パスワードを忘れた? アカウント作成

スラドのストーリを選ぶための補助をお願いします。

13386987 story
Facebook

Facebook、Reactの「真のオープンソース化」を拒否 61

ストーリー by hylom
不自由なソフトウェア 部門より

多数のオープンソースソフトウェア開発プロジェクトを傘下に持つApache Software Foundation(ASF)が、Facebookの「オープンソースソフトウェアライセンス風のソフトウェア」は利用すべきではないという方針を定めた(Facebookの特許条項付きBSDライセンスが炎上している件について)。

Facebookが公開しているソフトウェアのライセンスはBSDライセンスをベースとしているが、それに加えてFacebookやその傘下の企業などとの間で特許紛争が発生している会社はそのソフトウェアを利用できないという条項が追加されている。これは「PATENTS」というファイルに記載されており、以前から話題にはなっていたのだが(参考:2016年にQiitaに投稿されたスライド)、今年7月にASFがこの条項を問題視し、この条項が付いたソフトウェアはASF傘下のオープンソースソフトウェア開発プロジェクトでは利用を認めないことが表明された(Register)。

これにより、特にFacebookが開発するJavaScriptフレームワーク「React.js」を使用しているプロジェクトが影響を受けるという。そのため、Reactを利用しているASF傘下プロジェクトに関わるソフトウェア開発者がFacebookにライセンスの変更を求めていたが、Facebookはこれを却下したという(Registerマイナビニュース)。

なお、オープンソースの定義では特定の個人やグループ、分野に対してのみ制限を加えることを禁止しており、これに則るとFacebookの「特許状況付きBSDライセンス」はオープンソースライセンスとは認められない。

13333208 story
統計

LinuxノートPCの3割がWindowsとのデュアルブートという調査結果 86

ストーリー by headless
切替 部門より
Phoronixが実施した「2017 Linux Laptop Survey」によると、ノートPCでLinuxを利用するユーザーの29.3%はWindowsとのデュアルブート構成にしているそうだ(Phoronixの記事)。

調査は6月23日~7月6日に実施されたもので、30,171人が回答したという。Linuxとデュアルブート/マルチブートで使用するOSではWindowsが圧倒的に多く、4.4%が複数のLinuxディストロ、3.5%がmacOS(3.5%)と回答している。一方、デュアルブートにしていないというユーザーが62.2%を占めており、BSDとSolarisは合計で0.6%となる。

最も直近に購入したノートPCにLinuxがプリインストールされていたという回答は10.3%にとどまり、およそ9割は購入後に自分でインストールしているようだ。ノートPCを選択する際に重視するポイントでも、Linuxがプリインストールされているとの回答は14.1%にとどまる。これに対し、製品の造りの良さを重視するとの回答は30.7%に上り、パフォーマンス(25.2%)と合わせて過半数を占める。

使用ディストロ(複数回答)ではUbuntuが38.9%を占め、ArchLinux(27.1%)、Debian(15.3%)、Fedora(14.8%)、Linux Mint(10.8%)が続く。LinuxノートPCで主に実行する作業としては、Webブラウズが最も多い82.5%。ソフトウェア開発(73.1%)、オフィス業務(47.7%)、マルチメディア(45.2%)、学校の勉強(25.3%)が続く。SteamのOSシェアでLinuxは1%未満となっているが、こちらでもゲームに使用するとの回答は21.1%にとどまる。
13316204 story
BSD

Linuxなどのスタック管理機構において権限昇格が可能な脆弱性が発見される。多くのLinuxディストリビューションに影響 65

ストーリー by hylom
皆様アップデートを 部門より

LinuxやUNIX系OSにおいて、一般ユーザーが不正に特権を得ることができる「Stack Guard Page Circumvention」と呼ばれる攻撃手法が発見された(Red Hat Customer Portal)。Linuxカーネルやglibc、sudoなどの脆弱性を利用するもので、幅広い影響が出るようだ。

ベースとなっているのは、スタック領域に多量のメモリ割り当てとデータ書き込みを行ってスタック領域を溢れさせることで、ヒープ領域のデータを不正に書き換えられることがあるという問題。Red Hatによると、関連する脆弱性はCVE-2017-1000364(Linuxカーネルのstack guard pageの脆弱性)、CVE-2017-1000366(glibcでLD_LIBRARY_PATHの値に細工をすることでヒープ/スタックの値を操作できる脆弱性)、CVE-2017-1000367(sudo 1.8.20以前の入力バリデーションの不備)という3つとされている。osdn曰く、

スタック範囲を他のメモリ領域と衝突させて悪用できる問題は2005年と2010年に示され、対策が取られてきました。しかしセキュリティ企業Qualysが19日、少なくともLinux、OpenBSD、NetBSD、FreeBSD、Solarisのi386とamd64では対策の不備があり、実際に悪用可能か、少なくともPoCが存在することを示しました。(ITmedia)。

数多くの入口からローカル権限上昇攻撃ができた (あるいは理論上可能な道筋がある) そうです。緩和策としてはlimits.conf等でスタックを制限することなどがありますが、完全ではありませんし副作用も大きいです。各ベンダーには既に通知され、順次対策が取られることになっていますので、アップデートの用意をしておくのが最善でしょう。

アドバイザリによれば、Debianでも8.5と8.6、また8.xと9以上の間には脆弱さに大きな違いがあり、最新のものほど効率よく悪用することは難しくなってきているそうです。

しかし現状で最も簡単に悪用できる方法はi386のDebianでEximを使ってローカル権限上昇をすることだ、とQualysは指摘しています。またOpenBSDではatを使って攻撃しようとしたものの、ファイルシステムが遅すぎて、一週間かけてもヒープがスタックに届くほどの数のジョブファイルを作成できなかったそうです。

なお、今回は64bitでもスタックと他領域が近い場合があることも示されましたが、基本的にはメモリ領域が広い方が安全です。

grsecurity/PaXにはスタック・ガードページの大きさを変更できる機能があるので、これを大きくするのは簡単で有効です。またGCCには-fstack-checkというオプションがあり、各4KBページにアクセスすることで、スタックポインタが他領域に行ってしまう前に必ずガードページに当たり、SEGVになってくれるそうです。パフォーマンスに影響はありますが、長期的には良い方法だとQualysは指摘しています。

13207271 story
ビジネス

OpenSSL、ライセンス変更に向けて貢献者の合意を求める 39

ストーリー by headless
変更 部門より
OpenSSLがライセンス変更に向け、特設サイトで貢献者の合意を求めている(Core Infrastructure InitiativeによるアナウンスOpenSSL Blogの記事The Registerの記事Phoronixの記事)。

現在、OpenSSLにはOpenSSL LicenseとオリジナルのSSLeay Licenseの両方が適用されている。これを標準的なApache Software License v.2.0(ASLv2)に変更することで、幅広いFOSSプロジェクトや製品で利用できるようにすることがライセンス変更の目的とされる。OpenSSLプロジェクトではコミットした人全員に電子メールで通知しているが、半数が送信エラーで返ってきているという。メールアドレス変更によりメールが届いていない貢献者は、特設サイトで情報を入力すれば意見を表明できる。なお、23日午後の時点で変更に合意した人は265人、反対者も7人いるそうだ。

OpenSSLの貢献者でもあり、OpenSSLプロジェクトをフォークしてLibreSSLプロジェクトを立ち上げたOpenBSDのTheo de Raadt氏のように、変更プロセスに不満を感じる人もいる。de Raadt氏は開発者コミュニティーに相談せず、いきなりメールで合意を求めてきたことや、回答がなければ合意したとみなすとされている点などを批判している。The Registerの記事によれば、大企業(OracleやIntelが変更を支持している)やLinux Foundationなどに都合のいいライセンスだけが選択肢となっている点にも懸念を示しているという。また、現在のライセンスと比べ、ASLv2の制約の方が大きいとも考えているようだ。
13187964 story
数学

米コロラド州、換算ミスで身長を実際よりも数十センチメートル高く記載した運転免許証/IDカードを発行 74

ストーリー by headless
成長 部門より
米国・コロラド州の自動車課が運転免許の更新をオンラインで申請したドライバーに対し、実際の身長よりも数十センチメートル高い数字の記載された運転免許証を郵送してしまったそうだ(CBS Denverの記事Consumeristの記事)。

影響を受けた申請者の一人、Emersonさんの身長はCBS4による実測で5フィート11インチ(約180cm)。しかし、受け取った運転免許証には7フィート1インチ(約216㎝)と記載されている。

州歳入局によれば、身長はインチ単位でベンダーに知らせていたが、ベンダーが正しく換算を行わなかったのが原因だという。Emersonさんの身長をインチ単位にすると71インチだが、単純に分割して7フィート1インチとしてしまったようだ。

問題が発生したのは2月~3月のオンライン申請分。運転免許証だけでなくIDカードも含まれ、最大12,000人が影響を受けるという。州では既に問題を解決しており、訂正された新たなカードは10日までに届けられるとのことだ。
13000959 story
Facebook

Facebookが嘘ニュース検出機能をテスト中というニュースも嘘 34

ストーリー by headless
検出 部門より
Facebookが嘘ニュース検出機能をテストしているとTechCrunchが報じたのだが、これも嘘ニュースだったようだ(TechCrunchの記事The Guardianの記事The Vergeの記事)。

元の記事では情報提供者から取得したというスクリーンショットを添え、テストは一部のユーザー限定で1週間ほど前から行われていると説明している。スクリーンショットはFacebookのニュースフィードに掲載されたニュース記事に対し、「信頼できるWebサイトではない」といった警告が表示されるというものだ。さらに、警告が表示されたニュースはNew York TimesやReutersなど、事実関係をチェックする信頼可能なメディアも報じており、誤検出であると指摘。個別の記事ではなくWebサイト単位で判定しているのではないかとも述べている。

しかし、この警告を表示しているのは、Google ChromeとMozilla Firefox用の拡張機能「BS Detector」だと作者自身の指摘により判明する。BS DetectorはFacebookに投稿されたリンクをチェックし、信頼できないWebサイトを検出して警告を表示するというもので、TampermonkeyとスクリプトをインストールすればSafariおよびMicrosoft Edgeでも利用できる。TechCrunchの指摘通りドメイン単位で検出を行うため、信頼できるWebサイトで公開されているTechCrunchの記事は嘘ニュースだと判定できなかったとのこと。

The Guardianの記事では、拡張機能をインストールしたのを忘れた人がFacebookによるテストと勘違いしたとしているが、事実関係は不明だ。TechCrunchの記事ではBS Detectorの警告をFacebookのA/Bテストと勘違いしたらしいHacker Newsユーザーの投稿も紹介している。ちなみに、FacebookではBS DetectorのWebサイトへのリンク投稿が一時ブロックされたが、その後再び投稿可能になったという。これについてFacebookは誤ってブロックしたと説明しているとのことだ。
12948444 story
BSD

386BSD 2.0が公開されていた? 21

ストーリー by hylom
突然登場 部門より

FreeBSDなどの祖先であり、初めてPC/AT互換機で動作したとされるBSD系UNIX「386BSD」のソースコードがGitHubで公開されている(ソフトアンテナブログSlashdot)。

Slashdotによると386BSDの最後のリリースは1994年で、最後の一般リリース版のバージョンは0.1だったのだが、公開されているリポジトリには「0.0」「0.1」「1.0」「2.0」といったブランチが作成されており、また8月5日には「Upgrade to 386BSD 2.0」なるコミットも行われている。

12929874 story
UNIX

PC-BSD、「TrueOS」に「進化」することを発表 39

ストーリー by hylom
PC-BSDはどうなるのか 部門より

PC-BSDが「TrueOS」への取り組みを強化することを明らかにした。従来は「PC-BSD for Servers」を「TrueOS」と呼んでいたが、今後はデスクトップ版も「TureOS」という名称で提供されるようだ。すでにWebサイトも公開されている(gihyo.jp)。

TrueOSはFreeBSDのCURRENT版をベースにローリングリリースを行っていくのが特徴で、毎週パッケージやインストール用ISOイメージが更新されるという。また、デスクトップ版とサーバー版の2種類が提供されるようだ。ただし、まだいまのところベータ版というステータスの模様。

12880840 story
ネットワーク

TCP仕様の1つに中間者攻撃可能な脆弱性、Linuxが影響を受ける 34

ストーリー by hylom
影響が広まる 部門より
あるAnonymous Coward曰く、

TCPのセキュリティを向上させるはずの仕様であるRFC 5961に重大な脆弱性が発見され、その仕様を実装していたLinuxカーネル3.6以上を搭載する端末が影響を受けることが明らかになっていたが、この脆弱性がAndroid 4.4以降にも存在することが報じられている(RegisterZDNet JapanINTERNET Watch)。

この脆弱性は7月12日に公開されていたもので、短い所要時間・高い成功率で通信の妨害や乗っ取りが可能とのこと。既にパッチや回避策が提供されているが、Android向けの修正プログラムはまだ未提供とのこと。

なお、WindowsやMac OS X、FreeBSDなどのLinux以外のOSではRFC 5961の実装が遅れていたため、影響は無い。

12745652 story
BSD

PlayStation 4の脆弱性を使ってLinuxを動かすことに成功? 29

ストーリー by hylom
PCで良くないですか 部門より
あるAnonymous Coward 曰く、

PlayStation 4上でLinuxを実行させることに成功した、という話が出ている模様(Register)。PS4のカーネル脆弱性を利用したものだという。

かつて流出したPS4 1.76向けのexploitの改良版のようで、PS4でのSteamOSを期待する向きもあるとのこと。

12734905 story
アニメ・マンガ

ドワンゴがオープンソースのアニメ制作ソフト「OpenToonz」を公開 10

ストーリー by hylom
意外なところから意外な物が 部門より
あるAnonymous Coward 曰く、

ドワンゴがアニメーション制作ソフト「OpenToonz」を公開した。OpenToonzはイタリアのDigital Video社が開発した「Toonz」をベースとした2Dアニメーション制作ソフトウェア。Toonzはスタジオジブリの「もののけ姫」をはじめ、同スタジオ作品の仕上げや色指定、撮影工程で使われているという。ライセンスは修正BSDライセンスで、対応プラットフォームはWindows 7 SP1以降(64ビット版)、OS X 10.9以降(窓の杜)。

また、エフェクトプラグインを開発するためのSDKや、ドワンゴが開発したエフェクト、ジブリが使用しているスキャンツールも公開されている。

12714730 story
ゲーム

MAME、GPLv2にライセンスを変更 13

ストーリー by hylom
改変しやすく 部門より
headless 曰く、

マルチアーケードマシンエミュレーター「MAME」のFOSS化が完了したそうだ(MAMEDEV.orgRegisterOSDN Magazine)。

MAMEの開発チームでは昨年5月、MAMEのFOSS化計画を発表。それから10か月かけて貢献者全員に連絡し、望ましいライセンスについて問い合わせたそうだ。その結果、ファイルの大半は修正BSDライセンス(3条項BSDライセンス)で公開されることになった。ただし、複数のGPL互換ライセンスで公開されるコードが含まれることから、プロジェクト全体としてはGPL-2.0で配布されることになる。

開発チームでは、MAMEのソースコードに貢献した開発者に対し、FOSS化に関する連絡を受けていない場合にはコンタクトページから連絡するように呼びかけている。

なお、MAMEはNicola Salmoria氏の登録商標であり、FOSS化後も「MAME」の名称やロゴなどを使用する場合は許可を得る必要があるとのことだ。

1

12689435 story
ゲーム

Electronic Artsが標準ライブラリEASTLを公式にオープンソース化 11

ストーリー by hylom
EA版STLってことか 部門より
あるAnonymous Coward 曰く、

大手ゲームメーカーであるElectronic Artsが、自社ゲームの開発に使用していたゲーム向けC++標準ライブラリである「EASTL」をオープンソース化した (gamedev.netのスレッド)。ライセンスは修正BSDライセンス。

EASTLは、C++標準ライブラリであるSTLをベースにしつつも、メモリの少なくCPU性能の低いコンシューマーゲーム開発向けに高度に最適化されている(N2271日本語訳前半後半)。

EASTLの論文自体は以前からC++0x以降の仕様制定のために公開されており、ゲーム業界では有名だった。

12669376 story
BSD

FreeBSDをリモートからクラッシュさせることが可能な脆弱性 7

ストーリー by hylom
ご確認を 部門より
headless 曰く、

FreeBSDシステムで、リモートからのDoS攻撃が可能となる脆弱性CVE-2016-1879が発見され、The FreeBSD Projectがパッチを公開している(The FreeBSD Projectのセキュリティ情報Positive Research CenterブログSoftpedia)。

この脆弱性はSCTPスタックでICMPv6を処理する際にパケットの適切なチェックが行われないため、攻撃者は細工したICMPv6パケットを送り付けることでカーネルパニックを引き起こすことが可能になるというもの。脆弱性はFreeBSD 9.3/10.1/10.2に存在し、IPv6サポートとSCTPサポートの両方を有効(デフォルト)にしてコンパイルしたカーネルを使用している場合に影響を受ける。

影響を受けるシステムでは最新版に更新するか、パッチを適用することで、SCTPでICMPv6を処理する際に追加のチェックが行われるようになる。このほか、最新版ではCVE-2015-5677CVE-2016-1880CVE-2016-1881CVE-2016-1882の修正も行われている。

12663260 story
Digital

スラドに聞け: あなたの周囲で最も長く稼働し続けているサーバーは? 88

ストーリー by headless
大きなのっぽの古サーバー 部門より
18年10か月稼働し続けたサーバーを引退させたというメーリングリストへの投稿をThe Registerが記事にしたところ、同じぐらい長く稼働し続けているサーバーがあるとのコメントがいくつも寄せられたそうだ(The Registerの記事[1][2])。

最初の記事で紹介されたのは、Pentium 200MHzと32MBのRAM、4GBのSCSI-2ハードディスクを搭載したFreeBSD 2.2.1マシン。1997年初めに購入してからパーツを交換することなく24時間稼働し続けたという。

これに対し、i486 33MHzを搭載したDECのAdec400xPアプリケーションサーバーが150台以上、何十年も稼働し続けている場所を知っているというコメントや、1996年か1997年に購入したデュアルPentium Pro 200MHzのHP Netserver LXを最近再起動したところ、Windows NT 4.1の稼働時間が15年3か月13日だったというコメントが寄せられている。

このほか、1996年末から稼働しているPentium 120MHzを搭載したDR-DOSマシンや、1995年12月31日から稼働しているWindows for Workgroups 3.11マシン、1997年から稼働しているIBM e x235などが紹介されている。ただし、中にはパーツを交換したり、定期的に再起動したりしているものもあるようだ。

皆さんの周囲で最も長く稼働し続けているサーバーはどれぐらい古いものだろう。それはどのようなスペックだろうか。
typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...