジェクトをデシリアライズする際に入ってくるデータをフィルタできるようにするものであるが、当初はJava 9を対象としていたがJava 6と7、8にバックポートされる。この機能は処理されているオブジェクトのインプットストリームにおいて入ってくるデータをフィルタするメカニズムを提供する。またしばらく前にApache Commonsと他のライブラリに影響したもののようなデシリアライゼーションの脆弱性を防ぐ手助けができる。
-
Windowsの脆弱性を修正プログラム公開前にGoogleが開示
Serverlessconf London 2016の初日に挙げられたテーマは,‘NoOps’からは程遠い,サーバレスプラットフォームがもたらす運用上の課題についてだった。物理サーバと仮想マシンはかけ離れた概念かも知れないが,それは必ずしもインフラストラクチャ設定が不要になったということではない - その上で開発者たちは,危険を覚悟して,基盤である永続化機構の影響を無視しているのだ。
-
マイクロサービスとセキュリティ
アプリケーションセキュリティとなると、ばしば後付けで処置しようと試みる。開発ワークフローにテストを加える方法については既に学んでいるが、セキュリティに関しては誰かが来て後で修正してくれるとしばしば決めてかかってしまう。Sam Newman氏はロンドンのMicroservices Conferenceの基調講演において、マイクロサービスの文脈でのセキュリティに関してこう主張した。
-
Docker Security Scanning
Docker Incは,これまでProject Nautilusと呼ばれていたDocker Security Scanningの一般向け提供を発表した。今回のリリースは,CIS Docker Security BenchmarkのアップデートをDocker 1.11.0に反映するためのものだ。Docker Benchツールがアップデートされて,ホストとデーモンの設定が同セキュリティベンチマークの推奨事項に適合していることをチェックできるようになる。
-
GitLabが重大な脆弱性を公表し,パッチを提供
GitLabは先頃,多数の重要なセキュリティ修正を発表した。重大な権限昇格も含むため,バージョン8.2以降のすべてのGitLabインストレーションに対���て,適用が強く推奨される。エンジニアリング担当副社長のStan Hu氏に話を聞いた。
-
セキュアなDockerイメージを支援するClair
Clairは先日CoreOSがリリースした,オープンソースのコンテナ脆弱性スキャナだ。Dockerイメージのオペレーティングシステムと,それがインストールされたパッケージのどちらかが,セキュアでない既知のバージョンと一致しているかどうかをクロスチェックする。脆弱性情報は,各OSのCVE(Common Vulnerabilities and Exposures)データベースから取得する。現時点ではRed Hat, Ubuntu, Debianがサポート対象だ。
-
libpngの脆弱性が明らかに
広く使用されているlibpngライブラリに脆弱性が存在し,同ライブラリをPNGイメージ処理に使用するアプリケーションに,悪意を持った利用の可能性があることが発表された。システム管理者とアプリケーション開発者には,可能な限り早急なシステムのアップデートが求められている。
-
デシリアライズを利用したリモート実行可能な Java ゼロデイエクスプロイット
Foxglove Securityの最近の分析によると、デシリアライズするアプリケーションにはゼロデイエクスプロイットの脆弱性があるという。OpenJDK, Apache Commons, Spring や Groovyといったライブラリが該当しており、InfoQ が調査を進める。
-
ケンブリッジ大学がAndroidのセキュリティ状況を調査
ケンブリッジ大学の研究者たちが,Androidのセキュリティをデバイス別,バージョン別,年代別に評価する大規模な調査を実施している。その結果,過去4年間の平均として,87%のAndroidデバイスに脆弱性のあることが明らかになった。研究のリーダであるDaniel Thomas氏に話を聞いた。
-
QARK: Androidアプリのセキュリティホールを発見する
LinkedInがQARKをオープンソース化した。これはJavaで書かれたAndroidアプリに存在する、潜在的セキュリティ脆弱性を発見するための静的解析ツールだ。