InfoQ ホームページ Security Vulnerabilities に関するすべてのコンテンツ
-
PGPとS/MIMEによる暗号化メールに、Efail攻撃に対する脆弱性が見つかる
ドイツとベルギーの研究者グループが、PGPとS/MIMEに脆弱性があり、暗号化されたEメールの平文が漏洩する可能性のあることを発見した。EFF(The Electronic Frontier Foundation)はこの脆弱性を確認し、セキュアなメッセージ交換には代替手段を使用するよう勧告した。しかしながら、GunPGの開発者であるWerner Koch氏は、脆弱性はPGP自体のものではなく、EFFのコメントは大げさ過ぎる、と述べている。
-
Zip Slipディレクトリトラバーサル脆弱性の影響は多くのJavaプロジェクトに
オープンソースとクラウドのセキュリティモニタリング企業であるSnyk社がZip Slipを開示した。これは任意のファイルを上書きする脆弱性で、パスをトラバースするファイル名を持つ、巧妙に作られたZIPアーカイブを使い弱点を突いている。脆弱性は何千ものプロジェクトに影響を与え、そこにはAWS CodePipelineやSpring Integration、LinkedInのPinot、Apache/TwitterのHeron、AlibabaのJStorm、Jenkins、Gradle、Google Cloud Platformが含まれる。
-
Gitの脆弱性により任意のコードが実行できる
Gitサブモジュール名の検証に対する脆弱性により、リモートの攻撃者が開発者マシン上で任意のコードを実行できる。さらに、攻撃者はシステムメモリの一部にアクセスできる。どちらの脆弱性もすでにGit 2.17.1、2.16.4、2.15.2、および他のバージョンでパッチが適用されている。
-
IntelがマルウェアスキャンにGPUの使用を開始
Intelは、GPUを使用してメモリをスキャンしてマルウェアを検出する一連のシリコンベースの機能セットである新しいThread Detection Technology (TDT)を発表した。これにより、CPUをそのタスクから解放し、SpecterとMeltdownから防御する上での影響を緩和する。
-
GitHubセキュリティアラートが400万以上の脆弱性を検出
昨年10月にリリースされたGitHubのセキュリティアラートは、開発者がRubyやJavaScriptプロジェクトから脆弱性を取り除くために要する時間を大幅に短縮したとGitHubは述べている。
-
直近のNpmインシデントによりセキュリティ上の脆弱性が発覚
先週、npmレジストリで操作インシデントが発生した。これによって、require-from-stringなどに依存する多くのパッケージが利用できなくなった。このインシデントは解決するのは比較的単純であったが、npmを使用してプロジェクトに悪質なコードを挿入するために悪用された可能性のある主要なセキュリティの脆弱性が明らかになった。
-
NISTがアプリケーションコンテナのセキュリティに関するガイドラインを公開
National Institute of Standards and Technology(NIST)は先頃、アプリケーションコンテナテクノロジと、その最も重要なセキュリティ上の問題に関する報告書を公開した。イメージやレジストリ、オーケストレータ、ホストOS、ハードウェアなどの脆弱性領域とその対策を概説した、公開済の2つの報告書を要約したものだ。
-
-
Webには時代遅れで脆弱性のあるJavaScirptライブラリで溢れていることが研究により明らかに
最新の研究により、Alexaの上位75,000件のウェブサイトのうち37%が少なくとも1つの、10%近くが少なくとも2つの脆弱性をもつことがわかった。さらにショッキングなことに、Alexaの上位500件のウェブサイトのうち26%は脆弱性のあるライブラリを使用している。
-
Cloudbleed - Cloudflareプロキシのメモリリーク
Cloudflareプロキシに対するリクエストのごく一部で、無関係なリクエストからパスワードなどの機密情報を含む可能性のあるデータがリークする、バッファオーバーフローのバグが発生した。‘Cloudbleed’と命名されたこの問題を発見したのは、GoogleのProject Zeroに所属する脆弱性研究者のTavis Ormandy氏だ。
-
オブジェクトのデシリアライゼーションフィルタがJava 9からバックポートされる
JEP 290は、オブジェクトをデシリアライズする際に入ってくるデータをフィルタできるようにするものであるが、当初はJava 9を対象としていたがJava 6と7、8にバックポートされる。この機能は処理されているオブジェクトのインプットストリームにおいて入ってくるデータをフィルタするメカニズムを提供する。またしばらく前にApache Commonsと他のライブラリに影響したもののようなデシリアライゼーションの脆弱性を防ぐ手助けができる。
-
Windowsの脆弱性を修正プログラム公開前にGoogleが開示
Serverlessconf London 2016の初日に挙げられたテーマは,‘NoOps’からは程遠い,サーバレスプラットフォームがもたらす運用上の課題についてだった。物理サーバと仮想マシンはかけ離れた概念かも知れないが,それは必ずしもインフラストラクチャ設定が不要になったということではない - その上で開発者たちは,危険を覚悟して,基盤である永続化機構の影響を無視しているのだ。
-
マイクロサービスとセキュリティ
アプリケーションセキュリティとなると、ばしば後付けで処置しようと試みる。開発ワークフローにテストを加える方法については既に学んでいるが、セキュリティに関しては誰かが来て後で修正してくれるとしばしば決めてかかってしまう。Sam Newman氏はロンドンのMicroservices Conferenceの基調講演において、マイクロサービスの文脈でのセキュリティに関してこう主張した。
-
Docker Security Scanning
Docker Incは,これまでProject Nautilusと呼ばれていたDocker Security Scanningの一般向け提供を発表した。今回のリリースは,CIS Docker Security BenchmarkのアップデートをDocker 1.11.0に反映するためのものだ。Docker Benchツールがアップデートされて,ホストとデーモンの設定が同セキュリティベンチマークの推奨事項に適合していることをチェックできるようになる。
-
GitLabが重大な脆弱性を公表し,パッチを提供
GitLabは先頃,多数の重要なセキュリティ修正を発表した。重大な権限昇格も含むため,バージョン8.2以降のすべてのGitLabインストレーションに対して,適用が強く推奨される。エンジニアリング担当副社長のStan Hu氏に話を聞いた。