2014年10月28日火曜日

サイオス OSSポータルサイトのご案内

こんにちは、サイオステクノロジー 村田です。

日頃よりSIOS "OSSよろず"ブログ出張所をご利用頂きましてありがとうございます。
この度、サイオステクノロジーはビジネスに活用できるオープンソース・ソフトウェア(OSS)およびBigDataの情報ポータルサイトを公開しました。

サイオスならではの、商用OSSディストリビューションの情報から、OSSやBigDataの技術情報が集まる、ビジネスに活用できる情報発信を目的にしたサイトとなります。

ぜひ、新しいサイオス OSSポータルサイトをよろしくお願いします。

サイオス OSSポータルサイトでは下記のメニューを提供していきます。今後の更新をご期待ください。

  • Red Hat Ch.
  • Oracle Ch.
  • SUSE Ch.
  • EnterpriseDB Ch.
  • OSSよろず契約者 Ch.
  • よろずブログ
  • ビッグデータ ブログ
  • ゲストブログ
  • OSS Now!- AKAI's Insight- OSSトレンド情報
  • みみより情報(オープンソース関連のイベント情報、勉強会情報、ベンダーからの情報などをまとめています)

よろずブログはこちらよりご覧ください。

※本ブログサイトの新規記事も今後はサイオス OSSポータルサイトにて公開されます。過去記事は今後も残りますので合わせてご活用ください。

2014年10月22日水曜日

PostgreSQL 9.4 新機能の概要(1)

PostgreSQL9.4のリリースは秋頃ということですので、近いうちにリリースがされることが予想されます。既にリリースされているBeta版からPostgreSQL 9.4に予定されている主な新機能を二回に分て一通り紹介します。

ベータ版、開発版の情報を元に記事を作成しています。リリース版では差異がある可能性があります。予めご了承ください。

PostgreSQL 9.4新機能の一覧

重要な機能追加

- レプリケーションスロット:レプリケーション元にレプリケートした位置を保存する機能
- 論理デコーディング: レプリケーションデータを論理的な値として扱う機能
- JSONB型の追加:JSONデータをハッシュとして取り扱うデータ型

2014年10月15日水曜日

WAF要らずのSQLインジェクション対策

今回は注目される脆弱性問題に関連して、SQLインジェクション対策をご案内いたします。

Webアプリケーションの脅威としてSQLインジェクションがあります。SQLインジェクションが可能な場合、データベースを操作される以上の脅威も発生します。WAFとはWeb Application Firewallです。Webアプリケーションの脆弱性を緩和させる目的に利用します。SQLインジェクションの緩和策としても利用されています。

■ SQLインジェクションで可能な攻撃

WebアプリケーションにSQLインジェクションが在ることで可能な攻撃は、データの窃盗・改ざんのみではありません。例えば、オープンソースのSQLインジェクションツールは以下の機能をサポートしています。

- データベースベースの検出: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB
- 攻撃技術: boolean-based blind, time-based blind, error-based, UNION query, stacked queries, out-of-band
- DB情報の列挙: users, password hashes, privileges, roles, databases, tables, columns
- ハッシュ化されたパスワードの辞書攻撃
- データベースダンプ
- ファイルのアップロード/ダウンロード
- 任意コマンドの実行と標準出力の取得
- データベースサーバーとTCP接続の確立(VNCなどを利用可能)
- データベース権限エスカレーション脆弱性の攻撃
http://sqlmap.org/

2014年10月8日水曜日

Red Hat Forum 2014のご案内

こんにちは、村田です。

本日は開催目前のRed Hat Forum 2014についてご案内します。

開催日:2014年10月10日(金)

会場:ウェスティンホテル東京
〒153-8580 東京都目黒区三田1−4−1 恵比寿ガーデンプレイス内

登録および当日のプログラムはこちらから

2014年10月1日水曜日

ShellShock(CVE-2014-6271)の各ディストリビューションの対応状況について

こんにちは、村田です。

本日は2014年9月24日に発見された脆弱性問題のShellShock(CVE-2014-6271)について、発見から1周間が経ち各ディストリビューションの対応状況も出揃いましたので、まとめてみました。

実際に同脆弱性をついた攻撃は始まっており、代表例ではCGIを利用するWebサーバなどは環境変数に悪意のあるコードを埋め込むことでサーバー上の情報を抜き取られる可能性やが乗っ取られる可能性がありますので注意が必要です。

また、Linuxサーバーだけではなく Linux/Unix をベースにしたネットワーク機器も同脆弱性の対象となる可能性があります。例えばネットワークルーターなどもWebベースの設定画面などをCGIなどで組むケースがあり、外部からアクセス可能な状況であれば脆弱性を突かれる可能性があります。

個人情報、重要データの漏洩やサイト改ざんという最悪な自体も想定されるため、外部からアクセス可能なネットワーク機器やサーバーなどは一度すべてチェック頂くと良いでしょう。