NRI OSSソリューションマガジン(メールマガジン)


=======================================
※配信停止方法や配信対象等については、このメールの末尾をご覧ください。

                      2017.8.30発行   Vol.122
───────────────────────────────────
◆◇ NRI OSSソリューションマガジン
───────────────────────────────────

<注目のオープンソースな脆弱性チェックツールについて>

かなり暑い日が続いておりますが、体調などを崩されないように気をつけてください。
さて、今回のメルマガでは「脆弱性チェックツール」についてお話をさせていただきます。

この世に存在する様々なソフトウェアには「脆弱性」は存在すると考えています。
プロプラエタリなソフトウェア、オープンソースなソフトウェア、個別開発のソフトウェア
などに関係なくソフトウェアの脆弱性問題はつきまといます。

それぞれ機能や系統は異なるのですが、この脆弱性問題に対して、脆弱性チェックを支援
する代表的なオープンソースソフトウェアを少しだけ紹介します。

脆弱性検知ツール:Vuls(バルス)
脆弱性スキャナ:OpenVAS
アプリケーション脆弱性検知ツール:OWASP ZAP
アプリケーション脆弱性検知ツール:OWASP Benchmark

というオープンソースソフトウェアがあります。

最近では、OWASP(Open Web Application Security Projectの略)という組織が提供する
2つのツールで

SAST(静的アプリケーションセキュリティテスト)には、OWASP Benchmark、
DAST(動的アプリケーションセキュリティテスト)には、OWASP ZAP(Zed Attack Proxyの略)

というツールが注目されています。

このツールの活動状況はブラックダック社が運営する「オープンハブ」でも、その活発度合い
を確認することができます。
余談ですが、この「オープンハブ」はオープンソースソフトウェア開発の活動状況を調べるの
に便利な情報サービスで、現時点では誰でも無料で利用することができます。

ブラックダック社 オープンハブ
https://www.openhub.net/

OWASPでは、世界中のセキュリティ専門家たちによって診断の標準や規格などを策定しています。
その中で、重要なインパクトのある10の脆弱性についてまとめた、「OWASP Top 10」という
ものが3年に1度のペースで更新されるようです。

このTop10には、以下のような内容が示されています。

1)インジェクション
2)認証とセッション管理の不備	
3)クロスサイトスクリプティング(XSS)
4)安全でないオブジェクトへの参照
5)セキュリティ設定の不備
6)機密データの漏洩
7)機能レベルのアクセス制御
8)クロスサイトリクエストフォージェリ(CSRF)
9)既知の脆弱性を持つコンポーネントの使用
10)	未検証のリダイレクトとフォーワード

OWASP Top 10
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

このようにグローバル・スタンダードな規格策定する組織のアプリケーション脆弱性検知
ツールを利用することで、信頼性の高い自己診断を行えるようになります。

ただし、開発した側やサービス提供する側が、検査した結果を公開しても信用させるとは
限らないため、マイナンバーなどを含む重大な個人情報や企業の機密情報などを取り扱う
システムなどには、第三者機関によるセキュリティ診断を行った方がよいでしょう。

NRIグループであるNRIセキュアテクノロジーズでは、情報システムセキュリティの維持・
向上を支援するサービスとして、様々なサービスを提供しています。
場合によっては、こちらの利用も検討することも良いかと思います。
https://www.nri-secure.co.jp/service/assessment/index.html

NRI OpenStandiaでは、サポート提供するオープンソースソフトウェアに対して、脆弱性が
発見された場合サポートポリシーに基づいて対応しています。

オープンソースソフトウェアの脆弱性対応に関しては、NRI OpenStandiaのOSSサポートを
ご検討ください。

★オープンソースソフトウェア年間サポート 
ココがすごい!7つのポイント
http://openstandia.jp/services/support_services.html

★NRI OpenStandiaが選ばれる5つの理由
http://openstandia.jp/oss/selected_reason.html

★Apache Struts 1.x 脆弱性対策
http://openstandia.jp/oss_info/struts/apachestruts-patch.html

今月号のメルマガもよろしくお願いします。

=============
■目次
=============
1.What's New
今月のOSS紹介の最新アップデート
・ついにLogstashが登場!

2.今月のOSS紹介サイト アクセスランキング TOP10
すでにTOP10に定着「Ruby on Rails」

3.今月注目の「バグ&セキュリティ情報」
Git クライアントのssh:// URL の処理にセキュリティホール

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1.What's New
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
───────────────────────────────────
◆ OSS紹介ページアップデート
───────────────────────────────────
 NRI OpenStandiaでは注目されるオープンソースソフトウェアの概要から
 ライセンス、導入事例など様々な情報を紹介しています。
 
 今月のアップデート(新規:1件/更新:3件)
 
 (新規)
Logstash (http://openstandia.jp/oss_info/logstash/)
 
 (更新)
 PostgreSQL(http://openstandia.jp/oss_info/postgresql/)
 Git(http://openstandia.jp/oss_info/git/)
 Cassandra(http://openstandia.jp/oss_info/cassandra/)
 
※最新バージョン情報、関連ニュース情報は毎週発信しています。
※OpenStandiaのFacebook,Twitterをフォローください。

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2.今月のOSS紹介サイト アクセスランキング TOP10
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
オープンソース情報サイト「OpenStandia OSS紹介サイト」のアクセスTOP10を紹介
		
→	1位	(1位)	MySQL	(http://openstandia.jp//oss_info/mysql/)
→	2位	(2位)	CentOS	(http://openstandia.jp//oss_info/centos/)
↑	3位	(4位)	Apache http server	(http://openstandia.jp//oss_info/apache/)
↓	4位	(3位)	Tomcat	(http://openstandia.jp//oss_info/tomcat/)
→	5位	(5位)	php	(http://openstandia.jp//oss_info/php/)
↑	6位	(7位)	Spring	(http://openstandia.jp//oss_info/spring/)
↓	7位	(6位)	OpenAM	(http://openstandia.jp//oss_info/openam/)
↑	8位	(9位)	PostgreSQL	()http://openstandia.jp//oss_info/postgresql/
↑	9位	(10位)	Ruby on Rails	(http://openstandia.jp/oss_info/rubyonrails/)
↓	10位	(8位)	Struts	(http://openstandia.jp/oss_info/struts/)
※( )内は前月の順位

オープンソースソフトウェア総合情報サイト「OpenStandia OSS紹介」はコチラ
http://openstandia.jp/oss_info/

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
3.今月注目の「バグ&セキュリティ情報」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
【内容】Git クライアントのssh:// URL の処理にセキュリティホール
=========================================================

Git クライアントのssh:// URL の処理にセキュリティホールが発見されました。

Git は、Linux Kernel 開発者のリーナス・トーバルズによって開発された、
バージョン管理ソフトウェアです。

このセキュリティホールを利用された場合、Git クライアントで悪意のある Gitリポジトリ、
もしくは悪意のある commit を含む Git リポジトリからサブモジュールを
再帰的に clone することによって、Git クライアントの権限で任意のシェルコマンド
を実行される可能性があります。

これは Git クライアントにおいて、URL のホスト名を適切にチェックしていないため、
リポジトリ内の .gitmodules によって提供された ssh:// URL へアクセスする際に、
不正なホスト名によって ssh コマンドの引数を指定し任意のシェルコマンドを
実行できることが原因となります。

本セキュリティホールの影響を受ける主な環境は下記となります。

 ・Debian GNU/Linux
   9.0
   8.0
 
 ・Ubuntu
   17.04
   16.04 LTS
   14.04 LTS
 
 ・Red Hat Linux
   Enterprise Linux Server 7
   Enterprise Linux Server 6
   Enterprise Linux Server EUS 7.4
   Enterprise Linux Server AUS 7.4
   Enterprise Linux Workstation 7
   Enterprise Linux Workstation 6
   Enterprise Linux Desktop 7
   Enterprise Linux Desktop 6
   Enterprise Linux HPC Node 7
   Enterprise Linux HPC Node 6
   Enterprise Linux HPC Node EUS 7.4
   Enterprise Linux Server TUS 7.4
 
 ・CentOS
   7
   6

本セキュリティホールの対応は、パッケージのバージョンアップが必要となります。
ご利用のGit クライアントのバージョンと各OSのGit クライアントのバージョンアップ
情報をご確認いただき、必要に応じてバージョンアップを行ってください。

なお、Git 以外のバージョン管理ソフトウェア Subversion や Mercurial でも同様の
セキュリティホールが存在するため、これらのソフトウェアを利用している場合も影響
を確認する必要があります。
 
【参考】
・Common Vulnerabilities and Exposures (CVE)
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-1000117
 CVE-2017-1000117

・Debian Security Advisory 
 https://www.debian.org/security/2017/dsa-3934
 DSA-3934-1 git -- security update

・Ubuntu Security Notice
 https://usn.ubuntu.com/usn/usn-3387-1/
 USN-3387-1 Git vulnerability

・Red Hat Linux Security Advisory
 https://access.redhat.com/errata/RHSA-2017:2484
 RHSA-2017:2484 Important: git security update

・Red Hat Linux Security Advisory
 https://access.redhat.com/errata/RHSA-2017:2485
 RHSA-2017:2485 Important: git security update

・CentOS Errata and Security Advisory
 https://lists.centos.org/pipermail/centos-announce/2017-August/022519.html
 CESA-2017:2485 Important CentOS 6 git Security Update

・CentOS Errata and Security Advisory
 https://lists.centos.org/pipermail/centos-cr-announce/2017-August/004660.html
 CESA-2017:2484 Important CentOS 7 git Security Update


=========================================================
 OpenStandia年間サポートサービスのご相談は、以下からお問い合わせください。
 https://openstandia.jp/site/contact.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
編┃集┃後┃記┃
━┛━┛━┛━┛━━━━━━━━━━━━━━━━━━━━━━━━━━━
最後までご覧いただき、どうもありがとうございました。
「NRI OSSソリューションマガジン」をどうぞよろしくお願いいたします。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRI OpenStandiaのWebページからセミナー申込やお問い合わせ頂いたお客様、
NRIから委託されたOpenStandia営業と名刺交換をさせて頂いたお客様、
NRIが主催、共催、協賛するセミナー、イベントにご参加して頂いたお客様に
送付しております。

※注意事項・配信停止方法は以下のURLをご確認ください。
 http://openstandia.jp/site/mailmagazine.html

商品・サービスに関するお問い合わせ:ossc@nri.co.jp
OSSソリューションマガジンに関するお問い合わせ:magazine-ossc-ext@nri.co.jp
発信元:株式会社野村総合研究所 オープンソースソリューション推進室
http://openstandia.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
  • OpenStandiaサポート対象オープンソース|50種類以上のOSSのサポートをご提供します。
  • 人気OpenAM
  • 注目MongoDB
  • OpenIDM
  • Corosync
  • Postfix
  • Apache HTTP Server
  • ZABBIX
  • BIND
  • Apache Struts
  • PostgreSQL
  • Pentaho
  • Spring Framework
  • Apache Tomcat
  • Solr
  • Dovecot
  • iBATIS
  • DRBD
  • MySQL
  • JBoss
  • Liferay
  • Ruby on Rails
  • Jaspersoft
  • OpenLDAP
  • Apache log4j
  • Apache Subversion
  • BIND
  • OpenDJ
  • Pacemaker
  • Samba
  • Red Hat Enterprise Linux
  • Nginx
  • sendmail
  • Courier-IMAP
  • Heartbeat
  • Hibernate
  • Hinemos
  • MyBatis
  • MySQL Cluster
  • Apache Axis2
  • Squid
  • OpenSSO