WindowsやLinuxで実行できる脆弱性スキャナ「Nessus」を試す
管理しているサーバーなどに脆弱性がないかを調べるツールを「脆弱性スキャナ」と呼ぶ。脆弱性スキャナにはさまざまなものがあるが、古くからよく知られているものの1つに「Nessus」がある。今回はこのNessusを使った脆弱性の調査について紹介する。
管理しているサーバーなどに脆弱性がないかを調べるツールを「脆弱性スキャナ」と呼ぶ。脆弱性スキャナにはさまざまなものがあるが、古くからよく知られているものの1つに「Nessus」がある。今回はこのNessusを使った脆弱性の調査について紹介する。
昨今ではソフトウェアに脆弱性が発見されることは珍しくない。そのため、既知の脆弱性についていかに迅速に対処を行うかが重要となっている。本記事では既知の脆弱性を発見するためのツールである脆弱性スキャナ「OpenVAS」を使ったサーバーのセキュリティチェック方法について解説する。
カナダInverseのPacketFence開発チームは5月8日、オープンソースのネットワークアクセス制御システム「PacketFence 4.0」を公開した。Web管理画面の刷新といった変更が加わっている。
The FreeBSD Foundationは4月15日、米Googleと共同でUNIX系OS向けのセキュリティフレームワーク「Capsicum Framework Project」の開発に出資することを発表した。CapsicumはFreeBSDに搭載されているセキュリティフレームワークで、資金を受けて機能開発を進める。
サーバーの基本的なセキュリティ対策の1つとして重要なのが、ネットワーク内のどのマシンがどのポートでサービスを提供しているのかを把握することだ。このために有用なのが、ポートスキャナと呼ばれるツールだ。本記事ではポートスキャナとして有名な「Nmap」というソフトウェアを使用し、ポートスキャンを行う方法について解説する。
Open Information Security Foudation(OISF)開発チームは12月13日、オープンソースの侵入検知/侵入防止エンジン「Suricata 1.4」のリリースを発表した。UNIXソケットサポートやIPレピュテーションサポート、Luaスクリプトによるパケット分析サポートなどが特徴となる。
コードサイニング証明書(コード署名証明書)は、ベリサインなどの認証局(CA)から提供される証明書で、これを利用してソフトウェアなどのファイルに署名することでファイルの配布元を保証するとともに、ファイルの内容が改ざんされていないことを担保できる。この技術は10年以上前から利用されているが、マルウェア/アドウェアを仕込まれたコピー配布サイトの増加やWindowsにおける検証利用範囲の拡大などにより、近年では必要とされる場面が広がってきている。改めてコードサイニング証明書の現状を整理し、正確に把握していこう。
FreeBSD Projectは11月17日、同プロジェクトの管理下にあるマシン2台が不正侵入を受けていたこと発表した。エンドユーザーが危険な状態になるような改変はこれまでのところ確認しておらず、実際に影響が出たという情報も確認していないとのことだが、詳細を読んで対応を決定するよう奨励している。
米Oracleは8月30日、Java SE Runtime Environment 7の脆弱性を修正した最新版「Java 7 Update 7」および「Java 6 Update 35」を公開した。ゼロディ攻撃が確認されている深刻な脆弱性へのパッチを含んでおり、Oracleは早急にアップデートするよう呼びかけている。
The PostgreSQL Global Development Groupは8月17日、PostgreSQL 9.1系および9.0系、8.4系、8.3系の新版をリリースした。libxml2およびlibxsltに含まれるセキュリティホールを修正したもので、既存ユーザーにはできるだけ早くのアップデートが推奨されている。