パスワードを忘れた? アカウント作成

今週も投票をしましたか?

13877466 story
BSD

NetBSD、メンテナンスの負担を理由にOpenBSD由来のファイアーウォールを廃止 60

ストーリー by hylom
まあ理由としては分かる 部門より
あるAnonymous Coward曰く、

NetBSDのメーリングリストで、OpenBSDで開発されたパケットフィルタである「PF」のサポートをNetBSDから削除することが宣言された(NetBSDのtech-kernメーリングリストへの投稿)。

この投稿によると、「PFを取り除くことについて内部で議論がなされた」という。「現在、NetBSDのPFは11歳で、メンテナンスを受けておらず、NetBSDではなく上流で修正されたバグや脆弱性が累積した状態にある」「最新の例として、直近で発見されたPFの脆弱性は2つあり、これらの脆弱性には興味がないため、NetBSDのPFでは修正されていません」とのことで、PFのレガシーな設計のせいでスケーラブル/高性能なカーネルでの移植に多大な作業が必要な状況になっているという。

OpenBSDのセキュリティの高さは、オペレーティングシステム界で屈指であり、関連するソフトウェアとしてはOpenSSHや「ハートブリード脆弱性」を解消したOpenSSL代替の暗号化ソフトLibreSSL等、Unix系オペレーティングシステムほかLinuxやWindows等、OpenBSDが開発したソフトウェアの多くが用いられている。

ファイアーウォールであるPFもその一つではあるが、PFを廃止する理由が、NetBSD側の「OpenBSDでなされたPFに関するバグフィックス」の不適用というメンテナンス体制の問題によるものであるところが、最大の問題点と言える。

通常、メンテナンス上「ソフトウェアのバグや脆弱性」というものは、上流である「開発元がメンテナンスを放置または放棄する」ことで「セキュリティリスク」が累積し、下流にあたる「利用者が離れていく」というのが一般的な流れである。

しかしながら、「開発元のメンテナンス不足」では無く「利用者のバグフィックスの不適用」が理由で「有益なソフトウェアの廃止」がなされることは、実に稀であり、まして、「ネットワークセキュリティ」という、OSにとっては最も重要となる部位で自らの「メンテナンス体制」の問題を事由に廃止されることは、稀有と言える。

この点、「pf消すとか頭おかしい。むしろほかのやつ消してちゃんとメンテすべき」との意見が出るなど、通信技術やOS・セキュリティ関連の専門家の間でも波紋が広がっている。

既に*BSD界隈の衰退については、かねてより指摘されているが、今回のNetBSDの対応はそれを差し置いても、異常と言える事態を指し示している。

なお、NetBSDではNPFというパケットフィルタがデフォルトで提供されており、一部機能は不足しているもののPFの代わりにこちらを代替として利用できるともしている。

13852158 story
セキュリティ

Thunderboltポート経由で本来行えないはずのデータの読み取りなどが行える脆弱性が見つかる 64

ストーリー by hylom
アイデアとしては分かるが実際にやれるとは 部門より

Thunderboltではハードウェア同士がソフトウェアを介さずに直接データ転送を行うDMAを使ったデータ転送が可能だが、Thunderbolt経由で接続された機器からDMAを使ってシステムメモリを直接読み書きできてしまうという脆弱性が見つかったことが報じられている。これを悪用し、意図的にデータを盗んだり改変するようなThunderbolt接続のハードウェアを作ることができるようだ(itnewsGIGAZINESlashdot)。

この問題は「Thunderclap」と呼ばれている。DMAによるデータ転送を行う場合、通常は許可されたアドレスへのデータ転送以外は行えないよう制限がかけられる。しかし、多くのOSでこの制限をバイパスしてDMAアクセスを可能にする脆弱性が存在するという。

この問題を指摘した研究者らはFPGAを使い、Thunderbolt経由でPCに接続して攻撃を行うデバイスを実際に作成、さまざまなOSで検証を行った。その結果、WindowsやmaOS、Linux、FreeBSD、PC BSDなどでデータの読み取りといった悪意のある操作を実行できたという。

13820406 story
交通

近鉄、万博に向けて大阪・夢洲と奈良の直通特急検討、架空線・第三軌条両対応車も開発へ 37

ストーリー by hylom
規格が混在する近鉄 部門より
あるAnonymous Coward曰く、

近畿日本鉄道(近鉄)がけいはんな線と奈良線を繋ぐ「渡り線」を建設し、大阪メトロ中央線・夢洲駅から奈良や名古屋、伊勢志摩方面を結ぶ直通特急の実現を検討しているという(共同通信毎日新聞京都新聞産経新聞)。

また、けいはんな線は給電用レールを使用する「第三軌条方式」を採用しているのに対し、奈良線はパンタグラフを使用する「架空電車線方式」を採用している。そのため、どちらの方式にも対応する車両の開発も行うという。

13696734 story
オープンソース

OSSのNoSQLデータベース「Redis」、一部拡張モジュールが非OSSに 14

ストーリー by hylom
気持ちは分かる 部門より
あるAnonymous Coward曰く、

AWSやAzureでマネージドサービスも提供されるなどNoSQLサーバーとして広く使われている「Redis」だが、開発元のRedis Labsは22日、これまでAGPLで提供していた同社開発の拡張モジュールを、今後はクラウド事業者による商用利用に制限のかかるCommons Clause条項付きのApache 2.0ライセンスに移行することを発表した(プレスリリースOSDN MagazineZDNetRegister)。

移行の対象となるのは「RediSearch」「Redis Graph」「ReJSON」「Redis-ML」「Rebloom」などの拡張モジュールで、コア部分には引き続きBSDライセンスが採用される。Redis Labsでは変更の理由として「クラウド事業者はほとんどこれらのオープンソースプロジェクトに貢献していない」と述べており、クラウド事業者によるフリーライドに耐えかねた事を吐露している。Redis Labsは自身でもRedisのマネージドサービスを提供しており、こうした競合他社に圧迫されていることが伺える。

なお、商用利用に制限がかかる事から新ライセンスはOSSライセンスとは適合しなくなっている。これに対して、OSS界隈では反発の声もあるようだ。

13631305 story
BSD

OpenBSD、セキュリティ確保のためIntel CPUのハイパースレッディングをデフォルトで無効化 58

ストーリー by hylom
守りに寄せる 部門より
あるAnonymous Coward曰く、

OpenBSDがamd64アーキテクチャにおいてIntelプロセッサのHyper-Threading機能をデフォルトで無効にしたそうだ(マイナビBleeping ComputerSlashdot)。

この変更は6月19日のコミットで行われたもの。CPUの投機的実行機能にまつわる脆弱性問題に対応するためにデフォルトでハイパースレッディング機能を無効にすると説明している。

13605440 story
ソフトウェア

旧Eudoraのソースコードがオープンソースライセンスで公開される 79

ストーリー by hylom
まさかのオープンソース化 部門より
あるAnonymous Coward 曰く、

1990年代から2000年前半にかけて特にMacユーザーに人気だったメールクライアント「Eudora」のソースコードがComputer History Museumで公開された(GIGAZINE)。

「Eudora」を発音できたらオッサンの証明完了したとも思える懐かしい響き。発音できるオッサン達はこぞって Eudora への愛と情熱を語ろう(笑

EudoraはQualcommが権利を所有していたが、2006年に開発が停止されていた。Computer History MusiumがQualcommからEudoraの商標やソースコードなどの譲渡を受けての公開となり、ソースコードは修正や再配布が自由なライセンス(3条項BSDライセンスに相当)での公開となっている。

Qualcommは2006年にThunderbirdベースのEudoraをMozillaと協力して開発すると発表していたが 、2013年にはこのプロジェクトは終了していることが明らかにされていた。今回公開されたソースコードはEudoraがThunderbirdベースになる直前のもので、バージョンはWindows版が「Eudora 7.1」、Mac版が「Eudora 6.2.4」とのこと。

13583488 story
PHP

Drupalの脆弱性「Drupalgeddon2」を狙った攻撃が活発に 10

ストーリー by hylom
お使いの皆様はさっさと対応しましょうね 部門より
あるAnonymous Coward曰く、

オープンソースのCMSであるDrupalにリモートから任意のコードが実行可能になる深刻な脆弱性が報告されている(MBSDJPCERT/CC)。この脆弱性は「Drupalgeddon2」と呼ばれており、Drupal 8.5.1/8.4.6/8.3.9/7.58ですでに修正されているものの、これよりも前のバージョンすべてで影響があるようだ。中国のNetlab 360によると、この脆弱性を悪用して活動している攻撃グループが少なくとも3つ存在し、Muhstikと名付けられたグループはとくに活発な行動をしているとされる。

Muhstikは、ボットネットに見られる感染技術を応用しており、感染したCMSが別の脆弱なサイトを攻撃するようなワームのような動作する兆候があるとしている。Drupalgeddon2の対策パッチは3月下旬に提供されている。しかし、攻撃グループ同士でハッキング競争が行われており、対策パッチを適用していないDrupalは現時点でハッキングされていると考えたほうがいいとしている(Ars TechnicaNetlab 360Slashdot)。

この脆弱性はHTTPリクエスト中に特定のパラメータを入れることで任意のコードを実行できるというもの(knqyf263's blog)。警察庁もこの脆弱性を狙ったアクセスを確認しているようだ。

13555130 story
アメリカ合衆国

米トイザらス、米国内の全店舗を閉鎖もしくは売却へ 16

ストーリー by hylom
実店舗は負担でしか無いのか 部門より

米大手玩具販売店Toys R Us(トイザらス)は昨年9月に連邦破産法11条の適用を申請していたが、同社が米国内の全店舗の閉鎖もしくは売却を計画しているという(AFP)。

Toys R UsのDavid Brandon CEOが資産をすべて売却する方針とのこと。同社は米国内で881店舗を展開しているが、Amazonなどのネット通販との競争により経営は厳しくなっていたという。

一方日本でトイザらスを展開している日本トイザらスは米Toys R Usとの資本関係はあるものの、経営は独立しており、国内の店舗に影響はないとしている。ただし、トイザらスアジアおよび日本トイザらスの株主は変更となる可能性があるようだ(東京商工リサーチSankeiBiz)。

13526620 story
インターネット

ソフトバンクとイオン、ヤフーが共同でネット通販サービスの展開を検討中 10

ストーリー by hylom
配送・受け取りインフラの充実を望む 部門より

ソフトバンクとイオン、ヤフーの3社が協同でネット通販事業を行うことを検討しているという。食料品や衣料品、日用品などを扱い、イオンが物流を、ソフトバンクとヤフーが市場分析などを担うことになるようだ(産経新聞ロイター)。

ネット通販分野においては、先に楽天が米ウォルマート・ストアーズと提携を発表している(日経XTECK)。

13517016 story
BSD

開発リソース不足という問題に直面するBSD系カーネル 80

ストーリー by hylom
どうしてこうなってしまったのか 部門より

FreeBSDやOpenBSD、NetBSDといったBSD系カーネルの開発者が不足しており、報告されたバグの修正に時間がかかっている状況だそうだ(YAMDAS現更新履歴LWN.net)。

また、開発者リソース不足のため報告されるバグが見つかっていない可能性もあるという。

13498194 story
Windows

Windows 10のInsider Previewで標準コマンドラインツールにtarとcurlが追加される 46

ストーリー by hylom
これはうれしい 部門より
あるAnonymous Coward曰く、

やや旧聞になるが、Windows 10 Insider PreviewのBuild 17063では、標準コマンドラインツールとしてtar(libarchiveのbsdtar)とcurlが追加されている(MicrosoftのVirtualization Blog)。WSLはもちろんのことPowserShellでも同等の機能がすでに提供されているようだが、素のコマンドプロンプトからもtarの展開やファイルのダウンロードが可能になる。主にnanoserverのイメージサイズを節約する目的で提供されたようだが、クライアント版のWindows 10でも使用可能である。

なお、bsdtarは.tar.gzだけではなくzipを始めとしたさまざまな書庫形式および圧縮形式に対応しており、Creators Updateで削除されたOS標準のlzh解凍機能が(コマンドライン限定ではあるものの)復活した形になる。また、ファイル名がUTF-8でエンコードされたzipの展開にも一見対応しているが、ANSIコードページ(日本語環境ならシフトJIS)にない文字がファイル名に含まれていると、UTF-8システムロケールを有効にしない限り文字化けしてうまく扱えないようである。

13495947 story
GNU is Not Unix

GnuPG2のフォーク「NeoPG」、開発中 54

ストーリー by hylom
刷新となるか 部門より
osdn曰く、

PGPやGnuPGには近年いくらかの批判もありますが、開発は情熱的に続いています(過去記事:PGPの32ビット鍵IDが問題に、Linus Torvalds氏などの偽造鍵も確認されるPGPは有害無益?)。

とはいえ、GnuPGは20年以上の開発によって内部構造が複雑になりすぎています。これに伴う種々の問題に取り組むため、NeoPGという新たなプロジェクトが発足しています。

スライドによると、GnuPGは49万行のコードから成り、400近くのコマンドラインオプション、2種類のOpenPGPパーザ、自前のHTTPクライアントやDNSリゾルバ関連コードを持つ、重厚長大なプロジェクトです。NeoPGでは、できるだけレガシーコードを減らし、外部ライブラリを積極的に利用することで、開発を容易にするつもりです。スライドの時点で、すでに行数はほぼ半減し、コマンドラインオプションも120ほど減っているそうです。

ブログでは、そのほかにもautoconfではなくCMakeCPPマクロではなくC++テンプレート数多くの小さなバイナリではなく単一バイナリ長生きするデーモンではなく、すぐ終了するヘルパープロセスといった劇的な設計変更の理由について説明しています。(このうちの一部はUNIX哲学からの逸脱と見られかねないことも理解したうえで、使い勝手や開発/メンテナンスのコスト、コンピュータ性能の発達などを考慮した結果とのことです。)

ライセンスについても、GitHubのREADME.mdによれば「今のところGPLやLGPLなど様々なライセンスのコードを含んでいるが、新規コードはSimplified BSDライセンスに限っている」という書き方からして、GPLからの脱却を目指しているようです。

全体的に、ここ10年程度のトレンドを慎重に取捨選択して、そつなくリファクタリングしているように見えますが、皆さまはどう評価されるでしょうか。

13487563 story
グラフィック

NVIDIA、32ビットOSに対するドライバーサポート終了計画を発表 30

ストーリー by headless
終了 部門より
NVIDIAは21日、32ビットOSに対するドライバーサポート終了計画を明らかにした(NVIDIAサポートの記事Phoronixの記事Softpediaの記事)。

32ビットドライバーが提供されるのは、今後リリースされるバージョン390(現在の最新版は20日にリリースされた388.71)が最後となる。影響を受けるのは32ビット版のWindows 7/8/8.1/10とLinux、FreeBSD。ただし、深刻度レベル「重大」の脆弱性については2019年1月までセキュリティアップデートが提供されるとのこと。

また、バージョン390を最後にNVS 315とNVS 310へのドライバー提供を終了することも同日発表されている。こちらのセキュリティアップデートは深刻度レベル「低」~「重大」が2019年12月まで、「重大」のみ2021年12月まで提供されるとのことだ。
13478114 story
OS

Minixを使用していると言われているIntel ME、BSDライセンス違反の疑い 35

ストーリー by hylom
正式に使用料を払っているものだと思っていたが 部門より
あるAnonymous Coward 曰く、

11月、Googleの研究者がIntel Management Engine(ME)の潜在的な脆弱性の問題を指摘、Intelが再度MEのセキュリティ評価をしたところ脆弱性が明らかとなり、現在、メーカーなどが独自に対策を打ち出しているという。このIntel MEに、新たな問題が持ち上がっている。

今年の4月、Intel MEバージョン11以降で、Minix 3 OSがインストールされていることを示す文字列があることが発見された。しかし、Minix 3は派生物の再配布の際にライセンス表示などを行う必要のあるBSDライセンスを採用しているにも関わらず、Intelはそのライセンス表示を行っていない。このため著作権侵害に当たるとしている(IPWatchdogSlashdot)。

また、Intelは管理エンジンの内部を秘密にしたいため、バイナリを難読化したとの指摘もある。解析にはMinix開発者であるAndrew Tanenbaum氏も協力しており、これまでの解析からIntel MEにMinix 3が使われている可能性は高いとのこと。

13470332 story
統計

Net Applicationsの測定方法変更により、Windows 10のシェアが30%を超える 15

ストーリー by headless
変更 部門より
Net Applicationsが公表しているブラウザーやOS、サーチエンジンなどのシェアデータ測定方法が変更され、過去のデータも含めて数字が変動した。その結果、デスクトップOSシェアの11月分でWindows 10が30%を超えている(Operating System Share by VersionOperating System Market Share)。

旧データでWindows 10のシェアが30%を超えたことは一度もないが、新データでは9月に初めて30%を超えており(30.52%)、10月には再び30%を割っていた(29.86%)。11月分では2.09ポイント増の31.95%となっている。旧データ前月分との比較では2.69ポイント増になる。Windows 7は前月から0.07ポイント増の43.12%だが、旧データ前月分と比較すると3.51ポイント減。3位はWindows 8.1(5.97%)、以下Windows XP(5.73%)とMac OS X 10.12(3.87%)が続く。Linuxのシェア(1.64%)は大幅に減少したようにみえるが、新データではUbuntu(0.51%)やFedora(0.05%)などが別バージョンとして分離されたためで、OS種別データでは2.21%。Chrome OS(0.29%)はOS種別でもLinuxと別集計になっている。このほか、OS種別ではWindows(88.39%)やMac(9.05%)に加え、BSD(0.04%)が集計対象になっている。

新データの測定方法はNet Applicationsの提携サイトに対するユーザーのアクセスについて、非アクティブ時間が30分以上続かないものを1セッションとし、セッションをカウントしていくというものだ。これまでの測定方法は1日単位で全提携サイトへのユニークビジターをカウントするもので、あるユーザーが複数の提携サイトに何度アクセスしても1ビジターとしてカウントされていた。そのため、新データではアクセス回数の多いほどシェアが高くなるStatCounterの数字に近づいたとみられる。2016年12月分以降のデータを比較すると、旧データのバージョン別シェアはWindows 7が常に高め、Windows XPとMac OS X 10.12が常に低めになっていた。OS種別ではWindowsが常に高め、Macが常に低めとなっていたようだ。
typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...