NRI OSSソリューションマガジン(メールマガジン)

                       2016.06.29発行   Vol.108
───────────────────────────────────
◆◇ NRI OSSソリューションマガジン
───────────────────────────────────

<<これからのWEBアプリケーション開発に必要なJavascriptフレームワークとは>>

WEBアプリケーション開発言語の中で、特に範囲が広く欠かせない存在になってきたJavaScript。
もともとはJavaが流行した時代にLiveScriptという名称からJavaScriptに名称を変更したものと言われています。

過去、ブラウザ上でリッチなアプリケーションを動作させるため、CurlやBiz/Browserというリッチクライアント
言語が注目されましたが、クライアントにアプレットをインストールしなければならないなど様々な課題があり、
比較的使い勝手のよいJavaScriptが利用されていました。

最近では多様化するデバイスやOSへの対応(マルチデバイス対応)は必須となり、
またリッチでインタラクティブな操作が求められることから、それらを実現するのに適しているJavaScriptの
フレームワークへの関心が高まっています。

クライアントMVC対応のJavaScriptフレームワークを利用して構造化する事で管理が容易になります。
またDOM操作などのコードを書かずに、フレームワークで実装する事で開発の生産性を向上させることができます。
これらを実現するフレームワークは数多く登場してきています。それぞれ特性や機能も違うため、
まだまだ安定収束しているという状況ではなく、まだいろいろなところで比較や議論が行われています。

代表的なクライアントMVC対応のJavaScriptフレームワーク(またはライブラリ)
AngularJS
React.js
Ractive.js
Backbone.js
Ember.js
Knockout.js
vue.js
Aurelia.js
※上記は一部です。

NRI OpenstandiaがOSS業界への貢献活動として活動を続けている「OSS紹介サイト」では、
Javascript関連情報も今後増やしていきたいと思います。

Node.js
大量処理に対応したサーバサイドで動作するJavascript
http://openstandia.jp/oss_info/nodejs/?mm=108_01

React.js
Facebookが作ったJavaScriptのUIライブラリ
http://openstandia.jp/oss_info/react/?mm=108_02

今月号のメルマガもよろしくお願いします。

=============
■目次
=============
1.What's New
今月のOSS紹介の最新アップデート(新規:3件 更新:4件)

2.今月のOSS紹介サイト アクセスランキング TOP10

3.今月注目の「バグ&セキュリティ情報」
OpenSSL の ASN.1 エンコーダの処理に任意のコードを実行される問題

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1.What's New
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
───────────────────────────────────
◆ OSS紹介ページアップデート(新規:3件/更新:4件)
───────────────────────────────────
 NRI OpenStandiaでは注目されるオープンソースソフトウェアの概要から
 ライセンス、導入事例など様々な情報を紹介しています。

 今月のアップデート
(新規)
Hadoop
http://openstandia.jp/oss_info/apache-hadoop/?mm=108_03

MariaDB
http://openstandia.jp/oss_info/mariadb/?mm=108_04

VyOS
http://openstandia.jp/oss_info/vyos/?mm=108_05

(更新)
Pentaho
http://openstandia.jp/oss_info/pentaho/?mm=108_06

SugerCRM
http://openstandia.jp/oss_info/sugarcrm/?mm=108_07

vtigerCRM
http://openstandia.jp/oss_info/vtigercrm/?mm=108_08

Vyatta
http://openstandia.jp/oss_info/vyatta/?mm=108_09


※最新バージョン情報、関連ニュース情報は毎週発信しています。
※OpenStandiaのFacebook,Twitterをフォローください。

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2.今月のOSS紹介サイト アクセスランキング TOP10
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
オープンソース情報サイト「OpenStandia OSS紹介サイト」のアクセスTOP10を紹介

1位:MySQL http://openstandia.jp/oss_info/mysql/?mm=108_20_1
2位:CentOS http://openstandia.jp/oss_info/centos/?mm=108_20_2
3位:PHP http://openstandia.jp/oss_info/php/?mm=108_20_3
4位:OpenAM http://openstandia.jp/oss_info/openam/?mm=108_20_4
5位:Tomcat http://openstandia.jp/oss_info/tomcat/?mm=108_20_5
6位:Struts http://openstandia.jp/oss_info/struts/?mm=108_20_6
7位:Apache Http Server http://openstandia.jp/oss_info/apache/?mm=108_20_7
8位:OTRS http://openstandia.jp/oss_info/otrs/?mm=108_20_8
9位:Jaspersoft http://openstandia.jp/oss_info/jaspersoft/?mm=108_20_9
10位:Spring http://openstandia.jp/oss_info/spring/?mm=108_20_10

オープンソースソフトウェア総合情報サイト「OpenStandia OSS紹介」はコチラ
http://openstandia.jp/oss_info/?mm=108_20

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
3.今月注目の「バグ&セキュリティ情報」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
【内容】
【対象】
OpenSSL の ASN.1 エンコーダの処理に任意のコードを実行される問題

【内容】
今回はOpenSSLのASN.1エンコーダの処理に任意のコードを実行される脆弱性について取り上げる。

OpenSSLはSecure Sockets Layer(SSL v2/v3)とTransport Layer Security(TLSv1)を実装した
暗号化ツールキットであり、Twitter、GitHub、Tumblr、Steam、DropBoxなどといった有名なウェブサイト
のSSLやTLSでも広く利用されている。
また、仮想プライベートネットワークである「OpenVPN」や、リモートからターミナルに安全にログインするため
に使用する「OpenSSH」のバージョン6.7 p1以前でも使用されている。

この脆弱性はOpenSSLのASN.1の処理における以下の二つの問題が原因となっている。

1.ASN.1エンコーダが、負の整数値によりバッファアンダーフローを起こす問題
2.ASN.1パーサが、タグの解釈を誤り負の整数値を生成する問題

1.の問題は、ASN.1エンコーダにおいて負の整数値を入力すると、バッファアンダーフローを起こし、
任意のコードを実行される恐れがあるというものである。
通常、ASN.1パーサによって負の整数値は生成されないため、攻撃者はこのバグを引き起こせないと考えられていた。
しかし、次の2. の問題によって、攻撃者がASN.1に負の整数値を入力可能となってしまうことが明らかになった。
2.の問題は、d2i_ASN1_TYPEなどが大きなUniversalタグに対して誤った解釈を行い、負の整数値を生成して
しまうというものである。

これらの二つのバグを組み合わせることにより、任意のコード実行ができることが判明した。

OpenSSLを利用して作成されたシステムの管理者においては、OpenSSLの修正プログラムを適用を検討されたい。
なお、OpenSSL 0.9.8 および 1.0.0 は2015/12/31にコミュニティのサポート終了となりセキュリティホール
の修正が行われないため、1.0.1 または 1.0.2 へのアップグレードが推奨されている。


この脆弱性の対象バージョンは下記のとおりである。

・OpenSSL
  1.0.2c 未満 (1.0.2)
  1.0.1o 未満 (1.0.1)

・Red Hat Linux 2016/06/01 追加
  Enterprise Linux Desktop Workstation 5
  Enterprise Linux 5
  Enterprise Linux Desktop 5

・CentOS 2016/06/01 追加
  5


【参考】

■OpenSSL_news
https://www.openssl.org/news/secadv/20160503.txt

■CVE-2016-2108
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2108

■OpenSSLに2件の深刻な脆弱性 CNET Japan
http://japan.cnet.com/news/service/35082166/

■OpenSSLに複数の脆弱性 サイオスOSS
https://oss.sios.com/security/general-security-20160504

=========================================================
 OpenStandia年間サポートサービスのご相談は、以下からお問い合わせください。
 https://openstandia.jp/site/contact.html?mm=108_99


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
編┃集┃後┃記┃
━┛━┛━┛━┛━━━━━━━━━━━━━━━━━━━━━━━━━━━
最後までご覧いただき、どうもありがとうございました。
「NRI OSSソリューションマガジン」をどうぞよろしくお願いいたします。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRI OpenStandiaのWebページからセミナー申込やお問い合わせ頂いたお客様、
NRIから委託されたOpenStandia営業と名刺交換をさせて頂いたお客様、
NRIが主催、共催、協賛するセミナー、イベントにご参加して頂いたお客様に
送付しております。

※注意事項・配信停止方法は以下のURLをご確認ください。
 http://openstandia.jp/site/mailmagazine.html

商品・サービスに関するお問い合わせ:ossc@nri.co.jp
OSSソリューションマガジンに関するお問い合わせ:magazine-ossc-ext@nri.co.jp
発信元:株式会社野村総合研究所 オープンソースソリューション推進室
http://openstandia.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  • OpenStandiaサポート対象オープンソース|50種類以上のOSSのサポートをご提供します。
  • 人気OpenAM
  • 注目MongoDB
  • OpenIDM
  • Corosync
  • Postfix
  • Apache HTTP Server
  • ZABBIX
  • BIND
  • Apache Struts
  • PostgreSQL
  • Pentaho
  • Spring Framework
  • Apache Tomcat
  • Solr
  • Dovecot
  • iBATIS
  • DRBD
  • MySQL
  • JBoss
  • Liferay
  • Ruby on Rails
  • Jaspersoft
  • OpenLDAP
  • Apache log4j
  • Apache Subversion
  • BIND
  • OpenDJ
  • Pacemaker
  • Samba
  • Red Hat Enterprise Linux
  • Nginx
  • sendmail
  • Courier-IMAP
  • Heartbeat
  • Hibernate
  • Hinemos
  • MyBatis
  • MySQL Cluster
  • Apache Axis2
  • Squid
  • OpenSSO