NRI OSSソリューションマガジン(メールマガジン)



                      2017.1.25発行   Vol.115
───────────────────────────────────
◆◇ NRI OSSソリューションマガジン
───────────────────────────────────

< ワークスタイルの変革に対応する代表的なオープンソースとは >

2017年度 最初のメールマガジンとなります。
本年もオープンソース最新情報を発信するNRI OpenStandiaメールマガジン
をよろしくお願いします

この時期になりますと今年のIT投資における重要課題は何か?
という情報がインターネット上に多く発信されます。

この中で急上昇している「ワークスタイルの変革」に注目してみました。
オープンソースの仲間うちでは、どうすれば生産性があがるのか?良い仕事ができるか?
などを会話する機会が時々あります。その時に「通勤や移動ほど時間を無駄にしている
モノはない」という話が出ることがあります。

オープンソースソフトウェアの開発は、世界中に散らばる技術者が開発しています。
これには時間と場所にとらわれないワークスタイルを実現し、成果物であるソフトウェアを
市場に送り出しています。

このワークスタイルを実現しているのが、バグ管理・課題管理・タスク管理ツールです。
最も代表的なツールとしてはTrac(トラック)、Redmine(レッドマイン)でしょう。

Redmineは、2006年にフランス在住のJean-Philippe Lang氏によりRubyをベース
として開発され、以降も様々な企業やプロジェクトで導入されることで普及が進み、
現在では世界中で広く使われています。
タスク管理、進捗管理、情報共有などプロジェクト運用の支援を目的として活用され、
同類のオープンソースの中でも人気を上げています。

Redmine(レッドマイン)について
http://openstandia.jp/oss_info/redmine/?mm=115_00_01

天候や事故に左右されやすい通勤時間を安定的な業務遂行時間に変え、タスク遂行を
見える化するバグ管理・課題管理・タスク管理ツールは、現在の「ワークスタイルの
変革」を実現するためのツールとして、今後も注目されるソフトウェアです。

今月号のメルマガもよろしくお願いします。

=============
■目次
=============
1.What's New
今月のOSS紹介の最新アップデート(新規2件、更新4件)

2.今月のOSS紹介サイト アクセスランキング TOP10


3.今月注目の「バグ&セキュリティ情報」
PHPMailerに脆弱性(CVE-2016-10033)


■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1.What's New
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
───────────────────────────────────
◆ OSS紹介ページアップデート
───────────────────────────────────
 NRI OpenStandiaでは注目されるオープンソースソフトウェアの概要から
 ライセンス、導入事例など様々な情報を紹介しています。
 
 今月のアップデート (新規2件、更新4件)
 
 (新規)
Restlet Framework (http://openstandia.jp/oss_info/restlet/?mm=115_10_01)
Bootflat (http://openstandia.jp/oss_info/bootflat/?mm=115_10_02)

 (更新)
Open DJ (http://openstandia.jp/oss_info/opendj/?mm=115_10_03)
Ubuntu  (http://openstandia.jp/oss_info/ubuntu/?mm=115_10_04)
LibreOffice (http://openstandia.jp/oss_info/libreoffice/?mm=115_10_05)
Aipo (http://openstandia.jp/oss_info/aipo/?mm=115_10_06)

 
※最新バージョン情報、関連ニュース情報は毎週発信しています。
※OpenStandiaのFacebook,Twitterをフォローください。

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2.今月のOSS紹介サイト アクセスランキング TOP10
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
オープンソース情報サイト「OpenStandia OSS紹介サイト」のアクセスTOP10を紹介

→1位 (1位) MySQL  (http://openstandia.jp/oss_info/mysql/?mm=115_20_01)
→2位 (2位) CentOS  (http://openstandia.jp/oss_info/centos/?mm=115_20_02)
↑3位 (4位) Apache Http Server  (http://openstandia.jp/oss_info/apache/?mm=115_20_03)
↓4位 (3位) Tomcat  (http://openstandia.jp/oss_info/tomcat/?mm=115_20_04)
↑5位 (6位) PHP  (http://openstandia.jp/oss_info/php/?mm=115_20_05)
↓6位 (5位) OpenAM  (http://openstandia.jp/oss_info/openam/?mm=115_20_06)
→7位 (7位) PostgreSQL  (http://openstandia.jp/oss_info/postgresql/?mm=115_20_07)
↑8位 (9位) OTRS  (http://openstandia.jp/oss_info/otrs/?mm=115_20_08)
↓9位 (8位) Spring  (http://openstandia.jp/oss_info/spring/?mm=115_20_09)
→10位 (10位) Jaspersoft  (http://openstandia.jp/oss_info/jaspersoft/?mm=115_20_10 )

※( )内は前月の順位

オープンソースソフトウェア総合情報サイト「OpenStandia OSS紹介」はコチラ
http://openstandia.jp/oss_info/?mm=115_20_99

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
3.今月注目の「バグ&セキュリティ情報」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
【内容】
PHPによるメール送信に広く使われているライブラリである、PHPMailerに脆弱性
(CVE-2016-10033)が存在することが判明した。

PHPMailerを利用しているアプリケーションからメールを送付する際にSender(送信元)
を外部入力させている場合、攻撃者は当該脆弱性を利用してこの外部入力から任意のコード
を実行する事が可能になる。

この脆弱性は、メールの送信時に送信元のバリデーションチェックを適切に行っていないことに
起因する。

また、このCVE-2016-10033における修正が不十分であったことから、sendmail関数の任意
のオプションを追加することが可能になる別の脆弱性(CVE-2016-10045)も発生している。
こちらの脆弱性も攻撃者による任意のコード実行を許してしまうため、PHPMailerを利用した
CMSなどの管理者においては、早々にPHPMailerのバージョンアップを検討されたい。

本脆弱性の影響を受ける環境は下記である。

・PHPMailer
  5.2.20 未満

・Joomla!
  1.6.0 ~ 3.6.5

  ※Joomla!に関しては、内部で別途適切な検証を行っているため、Joomla APIを使用
しない拡張などを行っていない限りは影響を受けない。

・WordPress
  4.7.x
  4.6.x
  4.5.x
  4.4.x
  4.3.x
  4.2.x
  4.1.x
  4.0.x
  3.9.x
  3.8.x
  3.7.x

・Debian GNU/Linux
  8.0


【参考】
■CVE - CVE-2016-10033
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-10033

■JVNVU#99931177: PHPMailer に OS コマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU99931177/

■PHPMailer/SwiftMailer/ZendFramework Video PoC Exploit
https://legalhackers.com/videos/PHPMailer-Exploit-Remote-Code-Exec-Vuln-CVE-2016-10033-PoC.html
=========================================================
 OpenStandia年間サポートサービスのご相談は、以下からお問い合わせください。
https://openstandia.jp/site/contact.html?mm=115_99

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
編┃集┃後┃記┃
━┛━┛━┛━┛━━━━━━━━━━━━━━━━━━━━━━━━━━━
最後までご覧いただき、どうもありがとうございました。
「NRI OSSソリューションマガジン」をどうぞよろしくお願いいたします。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRI OpenStandiaのWebページからセミナー申込やお問い合わせ頂いたお客様、
NRIから委託されたOpenStandia営業と名刺交換をさせて頂いたお客様、
NRIが主催、共催、協賛するセミナー、イベントにご参加して頂いたお客様に
送付しております。

※注意事項・配信停止方法は以下のURLをご確認ください。
 http://openstandia.jp/site/mailmagazine.html

商品・サービスに関するお問い合わせ:ossc@nri.co.jp
OSSソリューションマガジンに関するお問い合わせ:magazine-ossc-ext@nri.co.jp
発信元:株式会社野村総合研究所 オープンソースソリューション推進室
http://openstandia.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  • OpenStandiaサポート対象オープンソース|50種類以上のOSSのサポートをご提供します。
  • 人気OpenAM
  • 注目MongoDB
  • OpenIDM
  • Corosync
  • Postfix
  • Apache HTTP Server
  • ZABBIX
  • BIND
  • Apache Struts
  • PostgreSQL
  • Pentaho
  • Spring Framework
  • Apache Tomcat
  • Solr
  • Dovecot
  • iBATIS
  • DRBD
  • MySQL
  • JBoss
  • Liferay
  • Ruby on Rails
  • Jaspersoft
  • OpenLDAP
  • Apache log4j
  • Apache Subversion
  • BIND
  • OpenDJ
  • Pacemaker
  • Samba
  • Red Hat Enterprise Linux
  • Nginx
  • sendmail
  • Courier-IMAP
  • Heartbeat
  • Hibernate
  • Hinemos
  • MyBatis
  • MySQL Cluster
  • Apache Axis2
  • Squid
  • OpenSSO