NRI OSSソリューションマガジン(メールマガジン)


                      2017.4.27発行   Vol.118
───────────────────────────────────
◆◇ NRI OSSソリューションマガジン
───────────────────────────────────

< オープンソースソフトウェア(OSS)脆弱性との向き合い方 >

2016年度に発覚したApache Strutsの脆弱性件数は2015年度の約3倍との発表がされ、
それ以外でもアプリケーションサーバ「Tomcat」、開発言語「php」などの脆弱性が
多数公表されています。
この脆弱性により様々な企業・団体が被害を受けていることが公表されています。

公表されたサイト(例)

総務省
地図による小地域分析(jSTAT MAP)における不正アクセス
http://www.soumu.go.jp/menu_news/s-news/01toukei09_01000023.html

日本貿易振興機構(JETRO)
当機構Webサイト攻撃によるメールアドレス情報の窃取の可能性について
https://www.jetro.go.jp/news/announcement/2017/694a96ddf47971f2.html

Apache Struts2 の脆弱性対策情報一覧
https://www.ipa.go.jp/security/announce/struts2_list.html


オープンソースソフトウェアを利用しなければ、このような被害を回避することができる
のでしょうか?
答えは「No」だと考えています。

完全に遮断されたネットワークでの利用であれば、外部からの攻撃を受ける心配もありま
せんので攻撃を受ける可能性は著しく低下させられますが、インターネット接続が必要
不可欠なシステムであれば、やはり不安はつきまといます。

また、商用アプリケーションやクラウドサービスにも、オープンソースソフトウェアが
少なからず組み込みがされているケースがあります。

すでにオープンソースソフトウェアは身近なものにあり、多種多様なオープンソースソ
フトウェアの脆弱性をシステム担当者が、日々チェックし、その対策を施すことは
現実的に難しいのではないでしょうか?

システム担当者は、本来の業務である所属企業や利用する顧客が発展するために
必要なIT企画立案を行い、オープンソースソフトウェアに関する対応は外部サービス
を活用するのも一手だと思います。

オープンソースソフトウェア利用に関する不安があれば、OpenStandia
(オープンスタンディア)にぜひお声がけください。

(OSSサポート関連ページ)
OpenStandia Apache Struts 1.x 脆弱性対策サービスの特長
http://openstandia.jp/oss_info/struts/apachestruts-patch.html

オープンソースソフトウェア年間サポート 
http://openstandia.jp/services/support_services.html

今月号のメルマガもよろしくお願いします。

=============
■目次
=============
1.What's New
今月のOSS紹介の最新アップデート(新規1件、更新5件)
Apache Mesosの最新情報が追加されました。

2.今月のOSS紹介サイト アクセスランキング TOP10
ついにCentOSが陥落し、Strutsが2位に浮上した。

3.今月注目の「バグ&セキュリティ情報」
Sambaに不正アクセスが可能になる脆弱性

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1.What's New
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
───────────────────────────────────
◆ OSS紹介ページアップデート
───────────────────────────────────
 NRI OpenStandiaでは注目されるオープンソースソフトウェアの概要から
 ライセンス、導入事例など様々な情報を紹介しています。
 
 今月のアップデート (新規1件、更新5件)
 
 (新規)
 Apache Mesos (http://openstandia.jp/oss_info/mesos/)
 
 (更新)
 Redmine (http://openstandia.jp/oss_info/redmine/)
 Alfresco (http://openstandia.jp/oss_info/alfresco/)
 Elasticsearch (http://openstandia.jp/oss_info/elasticsearch/)
 SpringBatch (http://openstandia.jp/oss_info/spring-batch/)
 MariaDB (http://openstandia.jp/oss_info/mariadb/)

 
※最新バージョン情報、関連ニュース情報は毎週発信しています。
※OpenStandiaのFacebook,Twitterをフォローください。

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2.今月のOSS紹介サイト アクセスランキング TOP10
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
オープンソース情報サイト「OpenStandia OSS紹介サイト」のアクセスTOP10を紹介

	今回	前回	製品名	url
→	1位	(1位)	MySQL	(http://openstandia.jp//oss_info/mysql/)
↑	2位	ランク外	Apache Struts	(http://openstandia.jp//oss_info/struts/)
↓	3位	(2位)	CentOS	(http://openstandia.jp//oss_info/centos/)
→	4位	(4位)	Tomcat	(http://openstandia.jp//oss_info/tomcat/)
↓	5位	(3位)	Apache http server	(http://openstandia.jp//oss_info/apache/)
↓	6位	(5位)	php	(http://openstandia.jp//oss_info/php/)
↓	7位	(6位)	OpenAM	(http://openstandia.jp//oss_info/openam/)
→	8位	(8位)	Spring	(http://openstandia.jp//oss_info/spring/)
↓	9位	(7位)	PostgreSQL	(http://openstandia.jp//oss_info/postgresql/)
↓	10位	(9位)	OTRS	(http://openstandia.jp//oss_info/otrs/)

※( )内は前月の順位

オープンソースソフトウェア総合情報サイト「OpenStandia OSS紹介」はコチラ
http://openstandia.jp/oss_info/

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
3.今月注目の「バグ&セキュリティ情報」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
【内容】
=========================================================
UNIX互換マシンをファイルサーバとして提供するプログラムであるSambaに
脆弱性が発見された。

この脆弱性を悪用された場合、Sambaの共有ディレクトリにアクセスするため
の権限を持つ攻撃者は、権限を与えられた共有ディレクトリの外に不正に
アクセスが可能となる。

影響を受けるのは、SMB1のunix extention(CIFSのUNIX拡張を使う設定で、
シンボリックリンクの利用を許可する設定)やNFSなどを利用している場合を
用いている環境に限る。

当該脆弱性は、これらのシンボリックリンクに関する処理の中で、競合
(race condition)が発生した際にファイルシステムの状態を適切に
管理できていないことが原因で発生する、

公式のアナウンスには、「当該脆弱性が成立するような競合を発生させるのは
困難」と記載されている、同時に「論理的には可能である」とも述べている。

また、開発者が実証コードを用いて当該脆弱性を再現しようとしたところ、
サーバがスローダウンした時に限って再現ができたとのことであるため、
緊急に対応が必要なレベルの脆弱性ではないと判断できる。


ただし、脆弱性に該当するバージョンのSambaを利用したシステムの管理者
においては、システム更改などのタイミングで、適切な対策(更新)を講じられ
たい。


本脆弱性の影響を受ける環境は下記である。

・MySQL
  ・Samba
    4.6.2 未満 (4.6.x)
    4.5.8 未満 (4.5.x)
    4.4.13 未満 (4.4.x)

  ・Ubuntu
    16.10
    16.04 LTS
    14.04 LTS
    12.04 LTS

  ・Debian GNU/Linux
    8.0


【参考】
・Samba Security Releases
 https://www.samba.org/samba/security/CVE-2017-2619.html
 CVE-2017-2619 Symlink race allows access outside share definition.
 
 ・Common Vulnerabilities and Exposures (CVE)
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-2619
 CVE-2017-2619

=========================================================
 OpenStandia年間サポートサービスのご相談は、以下からお問い合わせください。
 https://openstandia.jp/site/contact.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
編┃集┃後┃記┃
━┛━┛━┛━┛━━━━━━━━━━━━━━━━━━━━━━━━━━━
最後までご覧いただき、どうもありがとうございました。
「NRI OSSソリューションマガジン」をどうぞよろしくお願いいたします。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRI OpenStandiaのWebページからセミナー申込やお問い合わせ頂いたお客様、
NRIから委託されたOpenStandia営業と名刺交換をさせて頂いたお客様、
NRIが主催、共催、協賛するセミナー、イベントにご参加して頂いたお客様に
送付しております。

※注意事項・配信停止方法は以下のURLをご確認ください。
 http://openstandia.jp/site/mailmagazine.html

商品・サービスに関するお問い合わせ:ossc@nri.co.jp
OSSソリューションマガジンに関するお問い合わせ:magazine-ossc-ext@nri.co.jp
発信元:株式会社野村総合研究所 オープンソースソリューション推進室
http://openstandia.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  • OpenStandiaサポート対象オープンソース|50種類以上のOSSのサポートをご提供します。
  • 人気OpenAM
  • 注目MongoDB
  • OpenIDM
  • Corosync
  • Postfix
  • Apache HTTP Server
  • ZABBIX
  • BIND
  • Apache Struts
  • PostgreSQL
  • Pentaho
  • Spring Framework
  • Apache Tomcat
  • Solr
  • Dovecot
  • iBATIS
  • DRBD
  • MySQL
  • JBoss
  • Liferay
  • Ruby on Rails
  • Jaspersoft
  • OpenLDAP
  • Apache log4j
  • Apache Subversion
  • BIND
  • OpenDJ
  • Pacemaker
  • Samba
  • Red Hat Enterprise Linux
  • Nginx
  • sendmail
  • Courier-IMAP
  • Heartbeat
  • Hibernate
  • Hinemos
  • MyBatis
  • MySQL Cluster
  • Apache Axis2
  • Squid
  • OpenSSO