パスワードを忘れた? アカウント作成

あなたのタレコミがスラドを支えます。さぁ、タレこめ!

15153446 story
バグ

sudoに10年近く前から存在した脆弱性が修正される 46

ストーリー by headless
修正 部門より
sudoに10年近く前から存在したヒープベースのバッファーオーバーフロー脆弱性(CVE-2021-3156)がsudo 1.9.5p2で修正された(Sudo Stable ReleaseQualys Security AdvisoryThe Registerの記事BetaNewsの記事)。

発見者のQualysが「Baron Samedit」と名付けたこの脆弱性はsudoが引数のエスケープを処理する方法に存在し、「sudoedit -s」コマンドにエスケープされていないバックスラッシュで終わる引数を指定して実行することによりヒープベースのバッファーオーバーフローが引き起こされる。この脆弱性を悪用することで、任意のユーザー権限の攻撃者がroot権限を取得できる可能性があるという。

脆弱性が導入されたのは2011年7月で、sudoのレガシー版1.8.2~1.8.31p2および安定版1.9.0~1.9.5p1が影響を受ける。上流では安定版のみが修正されているが、レガシー版を同梱するLinuxディストリビューションでは個別に修正が行われている。
15119786 story
Debian

完全に自由なオペレーティングシステム実現のためには簡単にインストールできない不自由さを我慢するべきか 142

ストーリー by headless
自由 部門より
Debianが完全に自由なオペレーティングシステムを実現するため、非自由な(プロプライエタリな)ドライバー・ファームウェアを同梱するバージョンが見つかりにくいようにしていることに対し、Windows 10からの移行で苦労したユーザーがDebian開発者メーリングリストで異議を唱え、議論となっている(The Registerの記事メーリングリスト投稿)。

投稿者はWindows 10がプリインストールされたノートPCにDebianをインストールしようとしたが、Debianのサイトで容易に見つかる「netinst」インストールイメージでは非自由なネットワークドライバーが利用できないため、DVD版のISOイメージを探し出すまでインストールできなかったという。そのため、非自由なドライバーを含むバージョンを隠す方針はWindows 10からの移行に興味を持つ人の導入を制限しているとし、誰にでも利用できるようにすることを提案している。

これに対し、ファームウェアをnon-freeからnon-free-firmwareに移動することを提案したが総意が得られなかった、Debian開発者は「完全に自由だが動作しない環境の多いバージョン」と「非自由ソフトウェアによりほとんどの環境で動作するバージョン」の2バージョンを作成し、動作する方を隠して動作しない方をトップページに置いているなど、現状に批判的な返信がみられる。一方、非自由なソフトウェアを含むバージョンを「動作する」とはみなさず、そういうものがよければUbuntuを使えばいいといった強硬意見や、Debian側で問題を修正不可能なソフトウェアは配布できないという意見も出ている。

現在非公式版として配布されている非自由ソフトウェア同梱版にトップページからたどり着けるようにすればいいという意見も早い段階で出ていたが、議論は完全な自由を選ぶか不完全な自由を選ぶかという方向に向かっているようだ。スラドの皆さんのご意見はいかがだろうか。
14986729 story
Debian

Debian 11のデフォルトテーマが決定 26

ストーリー by headless
的中 部門より
Debian Projectは12日、Debian 11(コードネーム: Bullseye)のデフォルトテーマ「Homeworld」を発表した(Bits from Debianの記事Phoronixの記事)。

Debian ProjectではBullseyeのデフォルトアートワークを決めるための人気調査を10月下旬から11月上旬に実施したが、5,613人の回答者によるランキングを総合した結果、Juliette Taka Belin氏のデザインによるHomeworldが勝者になったという。Belin氏はHomeworldについて、バウハウス運動のアートスタイルにインスパイアされたテーマだと説明している。

Debianのコードネームは映画「トイ・ストーリー」のキャラクター名から取るのが恒例になっており、Bullseyeは馬のキャラクターだ。Homeworldでは馬の顔らしきオブジェクトが中央に置かれ、文字通りの「bull's-eye (標的)」らしくアレンジされたDebianロゴもみられるが、その関連については説明されていない。

Belin氏はDebian 8の「lines」テーマや、Debian 9の「softWaves」テーマの作者でもある。スラドの皆さんの予想は当たっただろうか。
14973341 story
Debian

Debian Project、次期リリース「Bullseye」で使用するアートワークの人気調査を実施 21

ストーリー by nagazou
ブルーアイズと読み間違える日本人 部門より
headless 曰く、

Debian Projectが来年リリース予定のDebian 11(コードネーム: Bullseye)で使用するデフォルトのアートワークを決めるため、人気調査を実施している(Bullseye Artwork Survey候補リストPhoronixの記事)。

Bullseyeは映画「トイ・ストーリー」に登場する馬のキャラクター「ブルズアイ」から取った名前だという。アートワークは10月15日までの公募で提案されたもので、10月26日~11月9日までのレビュー期間が設定されている。

提案されたアートワークは全部で17点。ブルズアイにちなんで馬をデザインしたものや馬蹄をデザインしたもの、文字通り「bull's-eye (標的)」風にデザインしたものもみられる。人気調査はどれか1点を選ぶのではなく、気に入った順に並べ替えて送信する形式だ。

明確には説明されていないが、気に入った作品は下の「Your choices」に移動してランク順に並べ替え、残りを「Your ranking」内でランク順に並べ替えるということのようだ。送信後に印刷画面でランクが表示されるのは「Your choices」に移動した作品のみだった。スラドの皆さんはどれが好みだろうか。

14967303 story
インターネット

Linux版Microsoft Edgeのプレビュービルド、提供が始まる 39

ストーリー by nagazou
お試し版 部門より
headless 曰く、

Microsoftは20日、Linux版Microsoft EdgeのプレビュービルドをDevチャネルで提供開始した(Microsoft Edge Blogの記事)。

Linux版の提供開始により、Microsoft Edgeは主要なデスクトッププラットフォームおよびモバイルプラットフォームをすべてカバーすることになる。これに伴い、Microsoft Edge Bounty ProgramでもLinuxに関するバグ報告の受け付けを開始するとのこと。

Linux版は.debおよび.rpmの2種類のパッケージで提供され、現在のリリースはUbuntu/Debian/Fedora/openSUSEをサポートする。Microsoftでは他プラットフォーム向けのDevチャネルと同様、週1回の新ビルド提供を計画しているという。ダウンロードページではBetaチャネルでの提供も予告されている。

最初のプレビューリリースではWeb開発者にMicrosoft Edgeの開発者向け機能を体験してもらうことを目指しており、基本的にはmacOS/Windowsと同じ動作をするはずだという。一方、エンドユーザー向け機能ではMicrosoftアカウントまたはAADアカウントでMicrosoft Edgeにサインインする機能がサポートされておらず、設定の同期などサインインを要する機能はまだ使用できないとのことだ。

14927545 story
統計

9月のデスクトップOSシェア、4月以降増加していたLinuxが大幅減 105

ストーリー by headless
一転 部門より
Net Applicationsの9月分デスクトップOSシェアデータによれば、9月はLinuxのシェアが大幅に減少したようだ。

Linuxのシェアは昨年10月以降1%台で推移していたが、今年4月に急増して2.87%となり、6月をピークに5月~7月は3%を超えていた。8月は2.69%まで減少したものの、過去のシェアと比べると比較的高いシェアを維持していた。9月は1.47%(-1.22)と半分近くまで減少し、3月までのレベルに戻っている。このほかのOSではWindowsが1.34ポイント増(88.32%)と最もシェアを伸ばしており、Mac OS(9.55%、+0.17)とChrome OS(0.42%、+0.04)も増加した。

9月のデスクトップOSバージョン別シェアデータでもLinuxは減少している。個別にランキング入りしていないLinuxディストロ合計とみられる「Linux」は1.19ポイント減の1.14%と前月の半分以下に減少し、前月5位から7位まで順位を下げた。ディストロ別で最もシェアの高いUbuntuは4月に急増してLinux全体の増加に貢献したが、8月には急減していた。9月も0.03ポイント減の0.31%となっている。このほかのディストロで0.01%以上のシェアを獲得しているのはFedora(0.02%)のみ。Gentoo/Mint/Slackware/Debianもランキング入りしているが、合計でも0.01%に届かないとみられる。デスクトップOS全体のバージョン別ランキング上位では1位のWindows 10(61.26%、+0.69)と2位のWindows 7(22.77%、+0.46)がともに増加しており、トップ5で減少したのは5位のMac OS X 10.14(1.91%、-0.05)のみとなっている。
14130108 story
バグ

2019年に報告された脆弱性が最も多い製品はAndroid 93

ストーリー by headless
製品 部門より
VPN比較サイトTheBestVPNの集計によると、2019年に報告された脆弱性が最も多い製品はAndroidだったそうだ(リポート9to5Googleの記事)。

データは米国立標準技術研究所(NIST)のNational Vulnerability Database(NVD)から抽出したもので、2019年に報告されたAndroidの脆弱性は414件。Debian Linuxが360件、Windows Server 2016とWindows 10が357件で続く。1999年~2019年の通算ではDebian Linux(3,067件)が最も多く、Android(2,563件)とLinuxカーネル(2,357件)、Mac OS X(2,212件)が続いている。

一方、ベンダー別で2019年に最も多くの脆弱性が報告されたのはMicrosoft(668件)で、Google(609件)とOracle(489件)、Adobe(441件)が続く。1999年~2019年の通算でも1位はMicrosoft(6,814件)で、2位以下はOracle(6,115件)、IBM(4,679件)、Google(4,572件)の順となっている。1999年~2019年のデータでCVSSスコアの加重平均が最も高かったのはAdobe Flash Player(9.4)。以下、Adobe Acrobat(9.2)、Microsoft Office(9.1)、Adobe Acrobat Reader(8.9)の順になっている。

なお、英消費者保護団体Which?によると、Androidで2019年にセキュリティ更新が提供されたのはAndroid 7.0 Nougat以降のみだったという。昨年5月にGoogleが発表したAndroidプラットフォームバージョン別データでAndroid 2.3.x Gingerbread~Android 6.0 Marshmallowが合計42.10%を占めていることから、10億台以上の脆弱性が放置されたままだと指摘している(Which?の記事)。
14125047 story
インターネット

Freedb、3月末で終了 19

ストーリー by hylom
消えていくCDエコシステム 部門より

フリーなCDデータベース(CDDB)「Freedb」が、3月31日でサービスを終了するようだ(CDリッピングツール「Asunder」のDebianメンテナであるGUSNAN氏によるブログ記事)。

FreedbはGPLでデータを提供しているCDDB。フリーソフトウェア/オープンソースソフトウェアでもこのデータベースを参照してCDの情報を取得しているものは少なくない。asunderもこの影響を受けるとのことで、ほかのデータベースからCD情報を取得するようなパッチを作成したという。

14118573 story
医療

Microsoft、モバイル向けセキュリティソリューションを開発中 10

ストーリー by headless
開発 部門より
Microsoftは20日、企業向けエンドポイントセキュリティソリューションMicrosoft Defender Advanced Threat Protection(ATP)のLinux版パブリックプレビュー開始をアナウンスするとともに、Android/iOS向けのセキュリティソリューションも開発していることを明らかにした(Microsoft Securityのブログ記事Bleeping Computerの記事Neowinの記事On MSFTの記事)。

Microsoft Defender ATPは以前Windows Defender ATPと呼ばれていたが、昨年Mac向けにも提供開始したのに合わせて改称され、Ignite 2019ではLinuxサーバー向けの提供計画が明らかにされていた。今回のパブリックプレビューでは6つのLinuxサーバーディストリビューション(RHEL 7+ / CentOS Linux 7+ / Ubuntu 16 LTSおよび以降のLTS / SLES 12+ / Debian 9+/ Oracle EL 7)に対応するとMicrosoft Defender ATPブログでアナウンスされたようだが、該当記事は見当たらない。モバイル向けのソリューションについては、24日から米サンフランシスコで開催されるRSA Conference(RSAC) 2020にて何らかの披露を行う計画のようだ。

なお、RSAC 2020では新型コロナウイルス(SARS-CoV-2)の影響でIBMやAT&T Cybersecurity、Verizonがスポンサーとしての参加を取りやめるなど、米国7社・中国6社・カナダ1社の計14社が21日までにスポンサーまたは出展者としての参加取りやめを表明している。中国の6社はいずれも渡航制限により参加できなくなったという。一方、ロンドン・ブリード市長はサンフランシスコでのCOVID-19の感染リスクは低いと説明する書状をRSAC参加者あてに送っており、会場となるモスコーネセンターではコロナウイルスに効果のある消毒剤を清掃に使用するなどの対策も取られるとのことだ。
14009250 story
ソフトウェア

Linuxディストロ別のsnapトップ5、spotifyが人気 26

ストーリー by headless
人気 部門より

6つのLinuxディストロについて、snapの人気トップ5をCanonicalが公開している(Snapcraftのブログ記事BetaNewsの記事)。

最も人気が高いのはspotifyで、すべてのディストロでトップ5入りしており、4ディストロで1位となっている。昨年最も人気のあったsnapもspotifyだった。続いてcode/skype/slackが3ディストロ、vlc/lxd/discordが2ディストロでトップ5入りしている。Arch LinuxとManjeroは順位が一部異なるものの、トップ5がすべて共通していた。逆にCentOSとDebianで他と共通するsnapはspotifyとlxdの2本のみとなっている。ブログ記事ではDebianでfirefoxが3位、Ubuntuでchromiumが4位に入っていることが興味深い点として指摘されている。

各ディストロのトップ5は以下の通り。

  Arch Linux CentOS Debian Fedora Manjaro Ubuntu
1 spotify wekan spotify spotify spotify vlc
2 code lxd lxd vlc code spotify
3 skype microk8s firefox code slack skype
4 discord spotify nextcloud postman discord chromium
5 slack helm pycharm-community slack skype canonical-livepatch
13954381 story
Debian

Debian 10「buster」リリース 33

ストーリー by hylom
試してみなければ 部門より

7月6日、Linuxディストリビューション「Debian」の最新メジャーリリース版となる「Debian 10」(コードネーム「buster」)がリリースされた(Debian projectの発表OSDN MagazineSlashdot)。

新たにGNOMEデスクトップ環境においてWaylandがデフォルトのディスプレイサーバーとなった。また、異なる環境においても同じバイナリをビルドできることを保証する「Reproducible Builds」についても、91%のソースパッケージがこれをサポートしたという。

そのほかセキュリティフレームワーク「AppArmor」のデフォルト導入や「nftables」によるネットワークフィルタのデフォルト化、UEFIサポートの強化などが行われている。また、提供されるソフトウェアパッケージのアップデートも行われており、OpenJDK 11.0やNodejs 10.15.2、Bash 5.0などが利用可能になった(It's FOSS)。

Python 2については現時点ではサポートされるが、2020年1月のサポート終了後にDebian 10の将来のポイントリリースでPython 2関連のパッケージが削除される可能性があるようだ。

13821381 story
Intel

Intel Quarkプロセッサ、EOLに 39

ストーリー by hylom
ARMに勝てなかったか 部門より
shesee曰く、

Intelの組み込み向けプロセッサ「Quark」の生産が終了されるようだ(PC Watch)。

すぐに生産終了するから、組み込み分野で信頼を失うんじゃないかな。GalileoやEdisonは購入して遊んだことがある。Raspberry Pi同様にLinuxを組み込んだボードを無謀にもArduinoにフィットさせようとして、Arduino実行デーモンを動かすという無茶をしていた。またGalileoはIOエキスパンダを使っていたのでレイテンシが酷かった。いずれもYocto Linuxという組み込み用のクロスコンパイルが必要なディストリビューションを使っていたため、Debian派生のRaspberry Piと比べて扱いづらかった。

Quarkはx86アーキテクチャを採用した低消費電力CPU。最終受注日は2019年7月19日、最終出荷日は2022年7月17日とのこと。

13746407 story
Linux

Ubuntuは過去の存在か? 45

ストーリー by hylom
コアなユーザーしかDistroWatchを見ていない説 部門より
あるAnonymous Coward 曰く、

数年前までLinuxデスクトップといえばLinux MintやUbuntu、Debian、Fedoraあたりが人気だったような気がしますが、今やこういったディストリビューションの多くはランキングを大きく下げ、DistroWatchによる記事アクセスランキング上位はManjaro、Mint、elementary、MX Linux、Ubuntuとなっています。

全体的にはXfceをWindws風にカスタマイズしたディストリが人気なようですね。まああの手のサイトのアクセスランキングに意味があるのかは不明ですが。

13728987 story
Windows

Windows 10上での実行に特化したLinuxディストリビューション「WLinux」 54

ストーリー by hylom
ちゃんとパッチ提供を継続してくれるのだろうか 部門より

Windows 10ではLinux互換の環境を提供するための技術「WSL(Windows Subsystem for Linux)」が搭載されているが、このWSL環境に特化したLinuxディストリビューション「WLinux」がリリースされた(GIGAZINE窓の杜)。

WLibuxはDebianベースで、Windowsとの連携を行うための機能や各種設定などがデフォルトで導入されているのが特徴のようだ。現在Microsoft Storeで有償販売されており、価格は税込2350円とのこと(10月21日まで1000円での割引販売中)。

13694345 story
Intel

Intelが新たに公開したCPUの脆弱性パッチ、ライセンスにベンチマーク結果の公表を禁止する条項が含まれており騒動に 13

ストーリー by hylom
炎上することが予測できそうなライセンスなのになぜ 部門より
あるAnonymous Coward曰く、

Intelが同社CPUの脆弱性対策のために公開した修正パッチのライセンスには、ベンチマーク結果の公表を禁止する条項が含まれているそうだ。この条項はパッチによってCPUの性能が低下することを隠す目的があるのではないかと指摘されているほか、こうしたライセンスがパッチ配布・適用の障害になるとも指摘されている(ZDNetLinux向けマイクロコードCNETSlashdot)。

また、このライセンスはオープンソースライセンスとは矛盾するため、Debianではこのパッチの配布を保留したようだ(Register)。

Intelはこうした反応を受けてライセンスを修正、問題は解消されることとなった。

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...