パスワードを忘れた? アカウント作成

過去のタレコミ一覧:
保留 0件、 却下 2件、 掲載 23件、合計:25件、 92.00%の掲載率
13712837 submission
日記

OpenSSL 1.1.1

タレコミ by iida
iida 曰く、

OpenSSLの1.1.1版が正式リリースされた(2018-09-11)。OpenSSLのブログによると、1.1.0からの差分で200人を超える貢献者らが約5,000回のコミットをしたもよう。
新しい特長は第一に、先月刊行されたTLS 1.3 (RFC 8446) のサポートだ。次に乱数生成子の改善。またSHA-3やEdDSA (TLS1.3でも使われる) など新しいアルゴリズムのサポートもある。
なにはともあれ関係各位の努力とご苦労に敬意を表したい。

13194267 submission
日記

DNSのCAAリソース・レコード、使っていますか?

タレコミ by iida
iida 曰く、

英文WikipediaのDNS Certification Authority Authorizationの記事からResults on Ballot 187 - Make CAA Checking Mandatoryへのリンクが張られていた。
このリンク先はCA/Browserフォーラムの動議187号の採決結果で、この動議では、2017-09-08からTLS (SSL) サーバー証明書の発行に先立って、DNSのCAAリソース・レコードの確認が必須になるようだ。
皆さん、DNSのCAAリソース・レコード、使っていますか?

207155 submission
暗号

OpenSSL 1.0.0リリース 8

タレコミ by iida
iida 曰く、
本家でも先日ストーリーが立ったが、OpenSSL 1.0.0がリリースされた。

アナウンスによると、0.9.8nからの差分には
  • 既定の鍵対の形式がPKCS#8に変更
  • RFC4507サポート
  • ecdsa-with-SHA224/256/384/512のサポート
  • カメリア暗号が既定で有効に変更
  • MD2が既定で無効に変更

などを含んでいるようだ (多過ぎて、とても全部は書けない)。

「そのままではApache-SSLのコンパイルが通らない」、「Apache mod_sslのコンパイルを通すにはコツがいる」など、ツッコミたい点もいろいろあるのだが、初のβ版からほぼ1年、プロジェクト開始からほぼ11年かけた開発者たちに、まずは感謝とねぎらいの言葉を捧げたい。

25376 submission
Debian

Debianのopenssl パッケージに欠陥発覚 80

タレコミ by iida
iida 曰く、
Debian GNU/Linuxで、0.9.8c-1以降のopensslパッケージに 欠陥が発覚し、修正版パッケージがリリースされた。なお、オリジナルのOpenSSLにこの欠陥はない。

パッケージ再導入が必要なことは当然だが、欠陥を内包したopensslコマンドで生成した鍵は廃棄し、再生成すべきである点が重要。Debianのページによれば

影響を受ける鍵は、SSH鍵、OpenVPN鍵、DNSSEC鍵、X.509証明書を生成するのに使われる鍵データ、および SSL/TLSコネクションに使うセッション鍵です。GnuPGやGnuTLSで生成した鍵は影響を受けません。


とのこと。DebianやUbuntuなどの管理者、利用者は要注意だ。
22749 submission
暗号

OpenSSHリリース相次ぐ 20

タレコミ by iida
iida 曰く、
つい先月末に4.7から4.8を飛ばして、いきなり4.9に上がったばかりのOpenSSHだが、4月4日、こんどは5.0をリリースした。
4.7から比べると、脆弱性CVE-2008-1483への対応(5.0)や、~/.ssh/rcの実行の既定値の振舞の改善(4.9)など、セキュリティー面での向上がある。
5.0のリリース・メモによると、バグ報告がうまく上がらず、短期で相次ぐリリースとなったらしい。
21345 submission
ソフトウェア

書庫形式ソフトに脆弱性、bzip2など相次ぎリリース 34

タレコミ by iida
iida 曰く、
フィンランドのOulu University Secure Programming Groupが、各種アーカイブ用形式のファイルを扱うソフトウェアに脆弱性を発見、公表した。 ここで、「各種アーカイブ用形式のファイルを扱うソフトウェア」とは、いわゆるアーカイバのほか、アンチ・ウイルス・ソフトウェア、状態を維持するタイプのファイアー・ウォール、バックアップ、オフィス・プログラム、基本ソフトやライブラリーなども含む。

7-Zipbzip2DebianF-SecureFreeBSDGentoo、RARLAB、SUSEなどが、新版をリリースしたり、アドバイザリー情報を公表したりしている。
18419 submission
apache

Apache 2.2.8, 2.0.63, 1.3.41 いっせいにリリース

タレコミ by iida
iida 曰く、
Apache HTTPサーバー2.2.82.0.631.3.41がいっせいにリリースされた。
脆弱性対応だけで、CVE-2007-6422 (2.2.8のみ)、CVE-2007-6421 (2.2.8のみ)、CVE-2007-6388CVE-2007-5000CVE-2007-3847 (WindowsとNetWareの1.3.41のみ) への対応が含まれているそうだ。
タレコみ時点では (1.3.41の) mod_sslやApache-SSLのリリースはまだのようだ。

なお、1つ前の版――2.2.7、2.0.62、1.3.40――は、リリースされなかった。
752514 submission
暗号

GnuPG生誕十年

タレコミ by iida
iida 曰く、
昨日、GnuPG生誕十年を記念し、1.4.8版、2.0.8版がいっせいにリリースされた。
1.4.8版は、新しいOpenPGP規格 (RFC 4880) に対応し、許諾がGPLv3に変更された。
2.0.8版は、地味な欠陥の訂正のほか、Windowsにも対応するようになった。大胆な変更はなさそう。
753421 submission
apache

Apacheいっせいにリリース

タレコミ by iida
iida 曰く、
Apache HTTPサーバー群 ――2.2.62.0.611.3.39―― がいっせいにリリースされた。 セキュリティー・フィクスが中心で、 CVE-2006-5752CVE-2007-3304への対応をはじめ、 2.x系列では (リリース・メモでは2006-1862だが) CVE-2007-1862CVE-2007-1863CVE-2007-3847などへの対応も含まれているそうだ。

mime.typesファイルが大幅に更新されたのと、 マニュアルの切れたリンク (バグ・レポートも出してみるもんだ) の訂正が、 個人的にはうれしい。 タレコミ時点ではmod_ssl、Apache-SSLともに対応版は未リリースのようだ。
756668 submission
apache

Tomcat 6.0 登場

タレコミ by iida
iida 曰く、
Apache Tomcat 6.0.1が、ひっそりと、ダウンロード可能になっていた。

リリースの正式なアナウンスはまだのようだが、公式ウェブ・ページには、もう
「Tomcat 6.0」のドキュメント
「Tomcat 6.x」のダウンロード
へのリンクがある (一部ウェブ・ページでは、6.0.1-alphaと表記の箇所もあり)。

Java Servlet 2.5仕様などに対応、ということか。
typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...