NRI OSSソリューションマガジン(メールマガジン)

===================================
※配信停止方法や配信対象等については、このメールの末尾をご覧ください。

                      2019.02.27発行   Vol.143
───────────────────────────────────
◆◇ NRI OSSソリューションマガジン
───────────────────────────────────



2018年度も残すところあと1か月となってまいりました。
皆様いかがお過ごしでしょうか?

今月はWebAuthn4jという
FIDO/WebAuthn用のサーバサイドJavaライブラリをご紹介します。


<そもそも、FIDO/WebAuthnとは?>

FIDOという言葉をご存知でしょうか?
この1年でよく聞かれるようになったと思います。

FIDOとは「Fast IDentity Online」の略でパスワードレスな認証を実現するた
めの規格です。
2012年に「FIDOアライアンス」として業界団体が設立されました。
MicrosoftやGoogle、Amazonなど世界の名だたる企業で構成されています。

https://fidoalliance.org/

FIDOはクライアントサイト実装やサーバサイド実装を限定せず策定されている
規格ですが、
WebAuthnはWebにおける標準を定めているものです。

2018年4月にW3Cにて勧告候補となったことが発表され、
今後急速に適用が進むと言われています。

https://www.w3.org/2018/04/pressrelease-webauthn-fido2.html.ja
https://www.w3.org/TR/webauthn/




WebAuthn4jとは上記のWebAuthnのサーバサイドJavaライブラリです。

https://github.com/webauthn4j/webauthn4j

まだ1.0には到達していないものの、
FIDO AllianceのTesting Toolにもパスしています。

今後、WebAuthnに対応するサーバサイドJavaアプリケーションにて、
採用されることが増えてくることが期待されています。

※現在、Spring SecurityやKeycloakなどへの組み込みが検討・予定されてい
ます。

作者はNojimaさんという日本人の方です。
Twitterでは@shiroicaのアカウント名で活動されており、
最新情報を随時Tweetされています。

コントリビュートも随時募集中のようなので、
興味のある方はぜひチェックしてみて下さい。

=============
■目次
=============
1.What's New
今月のOSS紹介の最新アップデート
・今月は1件の新しい製品紹介があります!

2.今月のOSS紹介サイトアクセスランキング TOP10

3.今月注目の「バグ&セキュリティ情報」
・Red Hat Enterprise Linux の runc にホストシステムの root 権限を奪わ
れる脆弱性

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1.What's New
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
───────────────────────────────────
◆ OSS紹介ページアップデート
───────────────────────────────────
 NRI OpenStandiaでは注目されるオープンソースソフトウェアの概要から
 ライセンス、導入事例など様々な情報を紹介しています。
 
 今月のアップデート(新規:1件、更新:9件)

 (新規)
Go (https://openstandia.jp/oss_info/go/)

 (更新)
Aurelia (https://openstandia.jp/oss_info/aurelia/)
Bootstrap (https://openstandia.jp/oss_info/bootstrap/)
Calabash (https://openstandia.jp/oss_info/calabash/)
jQuery (https://openstandia.jp/oss_info/jquery/)
OpenIDM (https://openstandia.jp/oss_info/openidm/)
Postfix (https://openstandia.jp/oss_info/postfix/)
Ruby on Rails (https://openstandia.jp/oss_info/rubyonrails/)
Ubuntu (https://openstandia.jp/oss_info/ubuntu/)
WildFly (https://openstandia.jp/oss_info/wildfly/)

※最新バージョン情報、関連ニュース情報は毎週発信しています。
※OpenStandiaのFacebook,Twitterをフォローください。

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2.今月のOSS紹介サイト アクセスランキング TOP10
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
オープンソース情報サイト「OpenStandia OSS紹介サイト」のアクセスTOP10を紹介

→	1位 (1位)	MySQL	(https://openstandia.jp/oss_info/mysql/)
→	2位 (2位)	CentOS	(https://openstandia.jp/oss_info/centos/)
→	3位 (3位)	Tomcat	(https://openstandia.jp/oss_info/tomcat/)
→	4位 (4位)	Apache HTTP server	(https://openstandia.jp/oss_info/apache/)
→	5位 (5位)	php	(https://openstandia.jp/oss_info/php/)
→	6位 (6位)	PostgreSQL	(https://openstandia.jp/oss_info/postgresql/)
→	7位 (7位)	Ruby on Rails	(https://openstandia.jp/oss_info/rubyonrails/)
↑	8位 (9位)	KeyCloak	(https://openstandia.jp/oss_info/keycloak/)
↓	9位 (8位)	Spring	(https://openstandia.jp/oss_info/spring/)
→	10位 (10位)	Apache Struts	(https://openstandia.jp/oss_info/struts/)

※( )内は前月の順位

オープンソースソフトウェア総合情報サイト「OpenStandia OSS紹介」はコチラ
https://openstandia.jp/oss_info/

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
3.今月注目の「バグ&セキュリティ情報」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
【内容】
======================================================================
Red Hat Enterprise Linux の runc にホストシステムの root 権限を奪われ
る脆弱性

runc は Docker や Kubernetes でも利用されているコンテナを実行するため
のコマンドラインツールです。

Red Hat Enterprise Linux の runc パッケージはファイルディスクリプタの
処理が原因で脆弱性が存在します。

脆弱性が利用された場合、悪意のあるコンテナによって runc バイナリを改竄
され、ホストの root 権限を奪われる可能性があります。

本脆弱性は runc の処理において、コンテナ実行時のファイルディスクリプタ
の操作が適切に行われていないことにより、runc バイナリの内容を上書きで
きることが原因となります。

本脆弱性の影響を受ける Red Hat Enterprise Linux は下記となります。

 Enterprise Linux Server 7

なお、本脆弱性の影響を受ける製品は Red Hat Enterprise Linux に限りませ
んので、runc や Docker等 をご利用の場合は各ベンダやコミュニティ情報を
ご確認ください。

■ 関連情報

・Common Vulnerabilities and Exposures (CVE)
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5736
 CVE-2019-5736

・Red Hat Linux Security Advisory
 https://access.redhat.com/errata/RHSA-2019:0303
 RHSA-2019:0303 Important: runc security update

・Red Hat Bugzilla
 https://bugzilla.redhat.com/show_bug.cgi?id=1664908
 Bug1664908 - CVE-2019-5736 runc: Execution of malicious containers allows for container escape and access to host filesystem


=========================================================
OpenStandia年間サポートサービスのご相談は、以下からお問い合わせください。
https://openstandia.jp/site/contact.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
編┃集┃後┃記┃
━┛━┛━┛━┛━━━━━━━━━━━━━━━━━━━━━━━━━━━
最後までご覧いただき、ありがとうございます。

野村総合研究所の砂長谷です。2月といえば、節分にバレンタインにと、なに
かと食に関わるイベントが多い月ですね。

食に関する個人的な欲求のひとつに、外食を家庭料理でも再現したいと思うこ
とがあります。たまに試してみるのですがうまくいかず、味覚だけからレシピ
を再現することの難しさを感じます。

一方で、プログラミングの世界ではレシピ再現のような操作といえば、リバー
スエンジニアリングが思い当たりますね。そんなリバースエンジニアリング
界隈でまもなく公開される「GHIDRA」をご存知でしょうか。

GHIDRAはアメリカ国防総省の諜報機関であるNSAが独自に開発したツールで
す。
3月に行われるRSA ConferenceでOSSとして公開されるそうです。なんでもGUI
ベースの逆アセンブラで、ハイエンドの商用製品と同等の機能を備えつつ、独
自機能も含まれているとか。公開後の反響に目が離せないですね。

ただし、リバースエンジニアリングが禁止されている製品もあるため、うっか
り規約に違反しないように注意する必要がありますね。

今後も、「NRI OSSソリューションマガジン」をどうぞよろしくお願いいたし
ます。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRI OpenStandiaのWebページからセミナー申込やお問い合わせ頂いたお客様、
NRIから委託されたOpenStandia営業と名刺交換をさせて頂いたお客様、
NRIが主催、共催、協賛するセミナー、イベントにご参加して頂いたお客様に
送付しております。
※注意事項・配信停止方法は以下のURLをご確認ください。
https://openstandia.jp/site/mailmagazine.html
商品・サービスに関するお問い合わせ:ossc@nri.co.jp
OSSソリューションマガジンに関するお問い合わせ:magazine-ossc-ext@nri.co.jp
発信元:株式会社野村総合研究所
https://openstandia.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
                                
  • OpenStandiaサポート対象オープンソース|50種類以上のOSSのサポートをご提供します。
  • 人気OpenAM
  • 注目MongoDB
  • OpenIDM
  • Corosync
  • Postfix
  • Apache HTTP Server
  • ZABBIX
  • BIND
  • Apache Struts
  • PostgreSQL
  • Pentaho
  • Spring Framework
  • Apache Tomcat
  • Solr
  • Dovecot
  • iBATIS
  • DRBD
  • MySQL
  • JBoss
  • Liferay
  • Ruby on Rails
  • Jaspersoft
  • OpenLDAP
  • Apache log4j
  • Apache Subversion
  • BIND
  • OpenDJ
  • Pacemaker
  • Samba
  • Red Hat Enterprise Linux
  • Nginx
  • sendmail
  • Courier-IMAP
  • Heartbeat
  • Hibernate
  • Hinemos
  • MyBatis
  • MySQL Cluster
  • Apache Axis2
  • Squid
  • OpenSSO