NRI OSSソリューションマガジン(メールマガジン)

=======================================
※配信停止方法や配信対象等については、このメールの末尾をご覧ください。

                      2018.08.29発行   Vol.136
───────────────────────────────────
◆◇ NRI OSSソリューションマガジン
───────────────────────────────────

<シングルサインオンを実現する【Keycloak】の最新動向や海外コミュニティとの
交流会のご紹介>

いつもOpenStandiaのメールマガジンを購読いただき誠にありがとうございます。
今回のメルマガでは、5月に開催されたRed Hat Summit 2018で発表されたKeycloakの
最新動向や、海外のKeycloakコミュニティと技術的な交流会を開催した際の内容を
ご紹介します。

初めに、Keycloakについて簡単に紹介させていただきます。
Keycloakはシングルサインオンや認証・認可を実現するコミュニティベースのOSSで
あり、世界中のコントリビューターにより日々機能の拡充・メンテナンスが行われ
ています。
また、商用サポートが必要な方向けに、Red HatはKeycloakを元にした商用版パッケ
ージRed Hat Single Sign-Onを販売・サポートしています。

OpenStandiaでは、Keycloak公式ドキュメントの日本語化活動※1や各種メディアへの
情報発信※2、更にはKeycloak本体へのコントリビュート(UIの日本語化、バグ改修、
機能追加など)といったKeycloakに関する様々な活動を推進しています。

※1
Keycloak 日本語ドキュメント
https://keycloak-documentation.openstandia.jp/

※2
Keycloakで外部アイデンティティー・プロバイダーと連携してみよう (1/3)
http://www.atmarkit.co.jp/ait/articles/1804/14/news004.html

Keycloak by OpenStandia Advent Calendar 2017 - Qiita
https://qiita.com/advent-calendar/2017/keycloak-by-openstandia

これらの活動の一環として、5月8~10日にサンフランシスコにて開催されたRed Hat 
Summit 2018(Red Hat社製品の技術カンファレンス)に、
Keycloak及びRed Hat Single Sign-Onの最新動向調査と技術コミュニティとの交流を
目的として参加しました。

カンファレンスで発表されたRed Hat Single Sign-On(Keycloak)の最新動向から
一例を紹介すると、4月のメールマガジンにて紹介させていただいたサービスメッ
シュ【Istio】との連携対応や、FIDO 2.0によるパスワードレス認証規格であるWeb 
authentication API(WebAuthn)へ対応する方針などが今後のロードマップとして
発表されました。
導入事例の紹介もあり、スイス連邦鉄道の予約システムや顧客情報システムが提供
するAPIに認可機能を持たせるためにRed Hat Single Sign-Onを採用している事例
等が紹介されました。
こちらの事例はYouTubeにてプレゼンテーションが公開されています※3。

※3 Distributed API management in a hybrid cloud environment - YouTube
https://www.youtube.com/watch?v=DTg8W6sbpHs

また、カンファレンス外では登壇していたKeycloakコミュニティの主要メンバとのミ
ーティングを行い、主に以下の項目についてディスカッションをしました。
・ 日本のKeycloakコントリビューターが推進するFAPI(Financial-grade API:金
融機関などより高いセキュリティが求められる分野でのAPI公開に関するプロファイ
ル)対応の実装方針についての意見交換
・ OpenStandiaのKeycloakに対する取り組みの紹介
中でも、Keycloak公式ドキュメント日本語化活動については好評を頂き、後日
Keycloak公式サイトから正式にリンクされました※4。

※4 Keycloak - Extensions
https://www.keycloak.org/extensions.html


今回の記事では、Red Hat Summit 2018におけるKeycloakの最新動向やコミュニティ
との交流内容について紹介させていただきました。

OpenStandiaでは、今後も引き続きKeycloakコミュニティへの貢献や情報発信など、
Keycloakに関わる様々な活動を推進してまいります。
また、Red Hat社と連携し、Red Hat Single Sign-Onの販売、導入支援、サポート体
制を拡充していく予定です。
各種ご相談ございましたらぜひOpenStandiaまでご連絡ください。
http://openstandia.jp/

様々なヒト、モノ、サービスがつながり始める時代の実現に、Keycloak、そして、
Red Hat Single Sign-Onの活用をご検討ください。
今月号のメルマガもよろしくお願いします。
=============
■目次
=============
1.What's New
今月のOSS紹介の最新アップデート
・今月は1件の新しい製品紹介があります!

2.今月のOSS紹介サイトアクセスランキング TOP10

3.今月注目の「バグ&セキュリティ情報」
・Apache Struts 2 に任意のコードを実行される問題


■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1.What's New
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
───────────────────────────────────
◆ OSS紹介ページアップデート
───────────────────────────────────
 NRI OpenStandiaでは注目されるオープンソースソフトウェアの概要から
 ライセンス、導入事例など様々な情報を紹介しています。
 
 今月のアップデート(新規:1件、更新:8件)

 (新規)
Kubernetes (http://openstandia.jp/oss_info/kubernetes/)

 (更新)
Apache Camel (http://openstandia.jp/oss_info/apachecamel/)
Apache HTTP Server (http://openstandia.jp/oss_info/apache/)
Ionic (http://openstandia.jp/oss_info/ionic/)
mruby (http://openstandia.jp/oss_info/mruby/)
OpenAM (http://openstandia.jp/oss_info/openam/)
Packer (http://openstandia.jp/oss_info/packer/)
Pentaho (http://openstandia.jp/oss_info/pentaho/)
WordPress (http://openstandia.jp/oss_info/wordpress/)

※最新バージョン情報、関連ニュース情報は毎週発信しています。
※OpenStandiaのFacebook,Twitterをフォローください。

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2.今月のOSS紹介サイト アクセスランキング TOP10
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
オープンソース情報サイト「OpenStandia OSS紹介サイト」のアクセスTOP10を紹介

→	1位 (1位)	MySQL	(http://openstandia.jp/oss_info/mysql/)
→	2位 (2位)	CentOS	(http://openstandia.jp/oss_info/centos/)
→	3位 (3位)	Tomcat	(http://openstandia.jp/oss_info/tomcat/)
→	4位 (4位)	Apache HTTP server	(http://openstandia.jp/oss_info/apache/)
→	5位 (5位)	php	(http://openstandia.jp/oss_info/php/)
→	6位 (6位)	PostgreSQL	(http://openstandia.jp/oss_info/postgresql/)
→	7位 (7位)	Spring	(http://openstandia.jp/oss_info/spring/)
↑	8位 (ランク外)	Apache Struts	(http://openstandia.jp/oss_info/struts/)
→	9位 (9位)	Ruby on Rails	(http://openstandia.jp/oss_info/rubyonrails/)
↓	10位 (8位)	KeyCloak	(http://openstandia.jp/oss_info/keycloak/)

※( )内は前月の順位

オープンソースソフトウェア総合情報サイト「OpenStandia OSS紹介」はコチラ
http://openstandia.jp/oss_info/

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
3.今月注目の「バグ&セキュリティ情報」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
【内容】
=========================================================
Apache Struts 2 に任意のコードを実行される問題

Java EE の Web アプリケーションフレームワークである Apache Struts2 に
セキュリティホールが発見されました。

このセキュリティホールが利用された場合、リモートの攻撃者に任意のコードを
実行される可能性があります。
これは Apache Struts 2 が信頼できないデータを適切な検証を行わずに使用して
いるためです。
具体的には、namespace を持たない result を使用する場合で、その上位のアク
ションが namespace を持たないかワイルドカード namespace を持つ場合に、
任意のコードを実行される可能性があります。

なお、本セキュリティホールはプラグインの設定に関係なく全ての Struts アプリ
ケーションが影響を受ける可能性があります。

本セキュリティホールの影響を受ける Apache Struts のバージョンは下記となります。

・Apache Struts
  2.5 ~ 2.5.16
  2.3 ~ 2.3.34

即時バージョンアップが困難な場合は、一時的な回避方法が公開されています。
下記サイトの下部の Workaround をご参照ください。
https://cwiki.apache.org/confluence/display/WW/S2-057

ただし、この回避方法は一時的な対応であり、バージョンアップすることが推奨され
ています。

■関連情報

・Common Vulnerabilities and Exposures (CVE)
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11776
  CVE-2018-11776

・Apache Struts 2 Documentation
  https://semmle.com/news/apache-struts-CVE-2018-11776
  S2-057 Possible Remote Code Execution when using results with no namespace 
  and in same time, its upper action(s) have no or wildcard namespace. Same 
  possibility when using url tag which doesn’t have value and action set.

・Semmle News
  https://semmle.com/news/apache-struts-CVE-2018-11776
  Semmle Discovers Critical Remote Code Execution Vulnerability in Apache 
  Struts (CVE-2018-11776)

=========================================================
OpenStandia年間サポートサービスのご相談は、以下からお問い合わせください。
https://openstandia.jp/site/contact.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
編┃集┃後┃記┃
━┛━┛━┛━┛━━━━━━━━━━━━━━━━━━━━━━━━━━━
最後までご覧いただき、ありがとうございます。

この春から野村総合研究所に入社いたしました砂長谷です。
今年は近年まれに見ぬ猛暑にさらされ、暑さが身にこたえる日々が続いており
ますが、皆さんいかがお過ごしですか?

この時期夏休みの宿題として読書感想文や自由研究を、締め切り間際に終わら
せようとする子供たちが街にあふれ始めるころではないでしょうか。私もそん
な子供たちの例に漏れずに、せっせと感想文やレポートをまとめていた覚えが
あります。

しかし、現代では読書感想文など一瞬で終わらせることができるかもしれませ
ん。ご存知の方も多いと思われますが、自動要約ツールがフリーで利用できる
世の中になってきました。

自動要約の技術自体は、人工知能研究の黎明期から取り組まれてきたトピック
ですが、最近では人工知能ブームも相まって個人実装がWeb上に公開されてい
る例も散見されます。手を付けやすい技術の一つとなったと認識してもよいか
もしれません。

実際にWeb上で公開されている自動要約ツールを利用して、この編集後記を3
文にまとめてみると、以下のようになりました。

「この春から野村総合研究所に入社いたしました砂長谷です。しかし、現代で
は読書感想文など一瞬で終わらせることができるかもしれません。自動要約の
技術自体は、人工知能研究の黎明期から取り組まれてきたトピックですが、最
近では人工知能ブームも相まって個人実装がWeb上に公開されている例も散見
されます。」

まだ人の助けが必要な印象を受けますが、悪くないですね。そして私の文章の
無駄がまるわかりに。今後の自動要約技術の発展に目が離せませんね。

今後も、「NRI OSSソリューションマガジン」をどうぞよろしくお願いいたし
ます。

※UserLocal自動要約ツールで分析

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRI OpenStandiaのWebページからセミナー申込やお問い合わせ頂いたお客様、
NRIから委託されたOpenStandia営業と名刺交換をさせて頂いたお客様、
NRIが主催、共催、協賛するセミナー、イベントにご参加して頂いたお客様に
送付しております。
※注意事項・配信停止方法は以下のURLをご確認ください。
http://openstandia.jp/site/mailmagazine.html
商品・サービスに関するお問い合わせ:ossc@nri.co.jp
OSSソリューションマガジンに関するお問い合わせ:magazine-ossc-ext@nri.co.jp
発信元:株式会社野村総合研究所
http://openstandia.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
                                
  • OpenStandiaサポート対象オープンソース|50種類以上のOSSのサポートをご提供します。
  • 人気OpenAM
  • 注目MongoDB
  • OpenIDM
  • Corosync
  • Postfix
  • Apache HTTP Server
  • ZABBIX
  • BIND
  • Apache Struts
  • PostgreSQL
  • Pentaho
  • Spring Framework
  • Apache Tomcat
  • Solr
  • Dovecot
  • iBATIS
  • DRBD
  • MySQL
  • JBoss
  • Liferay
  • Ruby on Rails
  • Jaspersoft
  • OpenLDAP
  • Apache log4j
  • Apache Subversion
  • BIND
  • OpenDJ
  • Pacemaker
  • Samba
  • Red Hat Enterprise Linux
  • Nginx
  • sendmail
  • Courier-IMAP
  • Heartbeat
  • Hibernate
  • Hinemos
  • MyBatis
  • MySQL Cluster
  • Apache Axis2
  • Squid
  • OpenSSO