2016.08.24発行 Vol.110 ─────────────────────────────────── ◆◇ NRI OSSソリューションマガジン ─────────────────────────────────── 《 FinTechで注目されるOAuth2.0とOpenID Connect 》 NRIの最新システムソリューションや先端IT情報を発信する情報誌である 「ITソリューションフロンティア8月号」の特集記事「FinTechの鍵を握る2つの技術」の中で、 金融分野においてオープンAPIへの注目を紹介しています。 記事では、Web上に公開するAPIを「オープンAPI」、API公開によってビジネスとビジネスをつなぎ、 新しい価値を生み出すことを「APIエコノミー」と呼んでいます。 また、オープンAPIの安全性を高めるためにOAuth2.0とOpenID Connectが有効であるとし、 オープンAPIの普及に向けてAPI仕様のの標準化が重要であると説明しています。 野村総合研究所(NRI) は、API仕様の規定、OAuth2.0とOpenID Connectの標準化の筆頭として 活動しています。 参考:https://www.nri.com/~/media/PDF/jp/opinion/teiki/it_solution/2016/ITSF160802.pdf OAuth2.0 およびOpenID Connectは認証・認可の仕様となりますが、 この仕様に準拠したOSSとして「OpenAM」があります。 エンタープライズ版のOpenAMを開発・販売するForgeRock社の技術者は、 OpenID Connectの標準を策定しているOpenID Foundationのメンバーも多く、 仕様としてのOpenID Connectと実装としてのOpenAMには高い親和性があると言えます。 これまでOpenAMはシングルサインオンの領域で利用されることが多かったのですが、 「オープンAPI」、「APIエコノミー」の視点でも、注目が高まりそうです。 「OpenAM」につきましては、こちらもご参照ください。 OpenAM・・・・OAuth2.0やOpenID Connecctにも対応する認証ソリューション https://openstandia.jp/oss_info/openam/index.html?mm=110_10_1 統合認証基盤とは https://openstandia.jp/solution/id_management/about_single_sign-on/?mm=110_10_2 OpenAM製品・サービスの紹介 https://openstandia.jp/solution/id_management/overview/?mm=110_10_3 OpenStandiaのサポートサービス https://openstandia.jp/services/support_services.html?mm=110_10_4 今月号のメルマガもよろしくお願いします。 ============= ■目次 ============= 1.What's New 今月のOSS紹介の最新アップデート(新規:1件 更新:5件) 2.今月のOSS紹介サイト アクセスランキング TOP10 3.今月注目の「バグ&セキュリティ情報」 squidパッケージのcachemgr.cgiのmunge_other_line関数には、スタックベースのバッファオーバーフロー の脆弱性 ■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 1.What's New ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■ ─────────────────────────────────── ◆ OSS紹介ページアップデート(新規:1件/更新:5件) ─────────────────────────────────── NRI OpenStandiaでは注目されるオープンソースソフトウェアの概要から ライセンス、導入事例など様々な情報を紹介しています。 今月のアップデート情報 (新規:1件) NoSQLデータベース:Cassandra(カサンドラ) https://openstandia.jp/oss_info/cassandra/?mm=110_30_1 (更新:5件) Joomla! https://openstandia.jp/oss_info/joomla/?mm=110_30_2 OpenIDM https://openstandia.jp/oss_info/openidm/?mm=110_30_3 OpenAM https://openstandia.jp/oss_info/openam/?mm=110_30_4 Apache HTTP Server https://openstandia.jp/oss_info/apache/?mm=110_30_5 Liferay https://openstandia.jp/oss_info/liferay/?mm=110_30_6 ※最新バージョン情報、関連ニュース情報は毎週発信しています。 ※OpenStandiaのFacebook,Twitterをフォローください。 ■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 2.今月のOSS紹介サイト アクセスランキング TOP10 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■ オープンソース情報サイト「OpenStandia OSS紹介サイト」のアクセスTOP10を紹介 →1位(1位):MySQL https://openstandia.jp/oss_info/mysql/?mm=110_20_1 →2位(2位):CentOS https://openstandia.jp/oss_info/centos/?mm=110_20_2 ↑3位(5位):Tomcat https://openstandia.jp/oss_info/tomcat/?mm=110_20_3 ↑4位(7位):Apache HTTP Server https://openstandia.jp/oss_info/apache/?mm=110_20_4 ↑5位(6位):OpenAM https://openstandia.jp/oss_info/openam/?mm=110_20_5 ↓6位(4位):PHP https://openstandia.jp/oss_info/php/?mm=110_20_6 ↑7位(-) :Spring https://openstandia.jp/oss_info/spring/?mm=110_20_7 ↑8位(9位):PostgreSQL http://www.openstandia.jp/oss_info/postgresql/?mm=110_20_8 ↓9位(8位):OTRS https://openstandia.jp/oss_info/otrs/?mm=110_20_9 ↓10位(3位):Struts https://openstandia.jp/oss_info/struts/?mm=110_20_10 ※( )内は前月の順位 オープンソースソフトウェア総合情報サイト「OpenStandia OSS紹介」はコチラ https://openstandia.jp/oss_info/?mm=110_20 ■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 3.今月注目の「バグ&セキュリティ情報」 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■ 【タイトル】 squidパッケージのcachemgr.cgiのmunge_other_line関数には、スタックベースのバッファオーバーフロー の脆弱性 【内容】 Squidのメモリ統計情報を表示するためのユーティリティであるcachemgr.cgiに脆弱性(CVE-2016-5408)が 存在することが判明した。 この脆弱性によって、外部の攻撃者はSquidプロキシに対して改ざんしたURLを送付し、キャッシュマネージャ ツールのレポートに表示することにより、任意のコードを実行することが可能である。 この脆弱性は今年報告された別の脆弱性(CVE-2016-4051)に対する修正が不完全だったことに起因する。 こちらの脆弱性は、cachemgr.cgiユーティリティを有効化しているとバッファオーバーフローによって 任意のコードを実行可能になるというものであった。 今回判明した脆弱性においても、cachemgr.cgi中のmunge_other_line()関数においても同様のバッファ オーバーフローの問題が確認されており、脆弱性の原因となっている。 なお、このセキュリティホールはSquid プロキシには影響せず、cachemgr.cgiユーティリティにのみ影響 する。 Squidのcachemgr.cgiユーティリティを利用しているシステムの管理者においては、早急に本脆弱性の 修正パッケージを適用されたい。 この脆弱性の対象となるSquidを含む環境は下記のとおりである。 ・Red Hat Linux Enterprise Linux Server 6 Enterprise Linux Workstation 6 ・CentOS 2016/08/08 追加 6 【参考】 ■CVE - CVE-2016-5408 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5408 ■CVE-2016-5408 - Red Hat Customer Portal https://access.redhat.com/security/cve/cve-2016-5408 ■JVNDB-2016-004397 - JVN iPedia - 脆弱性対策情報データベース http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004397.html ■Novell Doc: 管理ガイド - cachemgr.cgi http://www.novell.com/ja-jp/documentation/sles11/book_sle_admin/data/sec_squid_cachemgr.html OpenStandia年間サポートサービスのご相談は、以下からお問い合わせください。 https://openstandia.jp/site/contact.html?mm=110_99 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 編┃集┃後┃記┃ ━┛━┛━┛━┛━━━━━━━━━━━━━━━━━━━━━━━━━━━ 最後までご覧いただき、どうもありがとうございました。 「NRI OSSソリューションマガジン」をどうぞよろしくお願いいたします。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ NRI OpenStandiaのWebページからセミナー申込やお問い合わせ頂いたお客様、 NRIから委託されたOpenStandia営業と名刺交換をさせて頂いたお客様、 NRIが主催、共催、協賛するセミナー、イベントにご参加して頂いたお客様に 送付しております。 ※注意事項・配信停止方法は以下のURLをご確認ください。 https://openstandia.jp/site/mailmagazine.html 商品・サービスに関するお問い合わせ:ossc@nri.co.jp OSSソリューションマガジンに関するお問い合わせ:magazine-ossc-ext@nri.co.jp 発信元:株式会社野村総合研究所 オープンソースソリューション推進室 https://openstandia.jp/ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━