パスワードを忘れた? アカウント作成

あなたのタレコミがスラドを支えます。さぁ、タレこめ!

13574823 story
バグ

脆弱性公表をきっかけにbeepパッケージの不要論が出る 29

ストーリー by hylom
そんなコマンドあったなあ 部門より
headless曰く、

Linuxの「beep」パッケージの脆弱性が先日公表されたのだが、便乗する偽特設ページが出現したり、他の問題も発見されたりした結果、beep不要論まで出る事態となった(Register)。

この脆弱性(CVE-2018-0492)はbeep 1.3.4までに存在し、setuidを設定した場合にローカルでの特権昇格が可能になる競合状態を引き起こすというものだ。偽特設ページはこの脆弱性を「Holey Beep」と名付け、でたらめな内容を織り交ぜた解説のほか、パッチと称するエクスプロイトも公開している。

Debianでは1.3-3+deb7u1(Wheezy)/1.3-3+deb8u1(Jessie)/1.3-4+deb9u1(Stretch)で修正されており、UbuntuでもDebianのパッチが適用されているようだ。しかし、Debianのパッチを適用した状態でも、beepが任意のファイルをrootとして書き込み用に開くことが可能とみられることが報告される。さらに整数オーバーフローの問題も報告された。

これらの問題を受けてoss-secメーリングリストでは、現在はビープ用スピーカーを備えるPCがほとんどない点や、周波数や長さなどの指定はできないものの「printf '\a'」で置き換え可能な点を指摘して、むしろbeepを廃止すべきではないかという意見が投稿されている。

13563151 story
インターネット

Apache HTTP Serverに複数の脆弱性 49

ストーリー by hylom
重大ではないとはいえ気持ちは悪い 部門より
あるAnonymous Coward 曰く、

Apache HTTP Serverに複数の脆弱性が発見された。この問題を修正したHTTP Server 2.4.33が公開されており、アップデートが推奨されている(JVNVU#95818180窓の杜)。

タレコミ人の使うDebianではsid(開発ブランチ的位置付け)でさえまだ対策版が存在しない。影響範囲の大きいWebサーバーの脆弱性ですが、ディストリの対応を考慮せず公開してしまうという慣例はなんとかならんもんでしょうかね。

問題の脆弱性は、悪用することでDoS攻撃を可能にするものや、認証を回避される可能性があるといったもの。危険性はセッション改ざんのおそれがある「CVE-2018-1283」が「medium」で、残りはいずれも「low」となっている。なお、CHANGELOGなどではバージョン2.4.30でこれらが修正されたとなっているが、バージョン2.4.30~2.4.32は開発者向けのみにリリースされている。

13506850 story
Google

Google、社内で利用するLinuxディストリビューションをDebianベースに変更中 61

ストーリー by hylom
Debian開発者を多く抱え込んでそうなイメージが 部門より

Googleは今まで社内の開発プラットフォームで使用するLinuxディストリビューションとしてUbuntuを使用していたが、これをDebianベースのものに切り替えるそうだ(gihyo.jp)。

今まで同社はUbuntuベースの「Goobuntu」を使っていたが、これをDebianベースの「gLinux」に切り替えていくという。gLinuxは現在開発中のDebian 10をベースに、独自にソースからビルドしているそうだ。

13481729 story
ゲーム

公開から4年、SteamOSの先行きは? 29

ストーリー by headless
結露 部門より
Valveがゲーム向けLinuxディストリビューションとしてSteamOSのベータ版を公開してから4年が経過したが、その先行きはあまり明るくないようだ(Phoronixの記事)。

SteamOSのベータ版が公開されたのは2013年12月13日。最初のバージョン「alchemist」はDebian Wheezyベースで、現行の「brewmaster」はDebian jessieベースとなっている。Valveでは現在もSteamOSを維持しているが、明確なロードマップや将来の野心的な計画は示されていない。ベータ版の更新はまれで、アップストリームのDebianからのドライバー更新やセキュリティ修正が主だという。

PhoronixのMichael Larabel氏によれば、SteamOSには他のLinuxディストリビューションに対する特別なアドバンテージはなく、ゲーミングPCを自作する場合のOSとしても推奨できないとのこと。

SteamでのLinuxのシェアは2015年初めに1%を切り、その後も減少傾向が続いている。Linuxでランキングに登場するのはUbuntuやLinux Mintばかりで、SteamOSがランキング入りしたことはない。
13434014 story
スラッシュバック

WPA2の脆弱性「KRACK」の対策が進む 85

ストーリー by hylom
致命的な感じには至らなそうでなにより 部門より
headless曰く、

先日話題になったWPA2の脆弱性KRACK」だが、Microsoftはサポート対象のすべてのWindowsについて、既に10月の月例更新で修正済みだったそうだ。LinuxやAppleのOSなどでも対応が進められている(The VergeSoftpediaMac RumorsNeowinBetaNews)。

KRACK(Key Reinstallation AttaCK)攻撃は偽のアクセスポイントを使用してクライアントにWPA/WPA 2の暗号鍵を再インストールさせることで、通信内容の復号が可能になるというもの。アクセスポイントではなくクライアントを対象にした攻撃であり、クライアント側のパッチで回避可能になる。

Windowsが影響を受けるのはCVE-2017-13080で、Windows 7~Windows 10、Windows Server 2008~2016のうち、10月10日時点でサポートされているバージョンにパッチが提供されている。なお、Windows 10は最初にリリースされたバージョン(RTM)からバージョン1703(Creators Update)まで、すべてのバージョンにパッチが提供されたようだ(セキュリティ更新プログラムガイド)。

Windows以外のOSではOpenBSDDebianUbuntuFedoraRed HatLinux Mintelementary OSArch LinuxSolusなどがパッチの提供を発表しており、LinageOSもパッチをマージしている。Appleはベータ版のiOS/tvOS/watchOS/macOSで修正済みだといい、Googleは数週間のうちにAndroidのパッチをリリースすると述べているそうだ。

デバイス関連ではIntelCiscoNETGEARArubaUbiquitiが修正版ファームウェア提供などの対策を発表している。

13393570 story
Debian

Raspbian Strechリリース 17

ストーリー by hylom
アップデート 部門より
あるAnonymous Coward 曰く、

Raspberry Pi向けのLinuxディストリビューション「Raspbian」の最新版である「Raspbian Stretch」が8月17日に公開された(Raspbianのブログ)。

現在LTSのWheezyからJessieを飛ばして、Strechへ移行を考えている諸氏も多いのではないでしょうか。

RaspbianはDebianをベースにしており、本バージョンはその名前からも分かるとおりDebian Stretchをベースとしている。同ブログでは旧バージョンからはapt-getコマンドでアップグレードを行う方法も紹介されている。

13348463 story
Wine

GNOMEのファイルマネージャーで任意のVBScriptコードを実行可能なバグ「Bad Taste」 32

ストーリー by headless
不味 部門より
GNOMEのファイルマネージャー「GNOME File (Nautilus)」で任意のVBScriptコードを実行可能な脆弱性「Bad Taste」が発見された(発見者による解説記事The Registerの記事Neowinの記事Bleeping Computerの記事CVE-2017-11421)。

問題はWindowsの実行ファイル(.exe)やWindowsインストーラーパッケージ(MSIファイル: .msi)などのアイコンをGNOME File上で表示するために使われる「gnome-exe-thumbnailer」のバージョン0.9.4-2以前に存在し、Wineがインストールされた環境で再現する。また、GNOME Fileのほか、「Cinnamon Nemo」や「MATE caja」といったファイルマネージャーも影響を受けるとのこと。

バージョン0.9.4-2までのgnome-exe-thumbnailerはMSIファイルを処理する際、Wineが利用できる場合には一時ファイルとしてVBSファイルをテンプレートから生成し、スクリプトを実行して「WindowsInstaller.Installer」オブジェクトからファイルバージョンを抽出する。しかし、スクリプトにはMSIファイルのファイル名が記述されるため、VBScriptコードとして解釈可能なファイル名にすることで任意のVBScriptコードを実行可能になる。
13333208 story
統計

LinuxノートPCの3割がWindowsとのデュアルブートという調査結果 86

ストーリー by headless
切替 部門より
Phoronixが実施した「2017 Linux Laptop Survey」によると、ノートPCでLinuxを利用するユーザーの29.3%はWindowsとのデュアルブート構成にしているそうだ(Phoronixの記事)。

調査は6月23日~7月6日に実施されたもので、30,171人が回答したという。Linuxとデュアルブート/マルチブートで使用するOSではWindowsが圧倒的に多く、4.4%が複数のLinuxディストロ、3.5%がmacOS(3.5%)と回答している。一方、デュアルブートにしていないというユーザーが62.2%を占めており、BSDとSolarisは合計で0.6%となる。

最も直近に購入したノートPCにLinuxがプリインストールされていたという回答は10.3%にとどまり、およそ9割は購入後に自分でインストールしているようだ。ノートPCを選択する際に重視するポイントでも、Linuxがプリインストールされているとの回答は14.1%にとどまる。これに対し、製品の造りの良さを重視するとの回答は30.7%に上り、パフォーマンス(25.2%)と合わせて過半数を占める。

使用ディストロ(複数回答)ではUbuntuが38.9%を占め、ArchLinux(27.1%)、Debian(15.3%)、Fedora(14.8%)、Linux Mint(10.8%)が続く。LinuxノートPCで主に実行する作業としては、Webブラウズが最も多い82.5%。ソフトウェア開発(73.1%)、オフィス業務(47.7%)、マルチメディア(45.2%)、学校の勉強(25.3%)が続く。SteamのOSシェアでLinuxは1%未満となっているが、こちらでもゲームに使用するとの回答は21.1%にとどまる。
13321102 story
Debian

Skylake/Kaby LakeプロセッサのHTTに不具合 54

ストーリー by hylom
もう修正が出ている模様 部門より

IntelのSkylake/Kaby Lakeプロセッサにおいて、Hyper Threading Technology(HTT)関連のバグがあるという話が出ている(debian-user/debian-develメーリングリストへの投稿Phoronix)。

この問題は、Hyper Threadingを有効にした場合、特定の状況下で予測できない振る舞いをするというもの。これによってシステムやアプリケーションが不正な挙動を行い、データの不整合や消失が発生する可能性があるという。この問題はIntel側でも認識されており、「Short Loops Which Use AH/BH/CH/DH Registers May Cause Unpredictable System Behavior.」としてErattaも出されている。

この問題はOSに関係なく発生するが、BIOS/UEFIでHyper Threadingを無効化する、もしくはプロセッサのマイクロコードのアップデートを行う等で対処が可能という。すでにDebianではこのマイクロコードをintel-microcodeパッケージで配布しているそうだ。

13316204 story
BSD

Linuxなどのスタック管理機構において権限昇格が可能な脆弱性が発見される。多くのLinuxディストリビューションに影響 65

ストーリー by hylom
皆様アップデートを 部門より

LinuxやUNIX系OSにおいて、一般ユーザーが不正に特権を得ることができる「Stack Guard Page Circumvention」と呼ばれる攻撃手法が発見された(Red Hat Customer Portal)。Linuxカーネルやglibc、sudoなどの脆弱性を利用するもので、幅広い影響が出るようだ。

ベースとなっているのは、スタック領域に多量のメモリ割り当てとデータ書き込みを行ってスタック領域を溢れさせることで、ヒープ領域のデータを不正に書き換えられることがあるという問題。Red Hatによると、関連する脆弱性はCVE-2017-1000364(Linuxカーネルのstack guard pageの脆弱性)、CVE-2017-1000366(glibcでLD_LIBRARY_PATHの値に細工をすることでヒープ/スタックの値を操作できる脆弱性)、CVE-2017-1000367(sudo 1.8.20以前の入力バリデーションの不備)という3つとされている。osdn曰く、

スタック範囲を他のメモリ領域と衝突させて悪用できる問題は2005年と2010年に示され、対策が取られてきました。しかしセキュリティ企業Qualysが19日、少なくともLinux、OpenBSD、NetBSD、FreeBSD、Solarisのi386とamd64では対策の不備があり、実際に悪用可能か、少なくともPoCが存在することを示しました。(ITmedia)。

数多くの入口からローカル権限上昇攻撃ができた (あるいは理論上可能な道筋がある) そうです。緩和策としてはlimits.conf等でスタックを制限することなどがありますが、完全ではありませんし副作用も大きいです。各ベンダーには既に通知され、順次対策が取られることになっていますので、アップデートの用意をしておくのが最善でしょう。

アドバイザリによれば、Debianでも8.5と8.6、また8.xと9以上の間には脆弱さに大きな違いがあり、最新のものほど効率よく悪用することは難しくなってきているそうです。

しかし現状で最も簡単に悪用できる方法はi386のDebianでEximを使ってローカル権限上昇をすることだ、とQualysは指摘しています。またOpenBSDではatを使って攻撃しようとしたものの、ファイルシステムが遅すぎて、一週間かけてもヒープがスタックに届くほどの数のジョブファイルを作成できなかったそうです。

なお、今回は64bitでもスタックと他領域が近い場合があることも示されましたが、基本的にはメモリ領域が広い方が安全です。

grsecurity/PaXにはスタック・ガードページの大きさを変更できる機能があるので、これを大きくするのは簡単で有効です。またGCCには-fstack-checkというオプションがあり、各4KBページにアクセスすることで、スタックポインタが他領域に行ってしまう前に必ずガードページに当たり、SEGVになってくれるそうです。パフォーマンスに影響はありますが、長期的には良い方法だとQualysは指摘しています。

13314096 story
Debian

Debian 9.0 "Stretch"、ついにリリース 48

ストーリー by hylom
色々と作業をしなければ 部門より
osdn曰く、

Debian 9 "stretch"の初めてのバージョンが17日にリリースされました

8.0 "Jessie"から2年も経っていますし、7.x "Wheezy"のLTSがあと1年未満ですから、既存ユーザがアップデートする良い機会になりそうですね。

また、LiveイメージにはCinnamonやMate版もありますので、新規に試してみたい人のハードルも低くなっています。

タレコミ時点では、https://www.debian.org/CD/http-ftp/にある日本のミラーサーバのうちjaistとhanzubonしか9.0を持っていないようですが、http://debian-cd.debian.net/を使うと自動的に近場からダウンロードできます。また、DebianはBitTorrentの使用を推奨していますので、利用できるならそちらをどうぞ。(https://www.debian.org/distrib/

LXDEのLiveイメージを起動してみたところ、日本語を選択しても、いきなりClipItのダイアログが英語で出てきたので、これは英語を読めない人には勧められないな、と思いました。

13293583 story
Debian

Devuanプロジェクト、初の安定版「Devuan Jessie 1.0.0 Stable」リリース 26

ストーリー by headless
安定 部門より
Devuanプロジェクトは25日、Devuan GNU+Linux初の安定版となる「Devuan Jessie 1.0.0 Stable」をリリースした(アナウンスPhoronixの記事The Registerの記事Softpediaの記事[1][2])。

DevuanプロジェクトはDebianにおけるsystemdをめぐる論争の結果として、「Veteran Unix Admin」を名乗るグループが2014年11月にDebianをフォークして立ち上げたプロジェクト。initシステムの自由(Init Freedom)を掲げ、Debianからsystemdへの依存を排除して任意のinitシステムを使用できるようにすることを目指す。

Devuan Jessie 1.0.0は3週間前にRC2が公開されてから大きなバグの報告はなく、重大なバグは1件もないことから、安定版としての公開に至ったとのこと。本バージョンは同時に長期サポート版(LTS)となる。Debian 7/8からのアップグレードも可能だ。

プロジェクトによれば、DevuanはDebianのあるべき姿とのことで、目標は実用的で継続的な選択肢の提供だという。ナンセンスではないユニバーサルなGNU+Linuxを提供するという計画は始まったばかりであり、このリリースの先に広がっていくとのことだ。
13276705 story
Debian

「Init Freedom」を掲げるDebianフォーク「Devuan 1.0.0 RC2」リリース 41

ストーリー by hylom
Systemdも慣れると楽ではあるのだが 部門より

Debian 8(Jessie)ではデフォルトの起動システムとしてsystemdが採用されたが、これに対し批判的なメンバーらが立ち上げたフォークプロジェクト「Devuan」が5月5日、バージョン1.0のリリース候補版である「Devuan Jessie 1.0.0 RC2」を発表した(gihyo.jp)。

Debuanではinitシステムを自由に選択できる「Init Freedom」を掲げており、旧来から使われていたsysvinitだけでなく、openrcやrunit、sinitといったinitシステムも提供されるとのこと。

13247984 story
Debian

Debian開発者が暴動の扇動やテロ支援容疑でロシア当局に逮捕される 40

ストーリー by hylom
IPアドレスだけだとなんとも 部門より

Debianプロジェクトで複数のパッケージのメンテナンスを行っていたDmitry Bogatov氏が、ロシア当局に逮捕された。GlobalVoicesによると、容疑は暴動を引き起こすよう計画し、テロ活動を起こすよう呼びかける内容の投稿をロシアのネット掲示板に投稿したというもの。氏は容疑を否認している。

当局はIPアドレスから問題の投稿がBogatov氏によるものだと判断したようだが、TorやIPアドレス偽装技術などを使って氏以外のものが投稿を行った可能性もあるという話も出ている。

これを受けてDebianプロジェクトは声明を出し、氏が使用していた鍵を無効化するという対応を行ったと説明している。また、Bogatov氏はTorの中継オペレータとしても活動していたが、これに対してTorプロジェクトはTorネットワーク内での活動については一切収集・記録していないとし、この件については何の情報も持っていないという声明を出している。

13132777 story
ハードウェア

ASUS、ワンボードマイコンを発売 78

ストーリー by hylom
群雄割拠 部門より

Raspberry Pi世界で累計1000万台以上が販売されている人気のワンボードマイコンだが、他社もこれに対抗するような製品を多く発売している。このたび、ASUSもこのようなワンボードマイコン製品を発売した(GIGAZINEPC WatchPhoronix)。

この製品は「Tinker Board」という名称で、プロセッサはARM Cortex-A17ベース(1.8GHz)のRockchip RK3288でメモリは2GB(DDR3)、有線LAN(ギガビットイーサネット)、Bluetooth 4.0、IEEE802.11b/g/n対応無線LAN、USB 2.0ポート×4、microSDカードポート、HDMI2.0ポート、S/PDIFなどを搭載。Debianのカスタマイズ版がプリインストールされているとのこと。販売価格は73ドル(約8400円)だそうだ。

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...