セキュリティブログ

05/29/2019に予告通り、OpenSSLのバグフィックスバージョン(OpenSSL 1.1.1c, 1.1.0k, 1.0.2s)がリリースされました。こちらは、以前に紹介したOpenSSLの脆弱性情報(Low: CVE-2019-1543)の修正版になります。念の為、情報として上げておきます。

10/15/2019に、弊社ブログで【sudoの脆弱性情報(Important: CVE-2019-14287)と新バージョン(1.8.28)】。という記事を公開しました。 こちらに関する詳細な情報（ソースコードを追いかけていって、何故「ALL」が含まれる時だけ発生するのかの発生条件を明らかにした記事）をatmarkITに書きましたのでこちらで紹介します。

やや古くなってしまいましたが、2019年の6月にCVSS 3.1がリリースされました。既に脆弱性情報(CVE)に紐付いて、Red Hat等からはCVSS 3.1での情報も出てきていますので、こちらでCVSS v3.1 UserGuideの拙訳を行いたいと思います。用語に関しては、共通脆弱性評価システムCVSS v3概説 (IPA)も参考にさせていただいてます。

2019年8月21日～8月23日まで、『Open Source Summit North America 2019』が、アメリカのサンディエゴで開かれました。それに先立ち、同会場で8月19日～8月21日で、「Linux Security Summit 2019」が開かれました。AMD SME/SEV/SEV-ES, TrenchBoot, KRSI, libseccomp等の話が中心となります。 この「Linux Security Summit 2019」は、主にLinuxのカーネル周りのセキュリティについて、新しい機構の提案や既存の機構のアップデート情報を発表し、会場に集まっている専門家達と情報交換や意見をもらう場となっています。今までは2日間の開催でしたが、今年(2019)は3日間の開催となり、内容が濃いものが沢山集まっています。 今回、筆者もこのLinux Security Summit 2019に参加してきましたので、最新のLinuxのセキュリティ機構を紹介する一環として、それぞれのセッションの簡単なダイジェストをレポートとして紹介したいと思います。

前回に引き続き、Linux Security Summit 2019の二日目の様子を、簡単なダイジェストで紹介したいと思います。今回はSELinuxの話やfapolicyd等を紹介します。

第一回、第二回に引き続き、Linux Security Summit 2019の三日目の様子を、簡単なダイジェストで紹介したいと思います。今回はKSPPやSECCOMP、syzkaller/syzbot、LSMのアップデート(SELinux, AppArmor, SMACK等)を紹介します。

諸般の事情により、遅くなってしまいましたが、Linux Security Summit 2019のレポートを３回に分けてお送りします。SELinuxやAppArmorなどのLSMの話から、BPF/libseccomp/KSPP等の話、syzkaller/syzbot等の話、fapolicydやKSRIのような新しい話、またTPMやIMA等のプロセッサ系が絡む話し等、盛りだくさんの内容を聞くことが出来ました。

やや古くなってしまいましたが、2019年の6月にCVSS 3.1がリリースされました。既に脆弱性情報(CVE)に紐付いて、Red Hat等からはCVSS 3.1での情報も出てきていますので、こちらでCVSS v3.1 UserGuideの拙訳を行いたいと思います。用語に関しては、共通脆弱性評価システムCVSS v3概説 (IPA)も参考にさせていただいてます。

やや古くなってしまいましたが、2019年の6月にCVSS 3.1がリリースされました。既に脆弱性情報(CVE)に紐付いて、Red Hat等からはCVSS 3.1での情報も出てきていますので、こちらでCVSS v3.1 Specificationの拙訳を行いたいと思います。用語に関しては、共通脆弱性評価システムCVSS v3概説 (IPA)も参考にさせていただいてます。

理由があって、管理しているサイトへの脆弱性スキャンを自動化しようと試みていた所、OWASP ZapがGithub Actionsから実行できるという情報を得ました。今回は、このGithub Actionsを使ったOWASP Zap Baseline スキャンの説明を備忘録がてら説明したいと思います。説明不足の部分が有りますが、逐次加筆・修正します。