マイクロソフトのTCP/IP脆弱性修正パッチ、XP用は提供されず 89
ストーリー by hylom
スルー 部門より
スルー 部門より
あるAnonymous Coward 曰く、
Windows XP SP2/3で発見されたTCP/IPの脆弱性について、これを解決するパッチは提供しないことをマイクロソフトが表明した。この脆弱制は特殊なパケットを大量に送信することでメモリを消費させ、システムの反応を停止させられるというもの(本家/.、ITmedia)。
このパッチは9月8日にVista、Windows Server 2003およびWindows Server 2008に向けて提供されたものである。今まで該当するパッチ提供システムリストからWindows 2000 SP4が除外されることはあったが、XPに提供されないというのは今回が初めてとのこと。
MSのセキュリティプログラムマネージャーAdrian Stone氏は「このコードは元をたどれば12~15年前に書かれたものであり、これに対してパッチを提供することは本質的に実現不可能」として両システムをパッチ提供リストから除外した理由を説明した。この脆弱性にはDoS攻撃に対する脆弱性が存在するが、デフォルトでは影響を受けないとのこと。また、DoS攻撃は攻撃用に仕組まれた特別なTCPパケットを大量に、そして持続的に送りつけないと成立しない。そして攻撃を受けたとしても攻撃が止まればシステムは復旧するため、深刻度は最も低い「注意」レベルと設定され、パッチ提供は見送られたそうだ。
Windows2000にもパッチ提供なし (スコア:2, 参考になる)
主文にリンクされているITMediaの記事にも書かれていますが、
当案件MS09-048 [microsoft.com]に関してはWindows2000へのパッチ提供も見送られています。
まあ閉じたネットワークにおける機械制御用ならともかく、
悪意あるパケットが送られてくるような環境に
Windows2000を未だに使っているのもどうかと思いますが…
そもそもそろそろ動く機械は新規に買えなくなってきているし。(VMware等による仮想環境を除く)
Re: (スコア:0)
Re:Windows2000にもパッチ提供なし (スコア:4, 参考になる)
Win2kSP4(素だと最近のHDDが駄目のはず)がまったく動かないPCはないと思うけど、ちゃんと動作するとはいえない。
Re: (スコア:0)
> Win2kSP4(素だと最近のHDDが駄目のはず)がまったく動かないPCはないと思うけど、ちゃんと動作するとはいえない。
README.txt位は確認しましょう。
現時点の最新ドライバー(190.62)でもWindows2000はサポートされています。
ダウンロードページのOS選択肢にWindows2000/9xは出てこないので、微妙に
嘘は言っていませんが。
>================================================================================
>NVIDIA Display Driver for Windows 2000/XP
VGA!=Chipset was:Windows2000にもパッチ提供なし (スコア:1)
nvidiaつったらGeForceってイメージなのかもしれませけど、nForceってチップセットも作ってます。
GPUドライバはありますが、チップセットドライバが駄目だったりするのですよ。
まぁ、PCI-Eなんて無かった世代のOSですし、95が(2.5除いて)USBやAGPで滅んだような物と思えば・・・
# 一応nForce6系統までは公式サポートしてます。
Re:VGA!=Chipset was:Windows2000にもパッチ提供なし (スコア:1)
?
単純に最新のM/BでWin2000が完璧に動かない可能性を例示しただけですので誤解も何も。
ライフサイクルと基本構造の差が違ったのが決定打となって、
WinMeの方が後に出た筈なのにとっくの昔に動かなくなったなぁ・・・
# nForce4 M/Bを持ってるがマトモに動かすことが出来ずorz
Re:VGA!=Chipset was:Windows2000にもパッチ提供なし (スコア:1)
まぎわらしくてすいません。Win2kでnForce4はちゃんと動作します。(ただしRAIDはSP依存あり)
ただ、Win9xドライバがあるんでしょうか?
出来れば詳細を。
Re:VGA!=Chipset was:Windows2000にもパッチ提供なし (スコア:1)
返答が遅れて申し訳ございません。
ありがとうございます。
やはり9x系が動作する環境を新規に用意するのは最早難しいのですね・・・
Re: (スコア:0)
私はそんな古いハードは捨てちゃうので検証できませんけどね
MS叩きに終始するのも何なので (スコア:2, 興味深い)
FreeBSDの例。FreeBSD-SA-03:05 [freebsd.org]は、3.x系への対応が見送られている。ちなみに3.0のリリースは1998年10月、3.x系の最終リリースとなった3.5は2000年6月公開。
まぁ、FreeBSDの公式なセキュリティサポートは「最終リリースの公開後2年」ということになっているので、ポリシーに反しているわけじゃないけど。
# この影響でmisc/compat3xが使用禁止になっているのはちょっと困る。
#(これが無いとWXG for FreeBSDが動かねーんだよ)
それでもあえてMS叩きを続けるとすれば (スコア:1)
FreeBSDのようなオープンソースなプロジェクトの場合、ユーザが自分でパッチを書くことも可能です。
しかしプロプライエタリなWindowsの場合、それができません。
1を聞いて0を知れ!
Re:それでもあえてMS叩きを続けるとすれば (スコア:1)
少なくとも、私には顧客の機器のためにネットワークドライバー周りを 作成した実績があるので、嘘といえる。
新規作成バイナリを修正パッチと呼ぶのは言葉の使い方として
嘘と言えるのではないだろうか?
Re:それでもあえてMS叩きを続けるとすれば (スコア:1)
顧客視点から見たら要求仕様が満たされるなら別に構わない気が。
該当機能が引き続き使えるか否かの互換性面と直ったか否かでコードの変更行数とかはあまり気にしてないかと。
「脆弱性が見つかって、該当モジュール再設計&フルスクラッチしました。」がより大規模になった感じですかね。
Re:それでもあえてMS叩きを続けるとすれば (スコア:1)
顧客満足が論点ではないのですよ。
Re:それでもあえてMS叩きを続けるとすれば (スコア:1)
そうなのですか。
ではなんと呼ぶべきだったのでしょうか。
ではパッチと呼ばれなくなる境界線は何処なんでしょうか。
ステップ数?
ファンクション?
モジュール?
どんな定義なのか気になりました。
# MS系だとパッチって言ったら毎回バイナリまるっと提供だったり、レジストリ変更だけとかだったりする訳ですが。
Re:それでもあえてMS叩きを続けるとすれば (スコア:1)
「パッチ」の厳密な定義などどうでも良い
それは、厳密に定義されると自分の意見にとって都合が悪いから
なのではないですか?
Re: (スコア:0)
それでもユーザーがたくさん居ればパッチが出たりするMSって例外的ということですよね。
BSDとかLinuxだとパッケージレベルでメジャーバージョンアップしちゃったりしてて、かつ開発コミュニティが旧バージョンにはパッチをバックポートしませんとかなったりするとサポートはてんやわんやでアレで、結局つかわないでってなったり...
# 問題のブツはNT4.0くらいからあったんだろうか...
パッチ不可能 (スコア:1)
12~15年前に書かれたものであり、これに対してパッチを提供することは本質的に実現不可能
深刻度は最も低い「注意」レベルと設定され、パッチ提供は見送られた
つまり、今後 Windows XP の TCP/IP に深刻な脆弱性が発見されても、対処は不可能な場合がある訳でしょうか。
Re:パッチ不可能 (スコア:2, すばらしい洞察)
Microsoftの言い分をそのまま鵜呑みにするなんて今どき天然記念物並みの純朴さですね。「対処は不可能」は「対処したくない」と読むのですよ。
今後このような放置が徐々に増えていって、サポート切れ1年くらい前には今のWindows 2000のような状況になるわけです。
Re:パッチ不可能 (スコア:2)
「対処は不可能」=「対処したくない」は、Microsoftに限らず、ほとんどの開発者にも言えますよね。
心当たりがたくさんあって困ります。。。
Re: (スコア:0)
>Microsoftに限らず、ほとんどの開発者にも言えます
比較するときは単位を揃えようよ。
組織しかもデファクトOSを送り出す世界有数の大会社と
一開発者の思惑がどうして比較対象になるの?
心情は解るって話と企業の責任とは別の話。
理解できる職種が限定されるのに一般化してるし。
Windowsの一般ユーザが影響を受ける不具合指摘をすると、
Linuxのサーバ用途のアレコレを持ち出す人とかもうね。
Macを持ち出せば市場的には近いけどシェアから見れば
90年代初頭と違って全然影響力が及ばなかったりするから
これも時代錯誤感が漂ってしまう。
メンテナンスせざるを得ない古い資産をどうするかと
Re:パッチ不可能 (スコア:1)
Windows XP も「既に対処しない期間」になっているし。
と、ここまで自分の考察。
まぁ、1641743も分からなくもないけれど。
設計が古いというのが根本にあるようだね。
セキュリティは深く理解できていない分野なんだけれど、IP 接続が可能な全ての機器は (今回対処された 1 つで) CVE-2008-4609 の問題を抱えてたりするのかな…? 抱えていないという可能性は 0 ではなさそうな様子。
CVE-2008-4609 の対処は TCP/IP そのものの仕様を変えないといけない様子だし。
Re: (スコア:0)
サーバではなくてクライアントとして使う分には影響をまず受けないですよ。
むしろ頭が痛いのはサーバやってるxSP屋さんの方でしょうね。
下手すると全サーバのパッチ当てやらカーネルを再構築するハメになりますから。
規模によってはパッチ当てを放棄してIDPを入れてしまうという解もありかもしれない。
Re:パッチ不可能 (スコア:1, すばらしい洞察)
Re: (スコア:0)
それだけの話でしょう。
だいたい、DoS攻撃がクライアントに仕掛けられたら脆弱性以前にハングしませんかね?
Re:パッチ不可能 (スコア:2, 興味深い)
結果「ハング」はしませんでした。
タレこみ文にあるとおり、「攻撃を受けたとしても攻撃が止まれば(5秒くらいで)システムは復旧」します。
コレの事? (スコア:1, 興味深い)
XPに限らず、
> レッドハットにおきましては、この問題に対する修正パッチリリースの予定はございません。
とありますが、別物ですかね?
Re:コレの事? (スコア:1)
Firewallで防げるからpatchは作らない運用設定でカーバーしてください
という感じで各社対応してるように見えますな。
MS06-015という前例 (スコア:1)
MS06-015 [microsoft.com]でも今回と同じような対応がとられたのを思い出しました。(対象は当時サポート終了間際だったWin98/98SE/Me)
今回の脆弱性はこれに比べればずっとおとなしいものですが、こういうこともありうる、というのを頭の片隅に入れて多層防御を考えておく必要があるのかもしれません。
#諦めないにしてもベンダがパッチ作成に手間取る可能性だってあるし
素直になれよ (スコア:1, オフトピック)
零細ソフト屋レベルだと思われたくないのだろうが
NTの頃の開発者が辞めちゃって居ないから解らないと言えばいいのに
技術力の限界 (スコア:0)
> 12~15年前に書かれたものであり、これに対してパッチを提供することは本質的に実現不可能
マイクロソフトは、自社製品であっても12~15年たつと保守もできないということですね?
できるけど有料です (スコア:1)
Re: (スコア:0)
それ以上は有料でもやらないと聞いています。
Re:技術力の限界 (スコア:1)
> 12~15年前
というと、Windows 95/98の頃まで遡りますね。
それをXPまで流用していたのでしょうか。
そして「Vistaはコードを大幅に書き直した [computerworld.jp]」
ので、いろんな意味で問題ない・・・とか?
匠気だけでは商機なく、正気なだけでは勝機なし。
Re:技術力の限界 (スコア:2)
こういう裏方コードはNT4.0あたりじゃないかなぁ。
Re:技術力の限界 (スコア:1, すばらしい洞察)
>マイクロソフトは、自社製品であっても12~15年たつと保守もできないということですね?
Microsoftに限らず「パッチ提供は本質的に実現不可能」というのは十分ありえる話だと思いますが.「対処するための修正量を考えると,もはやパッチというレベルではない」とか,特にOSの場合は「対処すると互換性が失われることが明らかなので,単なるパッチという形で提供するのは不適切」とかです.
というか,もしもパッチだけで全ての保守が可能なら,そもそも世の中の全てのソフトウェアはメジャーバージョンアップなんて必要無いことになりますね.
私は言いたい (スコア:1)
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
製造業は7年だけどね(部品保持期間)。
#自分のモノサシしか知らないってのは結構恥ずかしいことだと思う。
これってニュースなの? (スコア:0)
要するに、実用上の障害になるとは考えにくいという評価が完了したってことでしょ。
問題の確認もしないとかいうならともかく、きちんと評価された結果ならば別にそれはそれでありだと思う。
Re: (スコア:0)
だったら、なぜ
「Vista、Windows Server 2003およびWindows Server 2008については実用上の障害になる」
と判断したのか、その根拠をお聞かせ願いたいな。
Re:これってニュースなの? (スコア:2)
改訂前のセキュリティー情報は読んでいませんが、現在の MS09-048 (日本語版 [microsoft.com]、原文 [microsoft.com]) の FAQ の節には本脆弱性が XP SP2/SP3 で深刻度最低の「注意」と評価された理由が書いてあるので、それを読めば XP と Vista 等で深刻度の評価が異なる理由がわかるのではないでしょうか。
マイクロソフトが公式に言っていることとは別に、本当のところはいちいち修正するのが面倒だというだけかもしれませんが、僕にはそうかどうか判断できませんし、僕は例によって真相にはあまり興味がありません。
これの回避策 (スコア:0)
これって、「デフォルト状態では影響を受けない」=「ファイアウォール有効ならば影響を受けない」んだと思ってたんだけど、違うの?
そういう意味では、2000の方が深刻だとも。
アナログ放送終わります (スコア:0)
Windows 7を買ってくださいということ。
Re: (スコア:0)
そしてアップデートに20時間かけろ愚民どもということか
XPと2000の場合は (スコア:2, 参考になる)
クリーンインストールしかできないから、50分で終わりですね。
20時間も掛かるのはVistaの場合らしいですよね。
http://srad.jp/articles/09/09/17/0435215.shtml [srad.jp]
日本語の説明まだぁ? (スコア:0)
小野寺さーん、日本のセキュリティチーム [technet.com]情報更新してぇ。
Windows2000SP4で提供しないのは影響が少ない、ユーザーが少ない、コードの更新がSP並に大掛かりになるという説明でしたが、Windows XPはユーザーは無視できないぐらい多いと思うので追加説明があってしかるべきだと思うのですが。
当初提供予定だったのを急遽引っ込めると「パッチによって深刻な別問題でも出たのか?」と勘ぐっちゃいます。
Linuxの場合 (スコア:0)
修正パッチをリリースする予定は無い模様。
ドキュメントによれば、緩和策としてiptablesの設定を加えることがあげられています。