パスワードを忘れた? アカウント作成

Idle.srad.jpは、あなたの人生において完全な時間の浪費です。見るなよ、見るなよ。

13247984 story
Debian

Debian開発者が暴動の扇動やテロ支援容疑でロシア当局に逮捕される 40

ストーリー by hylom
IPアドレスだけだとなんとも 部門より

Debianプロジェクトで複数のパッケージのメンテナンスを行っていたDmitry Bogatov氏が、ロシア当局に逮捕された。GlobalVoicesによると、容疑は暴動を引き起こすよう計画し、テロ活動を起こすよう呼びかける内容の投稿をロシアのネット掲示板に投稿したというもの。氏は容疑を否認している。

当局はIPアドレスから問題の投稿がBogatov氏によるものだと判断したようだが、TorやIPアドレス偽装技術などを使って氏以外のものが投稿を行った可能性もあるという話も出ている。

これを受けてDebianプロジェクトは声明を出し、氏が使用していた鍵を無効化するという対応を行ったと説明している。また、Bogatov氏はTorの中継オペレータとしても活動していたが、これに対してTorプロジェクトはTorネットワーク内での活動については一切収集・記録していないとし、この件については何の情報も持っていないという声明を出している。

13132777 story
ハードウェア

ASUS、ワンボードマイコンを発売 78

ストーリー by hylom
群雄割拠 部門より

Raspberry Pi世界で累計1000万台以上が販売されている人気のワンボードマイコンだが、他社もこれに対抗するような製品を多く発売している。このたび、ASUSもこのようなワンボードマイコン製品を発売した(GIGAZINEPC WatchPhoronix)。

この製品は「Tinker Board」という名称で、プロセッサはARM Cortex-A17ベース(1.8GHz)のRockchip RK3288でメモリは2GB(DDR3)、有線LAN(ギガビットイーサネット)、Bluetooth 4.0、IEEE802.11b/g/n対応無線LAN、USB 2.0ポート×4、microSDカードポート、HDMI2.0ポート、S/PDIFなどを搭載。Debianのカスタマイズ版がプリインストールされているとのこと。販売価格は73ドル(約8400円)だそうだ。

12978550 story
Debian

Mini Debian Conference Japan 2016 開催 19

ストーリー by headless
開催 部門より
あるAnonymous Coward 曰く、

Mini Debian Conference Japan 2016が12月10日、東京・日本橋のサイボウズ株式会社東京オフィスで開催される(開催概要)。

セッション内容は未定で、現在発表者を募集中。参加は無料だが、会場への入場方法を案内するため、事前に登録が必要とのこと。LibreOffice Kaigi 2016.12も共同開催される。

発表者の応募期限は11月13日23:59:59まで。

12958857 story
バグ

Linuxカーネルに11年以上前から存在する特権昇格の脆弱性「Dirty COW」が修正される 51

ストーリー by headless
汚牛 部門より
Linuxカーネルに11年以上前から存在するバグが修正された。このバグは以前から知られていたものだが、最近になって特権昇格の脆弱性(CVE-2016-5195)であることが判明し、エクスプロイトの存在も確認されて「Dirty COW」と名付けられていた(メーリングリストでのアナウンスV3の記事The Registerの記事Ars Technicaの記事)。

Dirty COWはLinuxカーネルのサブシステムがcopy-on-write(COW)を処理する際に競合を起こし、プライベートな読み取り専用メモリーマッピングへの書き込みが可能になるというもの。このバグを特権のないローカルユーザーが利用することで、特権の昇格が可能になる。Linus Torvalds氏は11年前にバグの修正を試みているが、s390アーキテクチャーで問題が発生して取り消されていたとのこと。

RedHatではDirty COWの深刻度を2番目に高い「Important」としており、任意コード実行の脆弱性などと比べて低い評価になっている。しかし、発見者のPhil Oester氏によれば、エクスプロイトは少なくとも2007年から存在しており、侵入されたサーバーも発見されているという。エクスプロイトの実行が容易ということもあり、迅速な対応が求められるとのことだ。

脆弱性はLinuxカーネル4.8.3/4.7.9/4.4.26 LTSで修正されており、DebianUbuntuもアップデートがリリースされている。Red Hatのアップデートはまだのようだが、Bugzillaで緩和策を紹介している。
12815752 story
Ubuntu

Canonicalが開発する「snap」アプリケーションパッケージ、ほかの主要ディストリビューションでも利用可能に 14

ストーリー by hylom
Dockerへの対抗? 部門より
あるAnonymous Coward曰く、

Canonicalが、同社が開発しているアプリケーションパッケージフォーマット「snap」をUbuntu以外でも利用できるよう作業を進めているという(ZDNet Japan)。

snap形式で配布されているアプリケーションパッケージは、各アプリケーションが隔離されたサンドボックス内で実行されるのが特徴。そのためセキュリティに優れ、アップデート等を行った際にシステムや他のアプリケーションに影響を及ぼすことも少ないという。

Canonicalによると、DellやSamsungといった企業やLinux Foundation、ArchやDebianなどのLinuxディストリビューションなどと協力を行っているとのことで、DebianやFedoraなどですでに利用でき、またRed Hat Enterprise Linuxでも検証が進められているそうだ。

12797952 story
Debian

Systemd、ログアウト時にバックグラウンドプロセスをkillするよう既定値を変更へ 82

ストーリー by hylom
知らずに悲劇が発生する予感 部門より
Ryo.F 曰く、

Debianのバグトラッカによると、/etc/systemd/logind.confで設定できる「KillUserProcesses」の既定値が「no」から「yes」に変更されたようだ(Slashdot)。

たとえばsshで接続してscreenやtmuxで作業し、デタッチ・ログアウトしてしばらく経ってから作業結果を確認、といった作業で悲劇が起こる可能性が。

なぜこうなった……。

KillUserProcessesの値が「yes」に設定されていると、ログアウト時にsystemdが自動的にユーザーのバックグラウンドプロセスを削除するようになる。それによってこのような問題が発生するようになるという。

12766589 story
スラッシュバック

Devuanプロジェクト、初のベータ版となるDevuan Jessie 1.0 Betaをリリース 48

ストーリー by headless
前進 部門より
Devuanプロジェクトが4月29日、Devuan GNU+Linux初のベータ版となるDevuan Jessie 1.0 Betaをリリースした(メーリングリストでのアナウンスダウンロードページThe Registerの記事)。

Devuanはsystemdをめぐる論争の末、「Veteran Unix Admin」を名乗る集団がinitの自由を維持するため、2014年にDebianをフォークしたものだ。Devuan Jessie 1.0 Betaはsystemdによる問題を回避しつつ、Debian Jessieを完全に置き換え可能であり、Debian Wheezyから安全にアップグレード可能だという。ベータ版のリリースは、Devuanを一般的なディストリビューションとして続けていくにあたり、重要なマイルストーンになるとのことだ。
12639567 story
Debian

Debianパッケージ作成支援ツール「cme」登場、GUIでの操作も可能 40

ストーリー by hylom
使ってみよう 部門より
insiderman 曰く、

Debian向けのパッケージ(.debファイル)作成を支援するGUIツール「cme」なるものが登場した模様(Phoronix)。Managing Debian packages with cmeなるドキュメントも公開されている。

Debianパッケージを作成するにはいくつかのやり方があり、柔軟にパッケージ作成を行えるいっぽう、柔軟すぎて学習のハードルは高かった。Debianパッケージに必要なcontrolファイルを編集したり、パッチの管理を行ったり、copyrightファイルを編集したりといった作業が行える。また、コマンドラインベースで同等の作業を行うこともできるという。

12635803 story
Debian

訃報:Debianプロジェクト創始者のIan Murdock氏 47

ストーリー by hylom
まさかの訃報 部門より
Artane. 曰く、

GNU/Linuxの多くのディストリビューションの基礎にもなっているディストリビューション、Debianの創始者の一人であり、「Debian」の名前の由来の片方でもあるIan Murdock氏が、12月28日に逝去されたTechCrunchZDNet)。42歳だった。死因は不明。

Debianは言うまでもなく、Red Hat/Fedoraと並んで有力なGNU/Linuxディストリビューションであり、多くのサーバーや組み込み機器の中枢を担った。さらにUbuntuなどの多くのディストリビューションの基礎部分となるまでに成長しただけではなく、初期から「フリーかどうか」を重視し、フリーでないものを別のカテゴリ(contribもしくはnon-free)に分けて収録するなど、FSFが提唱してきた「フリーなソフトウェアで世界のコンピュータを満たす」と言う哲学・目標を体現するシステムでもありました。

私は、Facebook上でのDebian Projectの一報で知りましたが、未だ42であるとは…早すぎる死に、合掌。

Murdock氏は12月27日に酔って民家に不法侵入しようとして警察に逮捕されていたという話もあるという。ただ、氏は当日中に保釈されているとのこと。警察に暴行を受けていたのではないか、との噂も出ている。

Murdock氏は近年ではDockerの開発に携わっていた。

12568377 story
ゲーム

次期SteamOS、カーネルがLinux 4.1ベースに 14

ストーリー by headless
更新 部門より
現在ベータテストが行われている次期SteamOS「brewmaster」の最新版2.49では、カーネルがLinux 4.1 LTSベースに変更されているそうだ(Steam Universeの記事Phoronixの記事)。

brewmasterはDebian jessie(8.x安定版)ベース。これまではLinux 3.18 LTSベースのカーネルを使用しており、大幅な更新になるという。また、AMDとNVIDIAのグラフィックカード用ドライバーが最新版に更新されたほか、一部のキーボードやマウスが誤ってジョイスティックデバイスとして認識される問題に対処するため、ブラックリストを追加したとのことだ。
12517978 story
Debian

Debian、CD ISOイメージの新規作成を終了へ 34

ストーリー by hylom
700MBが小さすぎる時代に 部門より
insiderman 曰く、

Debianが次期版であるDebian 9.0(Strech)以降、インストールなどに使われるCDイメージを用意しないことを決めたという(Steve McIntyre氏によるdebian-debel-announce MLへの投稿)。理由としては、利用しているユーザーが少なくなっていること、全パッケージにアクセスできるようにするには大量のCDが必要になることが挙げられている(Phoronix)。今までCDの1枚目にはデスクトップ環境などが収録され、それだけで最低限のGUIを備えるシステムをインストールできたが、近年ではCD1枚にそれらを収めるのが難しくなっている、というのも背景にあるようだ。

代わりに、より大容量のDVDやBlu-rayイメージと、CD1枚や小容量のUSBメモリなどにも収まるネットインストール用の最小イメージに注力するという方針らしい。また、4GBのUSBメモリに収まるDVDイメージ(の1枚目)をすべてのアーキテクチャに向けて提供することになるという。

そのほか、新たにクラウド向けのイメージやライブイメージなどの拡充も行う方針だという。

12508615 story
セキュリティ

Debianの「どんな環境でビルドしても同一のバイナリを生成できる」試み 38

ストーリー by hylom
検証可能性の担保 部門より
insiderman 曰く、

Debianがバイナリファイルの信頼性向上のため、「どんな環境でビルドしても同じバイナリが生成される」ような仕組み(Reproducible builds)の普及に取り組んでいるそうだ(SlashdotMotherboard)。

Debianではソースパッケージを利用することでソースコードからのビルドは簡単に行えるが、ビルドに使用した環境の違いなどによって生成されるバイナリは異なるものになる可能性がある。Debianはこの問題を解決し、どのような環境でも常に同一のバイナリを生成できるような仕組みを導入することで、改変されたバイナリを簡単に判別できるようにすることを目指しているという。

Debianが今これに注力する理由として、諜報機関などがソフトウェアにバックドアを仕込む、という問題が挙げられている。Reproducible buildsを導入することで、こういった問題への対策になるということのようだ。なお、現在、Debianの全パッケージのうち83%がReproducible buildsに対応しており、この割合は徐々に増加し続けているという。

近年ではLinuxの世界でも第三者がビルドしたソフトウェアをダウンロードして使うことが普通になっており、最近では第三者がビルドした仮想マシンをダウンロードして使う、という例も増えている。そのバイナリが本当に安全なのか、バックドアは仕込まれていないか、利用者はその点を注意・確認してから利用するべきだろう。

12502581 story
Linux

LILO、今年の12月で開発終了へ 57

ストーリー by hylom
お疲れ様でした 部門より
tk4terui 曰く、

90年代から開発が続けられており、長年Linuxのブートローダーとして親しまれてきたLILOの開発が、今年12月で終了するという(LILOのWebサイト)。

開発チームのコメントは次の通り。

I plan to finish development of LILO at 12/2015 because of some limitations (e.g. with BTFS、GPT、RAID). If someone want to develop this nice software further、please let me know ...

GRUBではなくLILOを愛用してきた身としては寂しい限り。

12306044 story
バグ

QEMUの仮想CD-ROMドライブに脆弱性が見つかる 3

ストーリー by hylom
今度はCD-ROMドライブ 部門より
headless 曰く、

QEMUの仮想CD-ROMドライブで脆弱性が発見されされた(Qemu-develメーリングリストPhoronixXen — XSA-138Debian — CVE-2015-5154)。

公表された脆弱性は、特定のATAPIコマンドの処理に問題があり、ヒープオーバーフローが発生するというもの。この脆弱性を悪用すると、ゲストシステムの特権ユーザーがQEMUのプロセスと同じ権限で、任意のコードをホストシステム上で実行可能になる。

Xenの場合、仮想CD-ROMドライブを使用する構成でスタブドメインを使用しないx86のHVMゲストが影響を受ける。また、QEMUデバイスモデルの「qemu-xen-traditional」および「qemu-xen」を使用しているシステムも影響を受ける可能性があるという。DebianではJessie以降のリリースが影響を受けるとしている。

QEMUでは5月に仮想フロッピーディスクドライブの脆弱性「VENOM」、6月には仮想PCNETコントローラーの脆弱性が公表されている。いずれも今回の脆弱性と同様に、ホストシステム上でのコード実行が可能になるというものだ。

12187048 story
暗号

パソコンの発する電磁波をAMラジオで受信してRSA秘密鍵などを解析 32

ストーリー by headless
受信 部門より
これまでパソコンの電源鳴き電位の揺らぎを利用してRSA秘密鍵などの解析に成功しているイスラエル・テルアビブ大学の研究チームが、市販のAMラジオを使用したサイドチャネル攻撃でRSA秘密鍵およびElGamal秘密鍵の読み取りに成功していたそうだ(研究チームによる解説記事論文: PDFThe Registerの記事)。

研究チームでは、GnuPGで復号を実行する際、パソコンが発する電磁波の周波数が変動し、1.5~2MHzのFM波として受信可能な点に注目。そこで、USB接続のSDR(ソフトウェア無線)受信機ドングルとループアンテナ、ノートパソコンを組み合わせてターゲットの秘密鍵解析を試みたところ、3072ビットElGamal秘密鍵と4096ビットRSA秘密鍵をそれぞれ数秒で取得できたという。また、SDRドングルとループアンテナ、OSをDebianに変更したAndroid TVドングルを使用し、ピタパンに組み込み可能なポータブル型読み取り装置(PITA)も作成している。こちらもノートパソコンを使用した場合と同様のパフォーマンスが得られたとのこと。

PITAは安価に作成できるが、SDRドングルを購入する必要がある。一般的な家庭用品で電磁波の読み取りを可能にするため、研究チームはポータブルラジオで受信した音声をスマートフォンで録音する仕組みを考案。ポータブルラジオにはFM放送の受信が可能なものもあるが、読み取りを行う電磁波は中波帯のため受信できない。そのため、AM受信機のチューニングを少しずらしてFM/AMコンバーターのような働きをさせることで、データの取得が可能になったという。

なお、実験に使用したGnuPGはバージョン1.4.18。Libgcrypt 1.6.2にも同様の脆弱性があるという。ただし、研究チームでは事前に脆弱性の存在をGnuPGの開発者に連絡しており、論文が公表された2月27日には修正版のGnuPG 1.4.19およびLibgcrypt 1.6.3が公開されている。
typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...