工学

OpenSSH と XZ/liblzma: 国家による攻撃を阻止した、私たちは何を学びましたか?

Docker の CTO である Justin Cormack 氏は、OpenSSH サーバーのサブセットを標的とした xz のアップストリーム tarball の悪意のあるコードから何が学べるかについて考察しています。 「この脆弱性を検知するツールがないため、私たちがここにいたことがどれほど幸運だったかは、いくら強調してもし過ぎることはありません。」

Docker セキュリティアドバイザリ: runc、BuildKit、Moby の複数の脆弱性

runc、BuildKit、Moby の複数の脆弱性に関する Docker セキュリティアドバイザリ: これらの脆弱性に対処するために、runc、BuildKit、Moby のパッチ適用済みバージョンを 1 月 31 日に公開し、2 月 1 日に Docker Desktop のアップデートをリリースします。 さらに、最新のMobyとBuildKitのリリースには、独立した研究者とDockerの内部調査イニシアチブによってそれぞれ発見されたCVE-2024-23650 とCVE-2024-24557の修正が含まれます。

ドッカー・ハブOCIアーティファクト・サポートの発表

Docker Hub があらゆる種類のアプリケーション アーティファクトの配布に役立つようになったことをお知らせします。 複数のレジストリを活用することなく、すべてを 1 か所に保持できるようになりました。 今日までは、Docker Hubを使用して保存および配布することしかできませんでした...

セキュリティ アドバイザリ: 重要度の高い OpenSSL の脆弱性

更新:OpenSSLプロジェクトは、CVE-2022-3602とCVE-2022-3786の2つの重大度の高い脆弱性を公式に開示しました。 これらの CVE は、3.0 以降のすべての OpenSSL バージョンに影響します。 唯一の例外はバージョン3.0.7です。 これらの最新の脆弱性に対する修正が含まれています。 以前は、これらのCVEは「重大」であると考えられていました。 詳しくはこちらをご覧ください。