NRI OSSソリューションマガジン(メールマガジン)


                       2014.05.21発行    Vol.81
───────────────────────────────────
◆◇ NRI OSSソリューションマガジン
───────────────────────────────────
こんにちは。
OpenStandiaマーケティング担当の私市(きさいち)です。

先月からOpenSSL、Struts、RHELバンドルのTomcat、FreeBSD、BINDなど、
深刻なオープンソースの脆弱性が次々に発表されています。

OpenStandiaサポート窓口にも数多くのお問い合わせがありました。

今月号のコラムでは、このようなオープンソースの脆弱性が発見された際の
OpenStandiaオープンソースサポートサービスの対応や
サービス内容について詳しくご紹介しております。

是非、ご覧ください。

また、今月のバグ&セキュリティ情報では、
昨今のStrutsの脆弱性と同様に影響の大きいPHPの脆弱性を掲載しています。
PHPを利用されているお客様、ご確認くださいませ!

それでは、今月号のメルマガもどうぞよろしくお願いします。


=============
■目次
=============
1.What's New
◆MySQLリリースノート(日本語翻訳版) 5.6.18、5.6.17、5.5.3掲載

2.今月注目の「バグ&セキュリティ情報」

3.コラム OpenStandiaオープンソースサポートサービスにおける脆弱性対応

4.最新イベント情報!
 (1)5/22 事例から考察するAlfrescoの活用セミナー ~国内外事例紹介~
 (2)5/23 OpenAM&OpenIDM技術解説セミナー(OpenAM、OpenIDM)
 (3)5/28 ここまで出来る!オープンソースERPの実力
      「オープンソース業務システム活用方法ご紹介セミナー」
 (4)5/30 OBCIプレミアムセミナー
     「新しいサービス・プロダクトはイノベーションから始まる」
 (5)6/ 5 シングルサインオンを実現するOpenAM技術トレーニング(OpenAM)
 (6)6/20 OpenAM&OpenIDM技術解説セミナー(OpenAM、OpenIDM)
 (7)6/25 ここまで出来る!オープンソースERPの実力
      「オープンソース業務システム活用方法ご紹介セミナー」

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1.What's New
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
───────────────────────────────────
◆MySQLリリースノート(日本語翻訳版) 5.6.18、5.6.17、5.5.3掲載
───────────────────────────────────
OpenStandiaホームページの「OSS紹介」に、
MySQLリリースノート(日本語翻訳版) 5.6.18、5.6.17、5.5.3を掲載しました。

オラクル社より提供される英語版MySQLリリースノートの
日本語翻訳版を公開しております。

http://openstandia.jp/oss_info/mysql/version/?mm=81_1


■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2.今月注目の「バグ&セキュリティ情報」
 ~PHP の FPM の処理にローカルから特権を奪われる問題~
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■


※「バグ&セキュリティ情報」はメールマガジンでは概要のみ掲載します。
 詳細およびサポートサービスのご相談は、以下からお問い合わせください。
https://openstandia.jp/site/contact.html?mm=81_2


■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
3.コラム OpenStandiaオープンソースサポートサービスにおける脆弱性対応
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
先月からOpenSSL、Struts、FreeBSD、BINDなど、
深刻なオープンソースの脆弱性が次々に発表されました。

特に、インターネットインフラの根幹を支える存在である
OpenSSLの脆弱性は、社会的にも大きなインパクトとなりました。

しかし、オープンソース、商用製品を問わず、
悪意のある者にソフトウェアの脆弱性を発見されるかされないか、
またその脆弱性に関する情報が公開されるかされないかは
ケースバイケースです。

SQLインジェクションやクロスサイトスクリプティングなどの
代表的な手口に対する事前の予防措置は必要ではありますが、
ソフトウェアの利用において、セキュリティが完全に
保証されているということはありませんので、

・脆弱性に関する正確な情報をいち早く入手すること
・早急な対応を実施すること

が現実的な解決方法といえるのではないでしょうか。

オープンソースの場合、一般的に広く利用されているからこそ
脆弱性が数多く発見されますが、その一方で情報公開や
修正プログラムの提供も比較的早くなされる傾向があります。

・独立行政法人情報処理推進機構(IPA)
・JPCERT/CC (JPCERTコーディネーションセンター)
・オープンソースコミュニティサイト
・IT関連ニュースサイト

などで脆弱性情報が公表されます。

しかし、オープンソース利用者が積極的にこれらの情報を入手し、
利用しているオープンソースのバージョンや組み合わせに応じた
システムでの影響範囲や対応方法などを調査することは
大変な労力と時間を費やします。


OpenStandiaでは、お客様に安心して長期間オープンソースを
お使いいただくために、下記のような脆弱性対応を実施しています。

(1)緊急セキュリティアナウンス(メール)
(2)お問い合わせ対応(電話/メール/Webサイト)
(3)個別対応


======================================================================
(1)緊急セキュリティアナウンス(メール)
======================================================================

OpenStandiaの通常のセキュリティアナウンスは、
対象の全オープンソース(約50種類)に関する
セキュリティアラートおよびリリースとパッチに関する情報を
サポートサービスのご契約者様に毎週メールでお知らせしています。

特に影響の大きいオープンソースの脆弱性の場合は、発覚次第すぐに
緊急セキュリティアナウンスをお送りしています。

対象のOSSはこちらをご覧ください。
http://openstandia.jp/services/support_services.html?mm=81_3


OpenStandiaのセキュリティアナウンスは、
一般的に公開されているオープンソースの脆弱性情報だけではありません。

・お客様がご利用中のオープンソースとそのバージョンに応じた影響範囲
・実施いただきたい対応内容と確認方法
・その他の関連情報

などを、数十~数百行にわたって詳細に掲載しています。


---------------------------------------------------------------------
以下は、先日送信したセキュリティアナウンスメールのうち、
OpenSSLの脆弱性に関する情報の一部を抜粋したものです。
---------------------------------------------------------------------
【HIGH】 OpenSSL の TLS Heartbeat Extension の処理に
メモリの内容を読み取られる問題

OpenSSL は Secure Sockets Layer (SSL v2/v3) と
Transport Layer Security (TLSv1) を実装した暗号化ツールキットです。
OpenSSL は、TLS Heartbeat Extension の処理が原因で
セキュリティホールが存在します。
このセキュリティホールを利用された場合、リモートの攻撃者に
OpenSSL を利用するサービスへ接続されることによって、サーバプロセスの
メモリの内容を部分的に読み取られる可能性があります。…(以下、省略)


■ 影響を受ける環境

OpenSSL
   1.0.1g 未満 (1.0.1)

Debian GNU/Linux
 7.0

Red Hat Linux
 Enterprise Linux Desktop 6
 Enterprise Linux HPC Node 6
 Enterprise Linux Server 6
 Enterprise Linux Server AUS 6.5
 Enterprise Linux Server EUS 6.5.z
 Enterprise Linux Workstation 6 …(以下、省略)


■ 確認方法/検証

インストールされているバージョンを確認してください。
(下記の確認方法は一例です)

  OpenSSL のバージョン確認方法
      # [インストールパス]/openssl version

  パッケージからインストールした場合の確認方法 (deb)
      # dpkg -l [パッケージ名] …(以下、省略)


■ 対処方法

ベンダーが推奨する対処方法を適用してください。
また、トロイの木馬などの不正プログラムをインストールしないように
ダウンロードの際には MD5 をチェックしてください。

OpenSSL

    修正プログラムを適用してください。
      
        バージョン
         OpenSSL 1.0.1g 未満 (1.0.1)
      
        修正プログラム
http://www.openssl.org/source/
        
    

Debian GNU/Linux

    aptitude コマンドを使用して修正パッケージを適用してください。
    
      バージョン
       Debian GNU/Linux 7.0
    
      修正方法
      
         以下のパッケージのバージョンを 1.0.1e-2+deb7u5 へ
         更新してください。
        
          libssl-dev
          libssl-doc
          libssl1.0.0
          libssl1.0.0-dbg
          openssl …(以下、省略)


■ 関連情報

Common Vulnerabilities and Exposures (CVE)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
CVE-2014-0160

OpenSSL Security Advisory
http://www.openssl.org/news/secadv_20140407.txt
TLS heartbeat read overrun (CVE-2014-0160) …(以下、省略)


======================================================================
(2)お問い合わせ対応(電話/メール/Webサイト)
======================================================================
OpenStandiaのサポートでは、サービスレベルに応じた
お問い合わせ対応や障害調査を実施しています。

オープンソースの脆弱性が発見された場合、

・脆弱性の影響範囲に関するお問い合わせ
・脆弱性対応の必要性の有無に関するお問い合わせ
・セキュリティアナウンスメールでお知らせした情報に関するお問い合わせ

などについて対応いたします。(電話/メール/Webサイト)

お問い合わせは、平日9:00~18:00のみならず、
夜間休日(24時間365日)の対応も実施可能です。
(対象プロダクトなど、詳細についてはお問い合わせください)


======================================================================
(3)個別対応
======================================================================
オープンソースの組み合わせやバージョンによっては、
単純に個々の修正プログラムを適用するだけでは
問題を解決できないケースもございます。

OpenStandiaでは、このような場合でも個別にご相談に応じております。

また、EOL(End of Life)のOSSについても対応可能な場合がございます。
Struts1はそれに当たり、OpenStandiaで独自にサポートしています。

脆弱性対応でお困りの方は、是非お問い合わせください。

https://openstandia.jp/site/contact.html?mm=81_4


■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
4.最新イベント情報!
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
┌──────────────────────────────────
│ 5/22 事例から考察するAlfrescoの活用セミナー ~国内外事例紹介~
│    成長し続けるOSSドキュメント管理ソフト Alfresco最新情報!
└──────────────────────────────────
日本国内のオンラインファイル共有サービス市場規模は、
2017年までに100億円を突破すると予測されています。
過去の経験からさまざまなお客様の課題やニーズにお応えし、
成長し続けるOSSドキュメント管理ソフト Alfresco。
本セミナーでは、国内外の事例を元に活用方法をご紹介します。

日時:2014年5月22日(木) 16:30~18:00(受付開始 16:00~)
会場:野村総合研究所 丸の内総合センター 9F 会議室10
費用:無料
定員:20名 (事前登録制)

講演内容:
・Alfrescoで実現する業務に最適なコンテンツ管理とは
 事例から考察するAlfrescoの活用 ~国内外事例紹介~
 株式会社野村総合研究所 オープンソースソリューション推進室
 シニア・セールスエージェント 大塚 和彦
 (H3パートナーズ所属)

・最先端のハイブリッドオープンプラットホーム、Alfresco
 アルフレスコ・ジャパン株式会社 ソリューションエンジニア 青地 芳彦氏

▼イベントの詳細、お申し込み
 http://openstandia.jp/event/event20140522.html?mm=81_5


┌──────────────────────────────────
│ シングルサインオンソフトウェアのOpenAM、
│ ID管理・プロビジョニングソフトウェアのOpenIDMを同時に解説!
│ NRIのIDマネジメントサービスのご紹介もいたします!
│ 5/23 OpenAM&OpenIDM技術解説セミナー
└──────────────────────────────────
※同じ内容のセミナーを、6/20(金)にも開催いたします
 人気セミナーにつき、お申し込みはお早めにどうぞ!

日時:2014年5月23日(金) 16:45~18:15(受付開始 16:20~)
会場:野村総合研究所 丸の内総合センター 9F 会議室10
費用:無料
定員:20名 (事前登録制)

講演内容:
・OpenAM&OpenIDM技術解説
 株式会社野村総合研究所 オープンソースソリューション推進室
 テクニカルエンジニア 和田 広之

・OpenStandia/SSO&IDMソリューションのご紹介
 株式会社野村総合研究所
 オープンソースソリューション推進室 大前 進一
(首都圏コンピュータ技術者株式会社 所属)

・NRIのIDマネジメントサービスご紹介
 エヌ・アール・アイ・セキュアテクノロジーズ株式会社
 ソリューション事業本部

▼イベントの詳細、お申し込み
 http://openstandia.jp/event/event20140523.html?mm=81_6


┌──────────────────────────────────
│ 5/28 ここまで出来る!オープンソースERPの実力
│    「オープンソース業務システム活用方法ご紹介セミナー」
│    ~勤怠管理/人事給与から、予算管理、販売管理/在庫管理まで~
│    (MosP、CC-BudgetRunner、ADempiere、iDempiere)
└──────────────────────────────────
※同じ内容のセミナーを、6/25(水)にも開催いたします
 人気セミナーにつき、お申し込みはお早めにどうぞ!

日時:2014年5月28日(水) 14:50~18:10(受付開始 14:30~)
会場:野村総合研究所 丸の内総合センター 9F 会議室10
費用:無料
定員:20名 (事前登録制)

講演内容:
・社内の就労状況を改善、オープンソースWeb勤怠管理MosP
 株式会社マインド 取締役 屋代 和将氏

・エクセルいらずの予算作成、OSS予算管理CC-BudgetRunner
 株式会社クロスキャット シニアコンサルタント 平井 明夫氏

・オープンソースERP(ADempiere/iDempiere)をフル活用するための10のポイント

 日々進化しているオープンソースのERP。
 ライセンス料の削減効果が注目されますが、
 それだけではないオープンソースERPの魅力をデモンストレーションや
 導入事例を交えてお伝え致します。

 OpenStandia業務アプリケーションエンジニア 萩原 秀明
 (株式会社エムキューブ・プラスハート所属)

▼イベントの詳細、お申し込み
 http://openstandia.jp/event/event20140528.html?mm=81_7


┌──────────────────────────────────
│ 5/30 OBCI主催プレミアムセミナー
│   「新しいサービス・プロダクトはイノベーションから始まる」
└──────────────────────────────────
オープンソースビジネス推進協議会(OBCI)が主催するプレミアムセミナー。
本セミナーでは、新しい発想によりITの様々な分野でイノベーションを
もたらしているビジネス事例をご紹介します。

日時:2014年5月30日(金) 13:00~17:10(受付開始 12:30~)
会場:株式会社日立ソリューションズ  品川オフィス 20F
費用:無料
定員:150名 (事前登録制)

講演内容:
・基調講演「デザイン×エンジニアリング 境界線に生まれるイノベーション」
 株式会社タクラム・デザイン・エンジニアリング
 代表/デザイン・エンジニア 田川 欣哉(たがわ・きんや)氏

・ビジネス事例(1)「データサイエンス X アジャイル開発」
 Pivotalジャパン株式会社 技術統括部
 テクニカルディレクター 仲田 聰 氏

・ビジネス事例(2)「ITの新世界、AWSはITインフラの考え方そのものを変える」
 アマゾン データ サービス ジャパン株式会社
 テクニカルエバンジェリスト 堀内 康弘 氏

・パネルディスカッション
 モデレーター:日経コンピュータ 編集 中田 敦 氏
 パネリスト :Pivotalジャパン株式会社 仲田 聰 氏
        アマゾン データ サービス ジャパン株式会社 堀内 康弘氏

▼イベントの詳細、お申し込み
 http://openstandia.jp/event/event20140530.html?mm=81_8


┌──────────────────────────────────
│ 6/5 シングルサインオンを実現するOpenAM技術トレーニング(OpenAM)
│    初心者向け技術解説トレーニング!
│   (インストール方法や簡単なシングルサインオン設定など)
└──────────────────────────────────
日時:2014年6月5日(木) 18:15~19:45(受付開始 17:50~)
会場:野村総合研究所 丸の内総合センター 9F 会議室10
費用:無料
定員:20名 (事前登録制)

講演内容:
・シングルサインオンを実現するOSS「OpenAM技術トレーニング」
 株式会社野村総合研究所 オープンソースソリューション推進室
 テクニカルエンジニア 林田 敦

・OpenStandia/SSO&IDMソリューションのご紹介
 株式会社野村総合研究所 オープンソースソリューション推進室
 OpenStandia シニア・セールスエージェント 山本 知和
(株式会社インデックスキューブ所属)

・NRIのIDマネジメントサービスご紹介
 エヌ・アール・アイ・セキュアテクノロジーズ株式会社
 ソリューション事業本部

▼イベントの詳細、お申し込み
 http://openstandia.jp/event/event20140605.html?mm=81_9


┌──────────────────────────────────
│ シングルサインオンソフトウェアのOpenAM、
│ ID管理・プロビジョニングソフトウェアのOpenIDMを同時に解説!
│ NRIのIDマネジメントサービスのご紹介もいたします!
│ 6/20 OpenAM&OpenIDM技術解説セミナー
└──────────────────────────────────
日時:2014年6月20日(金) 16:45~18:15(受付開始 16:20~)
会場:野村総合研究所 丸の内総合センター 9F 会議室10
費用:無料
定員:20名 (事前登録制)

講演内容:
・OpenAM&OpenIDM技術解説
 株式会社野村総合研究所 オープンソースソリューション推進室
 テクニカルエンジニア 和田 広之

・OpenStandia/SSO&IDMソリューションのご紹介
 株式会社野村総合研究所
 オープンソースソリューション推進室 大前 進一
(首都圏コンピュータ技術者株式会社 所属)

・NRIのIDマネジメントサービスご紹介
 エヌ・アール・アイ・セキュアテクノロジーズ株式会社
 ソリューション事業本部

▼イベントの詳細、お申し込み
 http://openstandia.jp/event/event20140620.html?mm=81_10


┌──────────────────────────────────
│ 6/25 ここまで出来る!オープンソースERPの実力
│    「オープンソース業務システム活用方法ご紹介セミナー」
│    ~勤怠管理/人事給与から、予算管理、販売管理/在庫管理まで~
│    (MosP、CC-BudgetRunner、ADempiere、iDempiere)
└──────────────────────────────────
日時:2014年6月25日(水) 14:50~18:10(受付開始 14:30~)
会場:野村総合研究所 丸の内総合センター 9F 会議室10
費用:無料
定員:20名 (事前登録制)

講演内容:
・社内の就労状況を改善、オープンソースWeb勤怠管理MosP
 株式会社マインド 取締役 屋代 和将氏

・エクセルいらずの予算作成、OSS予算管理CC-BudgetRunner
 株式会社クロスキャット シニアコンサルタント 平井 明夫氏

・オープンソースERP(ADempiere/iDempiere)をフル活用するための10のポイント

 日々進化しているオープンソースのERP。
 ライセンス料の削減効果が注目されますが、
 それだけではないオープンソースERPの魅力をデモンストレーションや
 導入事例を交えてお伝え致します。

 OpenStandia業務アプリケーションエンジニア 萩原 秀明
 (株式会社エムキューブ・プラスハート所属)

▼イベントの詳細、お申し込み
 http://openstandia.jp/event/event20140625.html?mm=81_11


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
編┃集┃後┃記┃
━┛━┛━┛━┛━━━━━━━━━━━━━━━━━━━━━━━━━━━
最後までご覧いただき、どうもありがとうございました。

OpenStandiaのOSS紹介というコンテンツで
オープンソースの最新情報を掲載していますが、
先月から今月にかけて、オープンソースの脆弱性関連のニュースが
本当に多かったと実感しています。

注目のニュースはこちら。
「OpenSSLを教訓に。業界大手、オープンソース技術を支援」
http://openstandia.jp/oss_info/topic/topic-detail/20140430-23.html

「我々の世界経済は多くのオープンソースプロジェクトの上に成り立っている」

私たちOpenStandiaチームもさらに気を引き締めて
サポートサービスやシステム構築支援業務を行っていきたいと考えています。

5月に入り、気温の変化が大きい日が続いています。
気温差のある時期は自律神経が乱れやすいそうですので要注意です。
皆様ご自愛くださいね。

次回もどうぞよろしくお願いいたします。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRI OpenStandiaのWebページからセミナー申込やお問い合わせ頂いたお客様、
NRIから委託されたOpenStandia営業と名刺交換をさせて頂いたお客様、
NRIが主催、共催、協賛するセミナー、イベントにご参加して頂いたお客様に
送付しております。

※注意事項・配信停止方法は以下のURLをご確認ください。
 http://openstandia.jp/site/mailmagazine.html

商品・サービスに関するお問い合わせ:ossc@nri.co.jp
OSSソリューションマガジンに関するお問い合わせ:magazine-ossc-ext@nri.co.jp
発信元:株式会社野村総合研究所 オープンソースソリューション推進室
http://openstandia.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  • OpenStandiaサポート対象オープンソース|50種類以上のOSSのサポートをご提供します。
  • 人気OpenAM
  • 注目MongoDB
  • OpenIDM
  • Corosync
  • Postfix
  • Apache HTTP Server
  • ZABBIX
  • BIND
  • Apache Struts
  • PostgreSQL
  • Pentaho
  • Spring Framework
  • Apache Tomcat
  • Solr
  • Dovecot
  • iBATIS
  • DRBD
  • MySQL
  • JBoss
  • Liferay
  • Ruby on Rails
  • Jaspersoft
  • OpenLDAP
  • Apache log4j
  • Apache Subversion
  • BIND
  • OpenDJ
  • Pacemaker
  • Samba
  • Red Hat Enterprise Linux
  • Nginx
  • sendmail
  • Courier-IMAP
  • Heartbeat
  • Hibernate
  • Hinemos
  • MyBatis
  • MySQL Cluster
  • Apache Axis2
  • Squid
  • OpenSSO