米バイデン政権は13日、昨年末にApache Log4j 2で見つかった深刻な脆弱性問題を受け、大手IT企業に加えてGitHubなどオープンソースソフトウェア（OSS）組織のトップを招いてセキュリティ会議を開催したという（ITmedia、ZDNet、Engadget）。

企業から参加したのはAkamai、Amazon、Apache Software Foundation、Apple、Cloudflare、Meta（旧Facebook）、GitHub、Google、IBM、Linux Foundation、Open Source Security Foundation、Microsoft、Oracle、RedHat、VMWareの各社。米政府側からも、科学技術政策局や国防総省、商務省、エネルギー省、国土安全保障省、CISA、国立標準技術研究所、国立科学財団などが参加した。

会議では国の安全保障システムにも多くのOSSコードが採用されているが、そうした重要なコードのセキュリティを維持する共通の仕組みは存在していない。IT業界と政府が協力して、道路や橋といった社会インフラのように重要なOSSプロジェクトを支援すべきであり、セキュリティ会議ではそうした作業を行う方法に関する意見共有が図られたとしている。

あるAnonymous Coward 曰く、

中国の政府系メディアが報じたところによると、中国の規制当局は22日、EC大手アリババ・グループのクラウドサービス子会社「阿里雲（アリババ・クラウド・コンピューティング）」との情報共有パートナーシップを停止したという（ロイター、GIGAZINE、WSJ）。

注目すべきはその理由で、「同社が発見したlog4jの脆弱性をApache Software Foundationに報告した一方、すぐに政府に報告しなかったため」だという。中国の法律では、企業は発見から48時間以内に政府に新しい脆弱性を報告する必要があるとのことで、確かに法律違反ではあるようなのだが、IT業界ではOSSの脆弱性はまず開発元に連絡して対策、というのが当然と思われるので、これは違和感を覚える話である。

Apache Log4j 2における深刻な脆弱性「Log4Shell（CVE-2021-44228）」の問題が世間を騒がせている。米Microsoftやセキュリティ企業のCheck Point Softwareなどの発表によると、この脆弱性が中国、イラン、北朝鮮、トルコなどの集団により悪用されているという。中国を拠点とする攻撃者集団「HAFNIUM」などがこの脆弱性を利用して仮想化インフラを攻撃しているととされる。12月10日以降、Log4Shellを用いたサイバー攻撃が72時間ほどで急増中とされ、1分間に100回以上の攻撃が検知された場面もあったとしている（GIGAZINE、ZDNet、ITmedia）。

またさらに新たな脆弱性「CVE-2021-45046」に関しても発覚が報告されている。Log4jを提供するApacheソフトウェア財団（ASF）によれば、CVE-2021-44228に対処するための修正パッチが不完全であったことから、DoS攻撃を引き起こす可能性があるとしてLog4jをバージョン2.16.0以降にアップデートするように呼びかけている（GIGAZINE）。

米国土安全保障省（DHS）傘下のサイバーセキュリティインフラストラクチャ安全保障局（CISA）は14日、連邦政府機関に対し、この脆弱性の影響を受けるシステムに対し、12月24日までにパッチを適用するよう指示したとされる（CISA、ITmedia）。またこの問題に関しては国内メディアでも多く取り上げられるようになってきた（JPCERT/CC、NHK、日経新聞）。

しかし問題に気付かない組織がこれからもいると見られ、今回の脆弱性をきっかれにした問題は広範囲かつ長期にわたる問題になるとの指摘も出ている（WIRED）。なおこの脆弱性がリモートから任意のコードを実行可能になることから、それでパッチも当てられるのではと考え、必要なものをワクチンとして開発した企業が出てきているという。セキュリティベンダーCybereason社が作成したもので、プロジェクトの名前は「Logout4Shell」。ソースコードは「GitHub」でホストずみ。ただしいろんな意味で問題があることから、Cybereason社も、このコードを使った結果には「一切の責任を負わない」としているとのこと（Logout4Shell、窓の杜）。

Apache Log4j 2 でリモートコード実行の非常に深刻な脆弱性 (CVE-2021-44228) が見つかり、修正版の Log4j 2.15.0 が公開された (Apache Log4j Security Vulnerabilities、 The Register の記事、 LunaSec のブログ記事、 The Verge の記事)。

この脆弱性はLog4j 2 の JNDI 機能が攻撃者にコントロールされた LDAP やその他の JNDI 関連エンドポイントに対する保護を行わないというもので、Log4j 2.0-beta9 から 2.14.1 までのバージョンが影響を受ける。攻撃者は脆弱性のある Log4j 2 に特定の文字列をログとして記録させることで、LDAP サーバーから任意のコードを読み込んで実行させることが可能だ。この脆弱性を使用するエクスプロイトが既に公開されており、「Log4Shell」などと呼ばれている。

これについて あるAnonymous Coward 曰く、

Java のログ出力ライブラリ「Apache Log4j」にリモートコード実行 (RCE) の脆弱性が存在することが明らかになった。

この脆弱性を悪用するために特別な設定は不要で、「Apache Struts 2」、「Apache Solr」、「Apache Druid」、「Apache Flink」などが影響を受けるとのこと (窓の杜の記事)。

プログラムで Java を導入しているところは Log4j も入っているものと考えると影響は広範囲に及ぶものと見られ、GitHub では Apple、Steam、Minecraft などでの実証した画像が公開されている。

リアルタイム検索・分析エンジン「Elasticsearch」の開発元であるElasticとAmazonとの対立が強まっている。背景にはAmazonがElasticsearchを含むAmazon Elasticsearch Service（Amazon ES）を勝手に商標登録したことがあるという。このためElasticは、2021年1月に同社の提供しているライセンスを変更するという対策を行った（Publickey、The Register、GIGAZINE）。

それまでElasticsearchは、OSSのApache License 2.0でリリースされていたが、ライセンス変更後はクラウドプロバイダーの使用を制限した「Server Side Public License (SSPL)」および「Elatic License」というデュアルライセンス制に移行したという。一方のAmazonはライセンスが変更される直前、Elasticsearch互換のサービスであるAmazon ESをフォークさせたことからElastic側はさらなる対抗策として、Amazon ESの接続を拒否する機能を新たに追加したとしている。これにより、Elasticsearchのクライアントライブラリを用いたアプリケーションではAmazon ESが使用できなくなったとのこと。

Googleが2月25日に発表した音声コーデック「Lyra」がオープンソース化された。Google Open Source Blog上で4月6日に発表された。Googleブログによると、開発者からできるだけ早くフィードバックを得たいことから、オープンソース化したとしている。ライセンス形式はApacheであるという（Google Open Source Blog、GitHub、GIGAZINE）。

Lyraは音声通話やビデオ通話向けに開発されたもので、高性能コーデックとして知られているOpusの下限値である6kbpsよりも低い3kbpsという超低ビットレートでも再生可能とされる。通信時の帯域幅を減らす効果が期待できるとしている（ASCII、GIGAZINEその2）。

headless 曰く、

Apache Software Foundation(ASF)は14日、OpenOfficeの20周年を記念するブログ記事を公開した(The Apache Software Foundation Blogの記事、 Phoronixの記事)。

OpenOfficeのベースとなったStarOfficeは1985年に誕生し、開発元のStarDivisionを買収したSun Microsystemsが2000年7月にオープンソース化を発表。www.OpenOffice.orgでソースコードが公開されたのは2000年10月13日、2002年にはOpenOffice.org 1.0がリリースされている。

2010年にはOracleがSun Microsystemsを買収し、2011年にOpenOffice,orgプロジェクトをASFへ寄贈した。OpenOffice.orgは「Apache OpenOffice」という名称に変更され、2012年に最初の正式版がリリースされている。

当初はOffice互換ソフトの先頭を走っていたApache OpenOfficeだが、2015年にはOpenOffice.orgをフォークしたLibreOfficeと比べて開発の遅れが目立ち始め、2016年にはプロジェクト終了を検討するに至る。その後プロジェクトは継続することになったものの、人手不足は続いているようだ。

あるAnonymous Coward 曰く、

セキュリティ研究者の報告によれば、ここ2週間ほどの間に、インターネット上に保護されずに公開されている脆弱なデータベースに対して、ほぼ全てのデータが削除された上に「Meow (ニャー)」という猫の鳴き声だけが書き残される「Meow Attack (ニャー攻撃)」が相次いでいるという（GIGAZINE、Slashdot）。

最初に発見されたのは香港のVPN業者UFO VPNのDBへの犯行で、研究者がDBがインターネット上に公開されている旨を企業とやり取りしていたところ、7月21日にDBのデータが削除され、「meow」の文字が残されているのを発見したという。ニャー攻撃はその後も拡大を続けており、27日現在までに、ElasticsearchやMongoDB、Apache Cassandraも含めて4000件以上が被害を受けたとのこと。

当然ながら、インターネット上に保護なく公開されたDBは以前から攻撃を受けているが、だいたいの場合はランサムウェアで身代金を要求されるか、単純に削除されるかとのことで、わざわざ「ニャー」とメッセージを残していく動機は不明。一方で手段については、スクリプトでProtonVPNを経由して行われているとの分析がされている。発見した研究者は「簡単に攻撃可能なほど無防備なので、面白半分でやっているのでしょう」と語っている。

情報元へのリンク

Anonymous Coward曰く、

JavaScriptで実装されたフロントエンドが主流でほとんど耳にする機会も少なくなった気がする統合開発環境（IDE）NetBeansだが、バージョン12 LTSがダウンロード可能になっている（OSDN Magazine、窓の杜）。

バージョン12からは長期サポート（LTS）が導入されたほか、JDKのバージョンによってエディタのコード入力補完の挙動が変わる、Java FX対応、Jakarta EEはまだ非対応、Gradle、Maven、PHP、JavaScript、HTML、C++をサポート、Look and FeelにFlatLAFを追加（Light、Dark、IntelliJ、Darcula）などなどわりと多め。

久々にダウンロードしてFlatLAFのIntelliJにしてみたら今風で実際、これが格好良いのだが、世の中Swingって今でも需要あるのかとも思う。実はタレこみ子の職場ではいまここって感じでSwingのGUIでちょこまかな業務用のちまちまアプリ作って使ってたりするんだが。

OpenOffice開発チームが5月17日付で「Apache OpenOffice needs your help」と題した助力を求めるブログ記事を公開している（窓の杜）。

Apache OpenOfficeについては以前開発が停滞していることが話題になったが、この問題は現在でも解決していないようだ。このブログ記事によると、ソフトウェアエンジニアやプログラマだけでなく、OpenOfficeを使って品質や翻訳に関する問題や不具合、バグレポートなどを報告したり、ドキュメントを作成する、といった作業での協力も歓迎しているという。

The Linux FoundationがLaboratory for Innovation Science at Harvardと共同で実施したフリー・オープンソースソフトウェア(FOSS)のセキュリティに関する調査報告書の暫定版「Preliminary Report and Census II of Open Source Software」を公開している(報告書: PDF、 The Registerの記事)。

The Linux Foundationは2014年、Heartbleed脆弱性の問題を受けてオープンソースプロジェクトを援助するCore Infrastructure Initiative(CII)を設立。2015年には調査プロジェクト(Census I)を実施して報告書を公開しており、今回のCensus IIはその第2弾となる。冒頭で「典型的なアプリケーションの80％～90%は(オープンソースの)コンポーネントでできている」というSonatypeによる2016年の報告書(PDF)からの引用を掲げている通り、セキュリティ上の問題点特定に活用するため、どのようなFOSSパッケージが幅広く使われているのかを特定することが主目的となっている。

報告書では付録として最も広く使われているFOSSパッケージ(JavaScript: 10、JavaScript以外: 10)がまとめられている。JavaScriptとそれ以外を分けたのは、使用したデータソースでJavaScriptが多くを占めており、どのようなランキングを作成しても使用したJavaScriptが上位を独占する状態になってしまうからだという。ただし、JavaScript以外のパッケージでも同じ問題があり、すべてがJavaのパッケージとなっている。

GoogleがAndroidにおいてJava APIと互換性のあるAPIを無断で提供していることについて、Javaを所有するOracleは同社の権利を侵害していると主張、裁判となっている（過去記事）。いっぽうで、OracleはAmazon Web ServicesのS3 APIと互換性のあるAPIを自社のクラウドサービスで提供している。これは著作権侵害ではないのか、との問題提起を行う記事がArs Technicaに掲載されている。

ここで指摘されているAPIは、Oracle CloudのAmazon S3 Compatibility APIというものだ。ドキュメントでもこのAPIがAmazon S3互換である旨が明示されている。

OracleとGoogleの裁判では、APIは著作権保護の対象になるという判断が下されている。そのため、同じように考えればOracleが他社が権利を持つAPIと互換性のあるものを無断で提供することは著作権侵害になる可能性がある。

これに対しOracleはS3 APIについて、Apache License 2.0で提供されているためこういった利用は問題ないと主張しているようだ。ただ、公開されているのはあくまでS3 APIを使用するためのSDKであり、S3 APIを提供するAWS側のコードがApache Licenseで公開されているわけではないことから、記事ではこの釈明について否定的だ。

Anonymous Coward曰く、

9月21日、満を持してApache OpenOffice 4.1.7がリリースされました（リリースノート）。バグフィックスが中心。

• Possible crash in Freetype code
• Crash in Writer when linking frames on OS/2
• Apache OpenOffice TM in Splash screen has different background

アナウンスには脆弱性の修正情報はありません。これを見て「更新しなきゃ」と思った方は、迷わずLibreOfficeへの移行を検討しましょう。

headless曰く、

Microsoftは16日、MSVCのC++標準ライブラリ（STL）のオープンソース化を発表した（C++ Team Blog、Phoronix）。

MSVCチームではオープンソース化の理由として、ユーザーが最新の変更を試すことが可能になり、レビューによるプルリクエストのレビューによる改善も期待できることを挙げている。またC++の標準化が加速する中、主要な機能をオープンソースとして受け入れることが重要だと考えているほか、逆にMSVCチームによる実装をオープンソースとして利用できるようにすることでC++コミュニティーに貢献したいとも考えているとのこと。

MSVCのSTLはGitHubでソースコードが公開されている。ライブラリ間でのコード共有を容易にするため、ライセンスにはlibc++と同じApache License v2.0 with LLVM Exceptionを選択したとのことだ。

あるAnonymous Coward曰く、

米国と中国の貿易摩擦が激しくなっているが、中国のソフトウェア開発者の一部でGitHubへのアクセスも米国の規制によって制限されるのではないかとの懸念が出ているという。

GitHubのルールの冒頭には、GitHub上にアップロードされた情報は、米国輸出管理規制（EAR）を含む米国輸出管理法の規制を受けると記載されている。これは、Huaweiへの制裁に使われたものとまったく同じものだ。

これに対しオープンソースソフトウェア開発を支援しているApache Software Foundation（ASF）は、オープンソースのコードを使ったソフトウェアに関してはEARの対象とならないとの公式発表を行った。にもかかわらず、一部のコミュニティのユーザーはまだ懸念を持っているようだ（abacus、Slashdot）。