はじめる人のびぎねっと。

プライバシーポリシー

びぎねっとITニュース

ネットワークプロトコルアナライザ「Wireshark 3.2.1/3..0.8/2.6.14」リリース

Wireshark Foundationは12月18日(現地時間)、ネットワークプロトコルアナライザ「Wireshark 3.2.1」をリリースした。

Wiresharkは、Ethrealを前身とするネットワークプロトコルアナライザ。パケットキャプチャやプロトコル解析により、ネットワークの解析を行うことができるオープンソースのソフトウェア。

「Wireshark 3.2.1」はメンテナンスリリースに相当する。「Wireshark 3.2.1」では、WASSPディセクターがクラッシュする脆弱性(CVE-2020-7044)が解消されているほか、いくつかの不具合の修正が加わっている。なお、この脆弱性はバージョン3.0系にも存在しているため、この脆弱性を修正した「Wireshark 3.0.8」もリリースされた。2.6系列にはこの脆弱性は存在しないが、いくつかのアップデートが施された「2.6.14」もリリースされている。

「Wireshark 3.2.1」は、Windows版、Linux版、BSD版、SolarisやHP-UXなどに対応したUNIX版、Mac OS X版パッケージが用意されている。「Wireshark」はWebサイトから無償でダウンロード・利用できる。

(川原 龍人/びぎねっと)

[関連リンク]
ニュースリリース

Kubernetesが脆弱性発見者への報奨金制度を開始

 Kubernetes.ioは1月14日(現地時間)、脆弱性の発見者に対する報奨金制度を開始したと発表した。

 kubernetesの報奨金制度は既にクローズドベータテストが運用されていたが、今回すべての研究者に対して制度が開放された。

 Kubernetesは利用者が大きく増加していることもあり、セキュリティをより強固にする必要性が議論されてきた。バグ報奨金制度により、セキュリティ脆弱性を減らしていくと同時に、さらに多くのセキュリティ研究者にKubernetesのコードに注目してもらうことも狙いの1つだという。なお、報奨金制度の運営はバグ報奨金ソリューションのHackerOneが担当する。報奨金制度の対象となるのは、GitHubに公開されているKubernetesのコード。報奨金の金額は脆弱性の重大さによって異なり、最高1万米ドルとなっている。

(川原 龍人/びぎねっと)

[関連リンク]

「VirtualBox 6.1.2/5.2.36」リリース

Sun Micrisystemsは1月14日(現地時間)、VirtualBoxの最新版、「VirtualBox 6.1.2」のリリースを発表した。

「VirtualBox」は、ホスト上に仮想マシンを作成し、その上で別のOSを実行することができるソフトウェア。Windows版、Linux版、BSD版などが用意されており、個人利用または評価目的の場合は無償で利用可能。また、ソースコードがOSE版としてGPLの下で公開されている。

「VirtualBox 6.1.2」はメンテナンスリリース。四半期ごとに実施されるOracle製品の定例セキュリティアップデートの一環で、いくつかの脆弱性の修正やバグフィクスが施されている。なお、同じ脆弱性は「5.2」系列にも存在したため、同様の修正を施した「VirtualBox 5.2.36」もリリースされている。

「VirtualBox」は、特定の条件の下で無償で利用できる。ソフトウェアはWebサイトから入手できる。

(川原 龍人/びぎねっと)

[関連リンク]
ChangeLog

オープンソースのシングルサインオンソフトウェア「OpenAM14」リリース

 OpenAMコンソーシアムは12月25日、シングルサインオン(SSO)ソフトウェア「OpenAM14」をリリースした。

 「OpenAM」は、サン・マイクロシステムズのOpenSSOを起源とし、ForgeRock社が開発を引き継いだオープンソースソフトウェア。シングルサインオン、ID基盤、多要素認証などの環境を簡単に構築できる。

 「OpenAM14」では、パスワードレス認証を行うための規格であるFIDO2(WebAuthn)やOpenJDK 11に対応した。また、利用用途に制限のない実行可能ファイルも同時に公開しており、ユーザが様々な目的で活用できるようにしている。

 「OpenAM14」は、GitHubに公開されている。
 

(川原 龍人/びぎねっと)

[関連リンク]
ニュースリリース

東芝と東北大学東北メディカル・メガバンク機構、全ゲノム配列データを量子暗号通信を用いて伝送することに世界で初めて成功

東芝と東北大学東北メディカル・メガバンク機構(ToMMo)は1月14日、数百ギガバイトを超えるデータ量の全ゲノム配列データを、量子暗号通信を用いて伝送することに世界で初めて成功したと発表した。

量子暗号通信技術による鍵配信速度は現時点で最大でも10Mbps程度であり、大規模なデータ伝送の活用には課題があったが、今回東芝とToMMoは、大規模データを逐次暗号化・逐次伝送するシステムを開発し、全ゲノム配列データのリアルタイム伝送を実現した。これにより、量子暗号技術が大容量データの伝送に活用できること、またゲノム研究・ゲノム医療の分野において実用レベルで活用できることが実証されたとしている。

東芝とToMMoは、東芝ライフサイエンス解析センターに設置した次世代シークエンサーを用いて、T約7km間に敷設された光ファイバー専用回線を介したデータの伝送実証を行った。ToMMoが保有するDNA検体を対象とした、全ゲノム配列解析から出力される全ゲノム配列データを、量子暗号通信によって逐次暗号化・逐次伝送させ、解析処理完了から遅延なく、リアルタイム伝送することに成功したという。

量子暗号通信技術は、量子力学の原理に基づき、あらゆる盗聴や解読に対して安全な暗号通信を実現する技術。このため、機密データのバックアップや高い秘匿性が要求される医療データの暗号伝送等への導入が期待されている。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

バージョン管理システム「Git 2.25.0」リリース

バージョン管理システムGitの最新版、「Git 2.25.0」が1月13日(現地時間)リリースされた。

Gitは、Linux kernelのソースコード管理を目的として、Linus Torvaldsらによって開発が開始された、高速の分散型バージョン管理システム。ワークディレクトリがすべてのリポジトリ履歴を持っているため、中央サーバへのアクセスを行わなくてもリビジョン間の履歴を調べることができる。

「Git 2.25.0」では、「git sparse-checkout」コマンドが実験的ながら追加された。これは、リポジトリを一部に限ってチェックアウトするコマンド。その他にも、「git range-diff」コマンドの強化などいくつかの機能が強化されたほか、安定性向上、バグフィクスなどが施されている。

「Git 2.25.0」は、Webサイトから無償でダウンロード・利用できる。

(川原 龍人/びぎねっと)

[関連リンク]
リリースノート

TIOBE、プログラミング言語の検索数を集計した「TIOBE Index」(2020年1月版)を発表

TIOBE Softwareは、プログラミング言語の検索数を集計した「TIOBE Index」の2020年1月版を発表した。

上位10個のプログラミング言語は以下の通り。
1位 Java
2位 C
3位 Python
4位 C++
5位 C#
6位 Visual Basic .NET
7位 JavaScript
8位 PHP
9位 Swift
10位 SQL
(詳細はWebサイト参照)

2019年1月のTIOBE Indexと比較すると、1~4位は順位が変わっておらず、7位だったC+が5位に、15位だったSwiftが9位に上昇している。また、10位以降の言語では、18位だったRubyが11位に、17位だったDelphi/Objective Pascalが12位、20位だったVisual Basicが16位、25位だったD言語が17位に上昇している。

(川原 龍人/びぎねっと)

[関連リンク]
TIOBE index

Javaアプリケーションフレームワーク「Apache Wicket 7.16.0」リリース

Apache Wicket PMCは1月8日(現地時間)、Javaアプリケーションフレームワーク「Apache Wicket 7.16.0」をリリースした。

「Apache Wicket」は、jQueryをサポートしたJavaアプリケーションフレームワーク。マークアップとロジックが分離されており、柔軟なWebアプリケーション開発環境を提供する。JavaScriptを書かなくてもAJAXアプリケーションが実装できるAJAXコンポーネントなどを装備している。

「Apache Wiket 7.16.0」では、特定の状況でクラッシュを引き起こす不具合がいくつか修正された。そのほかにも複数のバグの修正が施されている。

「Apache Wicket 7.16.0」は、Webサイトから入手できる。

(川原 龍人/びぎねっと)

[関連リンク]
リリースアナウンス

Apache Wicket PMCは1月8日(現地時間)、Javaアプリケーションフレームワーク「Apache Wicket 7.16.0」をリリースした。

「Apache Wicket」は、jQueryをサポートしたJavaアプリケーションフレームワーク。マークアップとロジックが分離されており、柔軟なWebアプリケーション開発環境を提供する。JavaScriptを書かなくてもAJAXアプリケーションが実装できるAJAXコンポーネントなどを装備している。

「Apache Wiket 7.16.0」では、特定の状況でクラッシュを引き起こす不具合がいくつか修正された。そのほかにも複数のバグの修正が施されている。

「Apache Wicket 7.16.0」は、Webサイトから入手できる。

(川原 龍人/びぎねっと)

[関連リンク]
リリースアナウンス

情報処理推進機構、「産業用制御システムのセキュリティ10大脅威と対策」を発表

 情報処理推進機構(IPA)は1月14日、「産業用制御システムのセキュリティ10大脅威と対策」を発表した。これはドイツ連邦政府の情報セキュリティ庁が作成したものをIPAが翻訳したもの。

 産業用制御システムは、電力、ガス、水道、鉄道等の社会インフラや、石油、化学、鉄鋼・自動車・輸送機器、精密機械、食品、製薬、ビル管理等の工場・プラントにおける監視・制御や生産・加工ラインにおいて用いられている。

 ランクインした脅威は、日本国内でも共通の事項が多く、事業者にとってこれらの脅威とその発生要因、具体的な手口、および対策を体系的に理解することに役立つとしている。2019年の順位は、2016年に比べて、制御システムにおける利用増加に伴い、クラウドコンポーネントや外部ネットワークへの攻撃の脅威が上昇しているという。一方で、ソーシャルエンジニアリングやフィッシングの脅威は、相対的に降下している。

2019年産業用制御システムのセキュリティ10大脅威は以下の通り(カッコ内は2016年)

1位 リムーバブルメディアや外部機器経由のマルウェア感染(2位)
2位 インターネットおよびイントラネット経由のマルウェア感染(3位)
3位 ヒューマンエラーと妨害行為(5位)
4位 外部ネットワークやクラウドコンポーネントへの攻撃(8位)
5位 ソーシャルエンジニアリングとフィッシング(1位)
6位 DoS/DDoS攻撃(9位)
7位 インターネットに接続された制御機器(6位)
8位 リモートアクセスからの侵入(4位)
9位 技術的な不具合と不可抗力(7位)
10位 スマートデバイスへの攻撃(10位)

 なお、資料には、制御システムを保有する事業者のセキュリティレベルの自己評価に役立つセルフチェックリストが用意されている。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース
産業用制御システムのセキュリティ10大脅威と対策

US-CERT、Citrixの複数のプロダクトに深刻度の高い脆弱性について注意喚起

US-CERTは1月13日(現地時間)、Citrixの複数のプロダクトに深刻度の高い脆弱性(CVE-2019-19781)が存在すると発表した。この脆弱性を悪用されると、認証されていない攻撃者によって任意のコードが実行される危険があるという。

該当するプロダクトは以下の通り。

○Citrix ADCおよびCitrix Gatewayバージョン13.0系
○Citrix ADCおよびNetScaler Gatewayバージョン12.1系
○Citrix ADCおよびNetScaler Gatewayバージョン12.0系
○Citrix ADCおよびNetScaler Gatewayバージョン11.1系
○Citrix NetScaler ADCおよびNetScaler Gatewayバージョン10.5系

この脆弱性を悪用した攻撃も確認されている。この脆弱性が存在するかどうかのチェックツールもWebサイトに公開されている。アップデートは1月20日、1月27日、1月31日に公開されるとしており、それまでの間は緩和策を施し、アップデートが公開され次第すぐに適用することが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

 

このページのTOPへ

Powered by Wordpress