NRI OSSソリューションマガジン(メールマガジン)


                       2015.06.30発行   Vol.96
───────────────────────────────────
◆◇ NRI OSSソリューションマガジン
───────────────────────────────────

《NoSQLの主要プロダクトの比較や特徴を公開》

先日、開催された「db tech showcase 2015 Tokyo」でもNoSQLデータベース
に関するセッションが注目を集めました。
NoSQLは黎明期という調査会社による調査結果が発表されましたが、イベント
会場ではそれを感じさせない熱気でした。
株式会社野村総合研究所(NRI)OpenStandiaからもNoSQL関連テーマで登壇
させていただきました。

セッションではNoSQLが必要とされる背景、RDBMSやHadoopとの違い、
主要プロダクトについてOSS/商用製品/クラウドサービスをそれぞれ挙げ、
NoSQLデータベ−スを見極めるポイントを公開しています。 

■本セミナー資料のダウンロード
http://openstandia.jp/news/?mm=96_01

■OpenStandiaのサポート対象NoSQL関連プロダクト
・MongDB
http://openstandia.jp/oss_info/mongodb/index.html?mm=96_02
・Redis
http://openstandia.jp/oss_info/redis/index.html?mm=96_03

■NoSQL技術相談、年間サポート
OpenStandiaのNoSQLエンジニアが対応します!
http://openstandia.jp/services/support_services.html?mm=96_04
http://openstandia.jp/solution/mongodb/service.html#pl04?mm=96_05

OpenStandiaではお客様のご要件に対して最適なオープンソースソフトウェアを
ご提案させて頂きます。
オープンソースソフトウェアのご相談はOpenStandiaへお気軽にご相談ください。

今月号のメルマガもどうぞよろしくお願いします。

=============
■目次
=============
1.What's New
OSS紹介ページアップデート
・Redis
・Spring Batch

2.最新イベント情報!
7/17  第7回 OpenAMコンソーシアム ビジネスセミナー
シングルサインオンの最新事例と認証基盤の最新動向を紹介

7/21 「次世代アイデンティティ&アクセス管理モデルセミナー
~IDを制する者はセキュリティをも制す。不正アクセス対策は
 「境界防御」から「ID統制」へ~」

3.今月注目の「バグ&セキュリティ情報」
1) 【Linux Kernel の pipe の処理にシステムの特権を奪われる問題】
2) 【うるう秒】

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1.What's New
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
───────────────────────────────────
◆ OSS紹介ページアップデート
───────────────────────────────────
 NRI OpenStandiaでは注目されるオープンソースソフトウェアの概要から
 ライセンス、導入事例など様々な情報をOSS紹介というコーナーで紹介して
 います。
 
 新掲載:Redis
NoSQLデータベース
http://openstandia.jp/oss_info/redis/index.html?mm=96_06
 
 新掲載:Spring Batch
 http://openstandia.jp/oss_info/spring-batch/index.html?mm=96_07
 
 
 NRI OpenStandiaのOSS紹介サイト
http://openstandia.jp/oss_info/?mm=96_08

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2.最新イベント情報!
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
┌──────────────────────────────────
│ 7/17【最新事例と認証基盤最新動向】
│ シングルサインオンの市場動向や事例を発表! 
│ 第7回 OpenAMコンソーシアム ビジネスセミナー
└──────────────────────────────────
クラウドやIoT(Internet of Things)が急速に普及する中、シングルサインオン
やデバイス認証、多要素認証など認証基盤に求められる機能は大きく変わってき
ており、オープンソース・ソフトウェアのOpenAMが注目されています。
今回のOpenAMコンソーシアムビジネスセミナーでは、【最新事例と認証基盤
最新動向】を紹介します。

日時:2015年7月17日(金) 14:00〜17:30(受付開始 13:30)
主催:OpenAMコンソーシアム
会場:品川インターシティホール棟 地下1F 
   〒108-0075 東京都港区港南2-15-2

費用:無料
定員:90名 (事前登録制)

▼イベントの詳細、お申し込み
http://www.openam.jp/event/event20150717.html

┌──────────────────────────────────
│7/21  【「次世代アイデンティティ&アクセス管理モデルセミナー
│ ~IDを制する者はセキュリティをも制す。
│      不正アクセス対策は「境界防御」から「ID統制」へ~」
└──────────────────────────────────
企業活動を取り巻くIT環境は大きく変化する中、日々ニュースに取り上げられて
いる不正アクセスや情報漏洩などの問題は、境界を防御するだけでは既に防げ
ないのが現実です。本セミナーでは、今改めて注目される「アイデンティティ
&アクセス管理(IAM)」の最新動向や検討の進め方などについて、具体的な
事例を交えご紹介します。

日時:2015年7月21日(火) 15:00〜17:00(受付開始 14:30)
主催:NRIセキュアテクノロジーズ株式会社
会場:株式会社野村総合研究所 丸の内総合センター 
〒100-0004 東京都千代田区丸の内1-6-5 丸の内北口ビル 

費用:無料
定員:100名 (事前登録制)

▼イベントの詳細、お申し込み
http://www.nri-secure.co.jp/seminar/2015/0721.html?xmid=143&xlinkid=01

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
3.今月注目の「バグ&セキュリティ情報」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
【Linux Kernel の pipe の処理にシステムの特権を奪われる問題】
Linux カーネルの pipe の処理に脆弱性が発見された。
本脆弱性は、ベクタ I/O が適切に処理されず、バッファオーバーラン
(メモリ領域の破壊)が発生するというもの。
これを悪用すると、ローカルの攻撃者が悪意のあるプログラムを実行する
ことで、権限昇格を許してしまうことになる。

攻撃者がローカルユーザに限られているものの、他の脆弱性と併用すること
で脅威となりうるため楽観視は出来ない。
システムの外部から、何らかの方法で一般ユーザとして不正ログインした後、
本脆弱性を突いて権限昇格するといった攻撃も考えられる。
特に外部と通信を行っているシステムについては注意したい。

システム権限が奪われると、サービスを妨害されたりシステムを破壊される
可能性がある。
そのため、ベンダが推奨する対処方法を適用することが望まれる。

CVE-2015-1805

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1805



【うるう秒】
2015/07/01 に1秒間の "うるう秒" が追加される。
具体的には、平成27年(2015年)7月1日(水)午前8時59分59秒と
午前9時00分00秒の間に「8時59分60秒」を挿入する。
総務省と独立行政法人情報通信研究機構(NICT)が発表した。

総務省|「うるう秒」挿入のお知らせ

http://www.soumu.go.jp/menu_news/s-news/02tsushin03_03000140.html



プレスリリース | 「うるう秒」挿入のお知らせ | NICT-情報通信研究機構

http://www.nict.go.jp/press/2015/01/16-1.html


RHEL、OpenLDAP、ApacheHTTPServer など、主要なオープンソースソフトウェア
においても影響が出ることが予想される。
各種ベンダの情報に合わせ、必要があれば対応することが望ましい。

※「バグ&セキュリティ情報」はメールマガジンでは概要のみ掲載します。
 詳細およびサポートサービスのご相談は、以下からお問い合わせください。
 https://openstandia.jp/site/contact.html?mm=96_10
 

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2.今月注目の「バグ&セキュリティ情報」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
【概要】
期間:2015/04/27 - 2015/05/22
題目:Red Hat Enterprise Linux 6 の glibc に複数のセキュリティホール

【内容】
5月注目の脆弱性は、04/27のメルマガでお届けした glibc に関する2つのセキュリティホールである。

1つ目は CVE-2013-7423 として登記された、getaddrinfo 関数の処理に意図しないサーバへDNSリクエスト
を送信する問題。
これは glibc の resolve/res_send.c 内にある send_dg 関数が、ファイル識別子を適切に処理できない
ことによるものだ。
本脆弱性を突くことで、getaddrinfo 関数の呼び出しをトリガーとした大量のリクエストを投げる。
その結果、任意の場所に DNS クエリを送信するリモート攻撃を許してしまう、という寸法である。

2つ目は CVE-2015-1781 として登記された、gethostbyname_r 関数などの処理に任意のコードを
実行される問題。
これは gethostbyname_r 関数および関係するいくつかの関数で、バウンドチェックが適切に行われない
という脆弱性である。
本脆弱性を突くことで、不適切なインプットデータを通し、バッファオーバフローが引き起こされる恐れがある。
その結果、任意のコードを実行されるリモート攻撃を許してしまうこととなる。
今年の1月にも gethostbyname* 関数で脆弱性が発見され、"GHOST" の名で騒がれたことは
記憶に新しい。本脆弱性は GHOST の残滓にあたる。

上記2つの脆弱性に関して、RHEL についてはいずれも修正パッケージが提供されている。
up2date コマンドを使用して修正パッケージを適用されたい。

【CVE】
CVE-2013-7423

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-7423


CVE-2015-1781

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1781



※「バグ&セキュリティ情報」はメールマガジンでは概要のみ掲載します。
 OpenStandia年間サポートを契約を頂いたお客様には「バグ&セキュリティ
 情報」の配信しております。
 この「バグ&セキュリティ情報」配信サービスには対策方法も記載されます。

 OpenStandia年間サポートサービスのご相談は、以下からお問い合わせください。
 https://openstandia.jp/site/contact.html?mm=96_10

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
編┃集┃後┃記┃
━┛━┛━┛━┛━━━━━━━━━━━━━━━━━━━━━━━━━━━
最後までご覧いただき、どうもありがとうございました。
「NRI OSSソリューションマガジン」をどうぞよろしくお願いいたします。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRI OpenStandiaのWebページからセミナー申込やお問い合わせ頂いたお客様、
NRIから委託されたOpenStandia営業と名刺交換をさせて頂いたお客様、
NRIが主催、共催、協賛するセミナー、イベントにご参加して頂いたお客様に
送付しております。

※注意事項・配信停止方法は以下のURLをご確認ください。
 http://openstandia.jp/site/mailmagazine.html

商品・サービスに関するお問い合わせ:ossc@nri.co.jp
OSSソリューションマガジンに関するお問い合わせ:magazine-ossc-ext@nri.co.jp
発信元:株式会社野村総合研究所 オープンソースソリューション推進室
http://openstandia.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  • OpenStandiaサポート対象オープンソース|50種類以上のOSSのサポートをご提供します。
  • 人気OpenAM
  • 注目MongoDB
  • OpenIDM
  • Corosync
  • Postfix
  • Apache HTTP Server
  • ZABBIX
  • BIND
  • Apache Struts
  • PostgreSQL
  • Pentaho
  • Spring Framework
  • Apache Tomcat
  • Solr
  • Dovecot
  • iBATIS
  • DRBD
  • MySQL
  • JBoss
  • Liferay
  • Ruby on Rails
  • Jaspersoft
  • OpenLDAP
  • Apache log4j
  • Apache Subversion
  • BIND
  • OpenDJ
  • Pacemaker
  • Samba
  • Red Hat Enterprise Linux
  • Nginx
  • sendmail
  • Courier-IMAP
  • Heartbeat
  • Hibernate
  • Hinemos
  • MyBatis
  • MySQL Cluster
  • Apache Axis2
  • Squid
  • OpenSSO