mod_proxy_ajpなどに含まれる脆弱性を修正したApache HTTP Server 2.2.22リリース
Apache HTTP Server Projectは1月31日、「Apache HTTP Server 2.22.2」を公開した。セキュリティ問題およびバグ修正がメインのリリースで、重要なセキュリティ問題6件の修正も含まれている。
W3C、Cookieによる追跡を拒否できるプライバシー標準規格のドラフト1を公開
World Wide Web Consortium(W3C)は11月14日、「Tracking Preference Expression」仕様のドラフト1を公開した。ユーザーがCookieなどによる追跡を希望しないことを通知するための仕様で、「DNT(Do Not Track)」などとも呼ばれているもの。確立に向けて一歩進んだことになる。
Rapid7、Metasploit Frameworkベースの侵入テストツール「Metasploit Community Edition」をリリース
オープンソースの侵入テスト「Metasploit Framework」プロジェクトを出資する米Rapid7は10月18日(米国時間)、Metasploit Frameworkを土台とした侵入テストツール「Metasploit Community Edition」を発表した。同社Webサイトより無料でダウンロードできる。
オープンソースのネットワークアクセス制御システム「PacketFence 3.0」リリース、RHEL 6サポートが追加される
オープンソースのネットワークアクセス制御システム「PacketFence」開発チームは9月21日、「PacketFence 3.0」を公開した。管理ポータル画面を一新したほか、ハードウェアサポートも拡充されている。
復旧急ぐkernel.org、新インフラではgitレポジトリへのシェルアクセスが不可能に
8月後半に不正侵入を受けたことを明らかにしていたkernel.orgだが、メンテナンスメンバーは9月23日、「ステータスアップデート」として復旧作業の経過をメーリングリストにて報告した。インフラの変更も行われており、今後はシェルアクセスが禁止され、またアクセス制御機構「Gitolite」が導入されるという。
Linux FoundationのWebサイト、セキュリティ問題のため一時オフラインに
非営利団体Linux Foundationは9月11日、メーリングリストにてセキュリティ問題を発見したと報告した。先のkernel.org侵入事件が関連する可能性があるという。現在サイトをオフラインにして、確認作業を進めている。
子プロセスでのサンドボックスを実験的に実装したOpenSSH 5.9/5.9p1リリース
OpenSSHを開発するOpen BSD Project開発チームは9月6日、最新版「OpenSSH 5.9」およびその移植(portable)版である「OpenSSH 5.9p1」をリリースした。特権分離済み子プロセスでサンドボックスが実験的に導入されるなど、新機能が加わっている。
「Apache Killer」対策を行った「Apache HTTP Server 2.2.20」公開
Apache Software Foundation(ASF)のApache HTTP Server開発チームは8月31日、最新版となる「Apache HTTP Server 2.2.20」を公開した。先に警告したDoS攻撃の脆弱性を修正したセキュリティリリースで、全ユーザーにアップグレードを呼びかけている。
Snort 2.9.1がリリース、プリプロセッサの改良やルールオプションの強化などが特徴
Snort開発チームは8月23日、「Snort 2.9.1」を公開した。オープンソースのネットワーク侵入防御/検出システム(IDS/IPS)で、LinuxやWindowsなどで動作する。Snort 2.9系のマイナーアップデート版となり、プリプロセッサの改良やルールオプションの強化などが行われている。
Apache HTTP Serverの脆弱性を突く「Apache Killer」――パッチは48時間以内にリリース予定
Apache HTTP Serverの開発チームは8月24日、同Webサーバーの脆弱性を突くDDoS攻撃ツール「Apache Killer」が出回っていると警告した。該当するApacheは1.3系および2系の全バージョン。パッチ発行までユーザーはおのおので対応を講じるよう呼びかけている。
PHP開発チームが「PHP 5.3.7」の重大なバグを報告、「5.3.8を待つように」
PHP開発チームは8月22日、4日前に公開した最新版「PHP 5.3.7」で重大なバグを報告した。バージョン5.3.8公開までアップグレードを控えるよう警告している。5.3.8は、数日以内にリリースするとしている。
侵入テスト向けのLinuxディストリビューション「BackTrack 5」の最新アップデート版「R1」が公開
ペネトレーション用Linuxディストリビューション「BackTrack」の開発チームは8月18日、「BackTrack 5 Release 1(R1)」を公開した。32ビットおよび64ビット向けのISOイメージ(KDEまたはGNOME)とVMware用イメージを用意、Backtrack-Linux.orgのWebサイトよりダウンロードできる。
多数のパスワードを安全に管理できるツール「KeePass Password Safe」
Webサービスへ登録するたびに増え続けるパスワードを、皆さんはどのように管理しておられるだろうか? 長くて複雑なパスワードをサービスごとに使い分けるのが理想と分かっていても、実際には「password」「1234」などの簡単なパスワードを使い回していたり、付箋紙やテキストファイルにメモしていたりしないだろうか。「KeePass Password Safe」(以下KeePass)を利用すれば、このようなパスワード管理の煩わしさから逃れられる。
オープンソースのフォレンジックツール「Volatility 2.0」登場
オープンソースのフォレンジックツール「Volatility」の開発チームは8月3日、「Volatility 2.0」をリリースした。プロジェクトに出資している米Volatile SystemsのWebサイトよりダウンロードできる。ライセンスはGPL。
WordPressの脆弱性スキャンツールを開発する「WPScan」プロジェクトがスタート
オープンソースのブログソフト「WordPress」の脆弱性をスキャンするツールを開発するプロジェクト「WordPress Security Scanner(WPScan)」が立ち上がった。ブラックボックスアプローチを利用して脆弱性をチェックできるツールを目指す。