Category Archives: Security

ソースコードの脆弱性をチェックするツール、IPAが無償公開。C言語に対応 [ #opencloudjp ]

IPA(独立行政法人情報処理推進機構)は、 C言語で作成されたソースコードに脆弱性が存在しないかどうかを検査するツール「iCodeChecker」を公開しました。無償で利用できます。 iCodeCheckerは、ソースコードの脆弱性が存在する箇所を検出し、修正例や脆弱性が悪用された場合の脅威についてのレポートを出力するツール。プレスリリースから引用します。

http://www.publickey1.jp/blog/12/ipac.html

GitHub、Mass Assignment利用の脆弱性を突かれる [ #opencloudjp ]

先日、GitHubはRuby on Railsのmass assignment機能の脆弱性を突かれた。この脆弱性は数多くのRubyベースのサイトだけではなく、ASP.NET MVCや他のORMフレームワークを使用したサイトにも影響を及ぼす可能性がある。mass assignment自体は、フォームデータをオブジェクトにマップするための安全かつ効果的な機能だ。同様に、ASP.NET MVCで同等の機能であるデータバインディングも単独で使用する分には安全な機能だ。この脆弱性が実際に問題となるのはmass assignmentとORMを不用意に併用した場合だ。

http://www.infoq.com/jp/news/2012/03/GitHub-Compromised

チエル、「OpenSSO&OpenAMコンソーシアム」に参加 [ #opencloudjp ]

チエル(川居睦社長)は、オープンソースのシングルサインオンソフトウェア「OpenSSO」「OpenAM」の日本での普及や発展を目指す「OpenSSO&OpenAMコンソーシアム」に、2月29日に参加する。これに合わせて、昨年8月に発売した統合マネジメントシステム「ExtraConsole(エクストラ コンソール)」や学習管理システム「CaLabo LMS(キャラボ エルエムエス)」のシングルサインオン連携に着目した販売強化を図る。

http://www.asahi.com/digital/bcnnews/BCN201202150012.html

ほとんどのWebサーバーに影響するメジャーなサービス拒否脆弱性 [ #opencloudjp ]

セキュリティ研究者のAlexander Klink氏とJulian Wälde氏は、つい先日まで大部分のWebサーバーに影響を与える可能性のあった深刻な脆弱性を明らかにした。攻撃は、ハッシュコードの衝突を作り出すように設計されたPOSTフォームデータを送る、単一のHTTPリクエストだけである。最初にこの攻撃が発見されたとき、Python、Ruby、PHP、Java、ASP.NETが影響を受けたが、ベンダーは研究者と共同でパッチの開発を行った。

http://www.infoq.com/jp/news/2012/01/Hash-Table-Vulnerability

Virtualisation is the key to security woes

While IT shops and vendors struggle to apply security practices to virtualised systems, a Start-up called Bromium claims it will turn the question on its head, using virtualisation to secure all types of devices.  The idea is that a hypervisor can isolate and protect applications, turning the platform into the security tool. Bromium has some big names, particularly from Citrix and the community around the Xen hypervisor. Bromium co-founder and CTO Simon Crosby, said the question of how to secure virtualised systems, as opposed to using virtualisation to secure everything else, is “a yawn in my view.”

http://www.techcentral.ie/article.aspx?id=17106