vmGuardian 3.0.20141022リリース

vmGuardian3.0のマイナーバージョンアップ版のvmGuardian3.0.20141022がリリースされました。今回のアップデートの中には世界中で騒がれているbashの脆弱性であるShellshockとSSL3.0の脆弱性であるPOODLEに対応しています。

Shellshock
実際にはShellshockとはxxだ!と特定できている訳ではありません。現状では最近発見されているBashに含まれるバグを総称して Shellshockと呼ばれています。ですので、Shellshockに関する情報は「xxに対応したけれど修正が不足なのでxxにも対応した」と言うように日々、アップデートされています。大まかに言えばBashの環境変数の扱いに不備があって、任意のOSコマンドを実行できてしまうと言う問題から始まって、他にもbash内ではあっちも危ない、こっちも危ないとなっている訳です。
vmGuardianでは最新bashを使用する事で対応しました。もちろん、Shellshock関連の最新アップデートがあればvmGuardianも追従していきます。

POODLE
このPOODLEはブラウザーとWebサーバーとの通信を暗号化する仕組みのSSL3.0の脆弱性で、暗号化が解読されてしまう恐れがあります。解読されてしまうと通信中にcookieの中身を見られたり、アカウントが乗っ取られてしまう危険性があります。
そして今回の脆弱性はOSにパッチを適用して回避できるものではなく、対応策としてはSSL3.0の使用の停止になります。そもそもSSL自体が古い技術で、 ブラウザーもWebサーバーも新しい暗号化の仕組みがサポートされています。SSL3.0の使用を停止したからと言って、最近のブラウザーとWebサーバーとが今すぐに暗号化しての通信ができなくなる訳ではありません。
vmGuardianもブラウザーコンソールを利用するためにWebサーバーとしての機能を持っていますのでSSL3.0の使用を停止しました。SSL3.0停止後もvmGuardianがサポートするブラウザーではデフォルト設定のまま、ブラウザーコンソールを問題なくお使いいただけます。

vmGuardian3.0.20141022は他にいくつかのアップデートがあります。内容は公開しているvmGuardian3.0ヘルプ内のリリースノートをご覧ください。