InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
RDSとAurora PostgreSQLの脆弱性により、AWSが多くのマイナーバージョンを非推奨へ
セキュリティ会社Lightspinの研究者は最近、PostgreSQL拡張機能を使って、どのように内部AWSサービスへの認証を取得し、RDS上のローカルファイル読み取りの脆弱性を悪用できるかを説明した。AWSはこの問題を確認し、Amazon AuroraとRDS for PostgreSQLの数十のマイナーバージョンを非推奨にした。
-
VMwareの脆弱性を悪用した暗号マイナが横行
VMware Workspace ONE AccessとVMware Identity Managerに関係する重大な脆弱性により、悪意のある攻撃者が、サーバサイド・テンプレート・インジェクションを起動する任意のコードをリモート実行できるようになる。VMwareによると、この脆弱性は実際に悪用されている(actively exploied)ということだ。
-
AWS Firewall ManagerがPalo Alto NetworksのCloud Next Generation Firewallに対応
AWSは先頃、Firewall ManagerがPalo Alto NetworksのCloud Next Generation Filewalls(NGFW)をサポートすることを発表した。Palo Alto NetworksはAWSとの提携を通じて、AWSデプロイメントのセキュリティを簡単に確保できるように設計された"マネージド・ファイアウォールサービス"を提供する。
-
Dockerfile Linter Hadolintでは多くの修正、改善がされ、ARM64バイナリをサポート
長い期間待った後に、Hadolintの最近のリリースでは多くの修正、改善がされており、ARM64バイナリに対するサポートが追加された。
-
Microsoft、Azure API Managementプレビューでプライベートリンクのサポートを開始
先頃Microsoftは、APIの公開、保護、変換、維持、監視を行うフルマネージドサービスであるAzure API Managementサービスを対象とするAzure Private Linkサポートのプレビューを発表した。
-
Intel、Arm、AMD CPUのハードウェア軽減策がSpectre v2に対して効果がないことが明らかに
Vrije Universiteit Amsterdamのセキュリティ研究者は、IntelプロセッサとArmプロセッサの両方で実行されるSpectre v2攻撃に対するハードウェアによる軽減策には、ブランチ履歴インジェクションに対して脆弱になる根本的な欠陥があることを示した。
-
CRI-Oコンテナランタイムの新たな脆弱性により、攻撃者によるホストへのアクセスが可能に
CRI-Oコンテナランタイムは多くのKubernetesインストールで使用されているが、その新たな脆弱性により、悪意のあるユーザがホストへroot権限でアクセスできるようになる。この脆弱性はCrowdStrikeの研究者によって発見され、CRI-Oプロジェクトによってすぐに修正された。
-
MetaがWebコードの真正性を立証するためのブラウザ拡張をオープンソース化
Code Verifyは、もともとはWhatsAppユーザがブラウザに提供されるWhatsAppコードの真正性を検証するために作成されたものである。これは、Chrome、Edge、Firefoxに対する新たなオープンソース拡張機能であり、他のWebサービスに対しても同レベルのセキュリティを提供できるとMetaは述べている。
-
Google Cloudがコミュニティセキュリティ分析を導入
Google Cloudは最近、コミュニティセキュリティ分析(CSA)をリリースした。これは、一般的なクラウドベースの脅威の検出に役立てられるように設計されたセキュリティ分析用のオープンソースクエリとルールの集合である。
-
ソフトウェアサプライチェーンセキュリティプロジェクトのin-totoがCNCFインキュベーターとして承認される
CNCF技術監視委員会(TOC)は、in-totoプロジェクトをCNCFインキュベーションプロジェクトとして受け入れた。in-totoプロジェクトは、ソフトウェアのビルド・配信プロセス全体(「サプライチェーン」)を悪意のある攻撃者から暗号によって保護することを目的としている。
-
オープンソースソフトウェアのサプライチェーンの安全性確保
SonarSourceのセキュリティ研究者による最近の調査結果では、Pip、Yarn、Composerなどの一般的なパッケージマネージャに複数のセキュリティ脆弱性があることが判明している。しかし、パッケージマネージャは、オープンソースのセキュリティチェーンにおける唯一の弱点ではない。InfoQは、SonatypeのCTOであるBrian Foxに話を聞いた。
-
Dynatraceアプリケーションセキュリティゲートにより安全な自動リリースの促進へ
Dynatraceは最近、ソフトウェアインテリジェンスプラットフォームで「セキュリティゲート」が利用可能になったことを発表した。組織は、Dynatraceアプリケーションセキュリティゲートを使って、ソフトウェア開発ライフサイクルの早い段階でセキュリティの脆弱性をチェックし、必要な修復アクションをトリガーできるようになった。
-
ディープラーニングツールキットIntel OpenVINOではAPIが拡張され、パフォーマンスが向上
Intel OpenVINOの最新リリースでは、よりクリーンなAPIが提供される。自然言語処理のサポートが拡張されており、新しいAUTOプラグインのおかげでパフォーマンスと移植性が改善している。InfoQは、詳細についてAI Intel OpenVINOのシニアディレクターMatthew Formica氏と話をした。
-
IAM条件とタグでGoogle Cloud SQLのアクセス制御が改善
最近、GoogleはCloud SQL向けのIAM条件とタグの一般提供(GA)を発表した。これはMySQL、PostgreSQL、SQL Server用のフルマネージドリレーショナルデータベースサービスである。
-
AWS WAFが不正管理としてAccount Takeover Protectionを導入
Amazonは最近、不正管理としてAccount Takeover Protectionを導入した。ネットワークエッジでログインページを保護するためのAWS Webアプリケーションファイアウォールの新機能である。