パスワードを忘れた? アカウント作成

みんなの日記の更新状況はTwitterの@sradjp_journalsでもチェックできます。

13746407 story
Linux

Ubuntuは過去の存在か? 45

ストーリー by hylom
コアなユーザーしかDistroWatchを見ていない説 部門より
あるAnonymous Coward 曰く、

数年前までLinuxデスクトップといえばLinux MintやUbuntu、Debian、Fedoraあたりが人気だったような気がしますが、今やこういったディストリビューションの多くはランキングを大きく下げ、DistroWatchによる記事アクセスランキング上位はManjaro、Mint、elementary、MX Linux、Ubuntuとなっています。

全体的にはXfceをWindws風にカスタマイズしたディストリが人気なようですね。まああの手のサイトのアクセスランキングに意味があるのかは不明ですが。

13728987 story
Windows

Windows 10上での実行に特化したLinuxディストリビューション「WLinux」 54

ストーリー by hylom
ちゃんとパッチ提供を継続してくれるのだろうか 部門より

Windows 10ではLinux互換の環境を提供するための技術「WSL(Windows Subsystem for Linux)」が搭載されているが、このWSL環境に特化したLinuxディストリビューション「WLinux」がリリースされた(GIGAZINE窓の杜)。

WLibuxはDebianベースで、Windowsとの連携を行うための機能や各種設定などがデフォルトで導入されているのが特徴のようだ。現在Microsoft Storeで有償販売されており、価格は税込2350円とのこと(10月21日まで1000円での割引販売中)。

13694345 story
Intel

Intelが新たに公開したCPUの脆弱性パッチ、ライセンスにベンチマーク結果の公表を禁止する条項が含まれており騒動に 13

ストーリー by hylom
炎上することが予測できそうなライセンスなのになぜ 部門より
あるAnonymous Coward曰く、

Intelが同社CPUの脆弱性対策のために公開した修正パッチのライセンスには、ベンチマーク結果の公表を禁止する条項が含まれているそうだ。この条項はパッチによってCPUの性能が低下することを隠す目的があるのではないかと指摘されているほか、こうしたライセンスがパッチ配布・適用の障害になるとも指摘されている(ZDNetLinux向けマイクロコードCNETSlashdot)。

また、このライセンスはオープンソースライセンスとは矛盾するため、Debianではこのパッチの配布を保留したようだ(Register)。

Intelはこうした反応を受けてライセンスを修正、問題は解消されることとなった。

13686152 story
ノートPC

ASUS、米国などでLinuxプリインストールPCを販売 47

ストーリー by hylom
こういうのが必要な人もいるよね 部門より
headless曰く、

ASUSが米国などで販売するノートPCの一部で、プリインストールOSオプションとしてLinuxベースのEndless OSを提供しているそうだ(PhoronixASUSの解説記事)。

Endless OSはEndless Mobile、Inc.が開発したDebianベースのLinuxディストリビューションで、GNOMEベースのデスクトップ環境を使用する。パワーユーザー向けOSと考えられることが多いLinuxだが、Endless OSは主に新興国市場をターゲットにしており、コンピューターの使用経験がなくても簡単に使用できるスマートフォンのような操作性を目指しているという。Endless MobileはEndless OSを無料でダウンロード提供するほか、プリインストールした小型PCも販売している。

ASUSのEndless OSプリインストールモデルは米国のほか、英国オーストラリアシンガポールフィリピンスペインタイベトナムなど(リンク先は各国での一例)で販売されている。ASUSはEndless OSが数多くの言語をサポートすると述べる一方、完全にサポートする言語はスペイン語とブラジルポルトガル語、英語だと述べているが、ブラジルのサイトではEndless OSのオプションが確認できなかった。なお、AcerもEndless OSプリインストールモデルを販売しているようだ。

Phoronixの記事ではネットブック時代以来久しぶりにASUSが提供するLinuxのオプションだと述べているが、ASUSではEndless OSがサポートするのはOS非搭載製品のみだと説明している。そのため、OS非搭載モデルにFreeDOSやLinuxがプリインストールされているのと同様の扱いなのかもしれない。

13574823 story
バグ

脆弱性公表をきっかけにbeepパッケージの不要論が出る 29

ストーリー by hylom
そんなコマンドあったなあ 部門より
headless曰く、

Linuxの「beep」パッケージの脆弱性が先日公表されたのだが、便乗する偽特設ページが出現したり、他の問題も発見されたりした結果、beep不要論まで出る事態となった(Register)。

この脆弱性(CVE-2018-0492)はbeep 1.3.4までに存在し、setuidを設定した場合にローカルでの特権昇格が可能になる競合状態を引き起こすというものだ。偽特設ページはこの脆弱性を「Holey Beep」と名付け、でたらめな内容を織り交ぜた解説のほか、パッチと称するエクスプロイトも公開している。

Debianでは1.3-3+deb7u1(Wheezy)/1.3-3+deb8u1(Jessie)/1.3-4+deb9u1(Stretch)で修正されており、UbuntuでもDebianのパッチが適用されているようだ。しかし、Debianのパッチを適用した状態でも、beepが任意のファイルをrootとして書き込み用に開くことが可能とみられることが報告される。さらに整数オーバーフローの問題も報告された。

これらの問題を受けてoss-secメーリングリストでは、現在はビープ用スピーカーを備えるPCがほとんどない点や、周波数や長さなどの指定はできないものの「printf '\a'」で置き換え可能な点を指摘して、むしろbeepを廃止すべきではないかという意見が投稿されている。

13563151 story
インターネット

Apache HTTP Serverに複数の脆弱性 49

ストーリー by hylom
重大ではないとはいえ気持ちは悪い 部門より
あるAnonymous Coward 曰く、

Apache HTTP Serverに複数の脆弱性が発見された。この問題を修正したHTTP Server 2.4.33が公開されており、アップデートが推奨されている(JVNVU#95818180窓の杜)。

タレコミ人の使うDebianではsid(開発ブランチ的位置付け)でさえまだ対策版が存在しない。影響範囲の大きいWebサーバーの脆弱性ですが、ディストリの対応を考慮せず公開してしまうという慣例はなんとかならんもんでしょうかね。

問題の脆弱性は、悪用することでDoS攻撃を可能にするものや、認証を回避される可能性があるといったもの。危険性はセッション改ざんのおそれがある「CVE-2018-1283」が「medium」で、残りはいずれも「low」となっている。なお、CHANGELOGなどではバージョン2.4.30でこれらが修正されたとなっているが、バージョン2.4.30~2.4.32は開発者向けのみにリリースされている。

13506850 story
Google

Google、社内で利用するLinuxディストリビューションをDebianベースに変更中 61

ストーリー by hylom
Debian開発者を多く抱え込んでそうなイメージが 部門より

Googleは今まで社内の開発プラットフォームで使用するLinuxディストリビューションとしてUbuntuを使用していたが、これをDebianベースのものに切り替えるそうだ(gihyo.jp)。

今まで同社はUbuntuベースの「Goobuntu」を使っていたが、これをDebianベースの「gLinux」に切り替えていくという。gLinuxは現在開発中のDebian 10をベースに、独自にソースからビルドしているそうだ。

13481729 story
ゲーム

公開から4年、SteamOSの先行きは? 29

ストーリー by headless
結露 部門より
Valveがゲーム向けLinuxディストリビューションとしてSteamOSのベータ版を公開してから4年が経過したが、その先行きはあまり明るくないようだ(Phoronixの記事)。

SteamOSのベータ版が公開されたのは2013年12月13日。最初のバージョン「alchemist」はDebian Wheezyベースで、現行の「brewmaster」はDebian jessieベースとなっている。Valveでは現在もSteamOSを維持しているが、明確なロードマップや将来の野心的な計画は示されていない。ベータ版の更新はまれで、アップストリームのDebianからのドライバー更新やセキュリティ修正が主だという。

PhoronixのMichael Larabel氏によれば、SteamOSには他のLinuxディストリビューションに対する特別なアドバンテージはなく、ゲーミングPCを自作する場合のOSとしても推奨できないとのこと。

SteamでのLinuxのシェアは2015年初めに1%を切り、その後も減少傾向が続いている。Linuxでランキングに登場するのはUbuntuやLinux Mintばかりで、SteamOSがランキング入りしたことはない。
13434014 story
スラッシュバック

WPA2の脆弱性「KRACK」の対策が進む 85

ストーリー by hylom
致命的な感じには至らなそうでなにより 部門より
headless曰く、

先日話題になったWPA2の脆弱性KRACK」だが、Microsoftはサポート対象のすべてのWindowsについて、既に10月の月例更新で修正済みだったそうだ。LinuxやAppleのOSなどでも対応が進められている(The VergeSoftpediaMac RumorsNeowinBetaNews)。

KRACK(Key Reinstallation AttaCK)攻撃は偽のアクセスポイントを使用してクライアントにWPA/WPA 2の暗号鍵を再インストールさせることで、通信内容の復号が可能になるというもの。アクセスポイントではなくクライアントを対象にした攻撃であり、クライアント側のパッチで回避可能になる。

Windowsが影響を受けるのはCVE-2017-13080で、Windows 7~Windows 10、Windows Server 2008~2016のうち、10月10日時点でサポートされているバージョンにパッチが提供されている。なお、Windows 10は最初にリリースされたバージョン(RTM)からバージョン1703(Creators Update)まで、すべてのバージョンにパッチが提供されたようだ(セキュリティ更新プログラムガイド)。

Windows以外のOSではOpenBSDDebianUbuntuFedoraRed HatLinux Mintelementary OSArch LinuxSolusなどがパッチの提供を発表しており、LinageOSもパッチをマージしている。Appleはベータ版のiOS/tvOS/watchOS/macOSで修正済みだといい、Googleは数週間のうちにAndroidのパッチをリリースすると述べているそうだ。

デバイス関連ではIntelCiscoNETGEARArubaUbiquitiが修正版ファームウェア提供などの対策を発表している。

13393570 story
Debian

Raspbian Strechリリース 17

ストーリー by hylom
アップデート 部門より
あるAnonymous Coward 曰く、

Raspberry Pi向けのLinuxディストリビューション「Raspbian」の最新版である「Raspbian Stretch」が8月17日に公開された(Raspbianのブログ)。

現在LTSのWheezyからJessieを飛ばして、Strechへ移行を考えている諸氏も多いのではないでしょうか。

RaspbianはDebianをベースにしており、本バージョンはその名前からも分かるとおりDebian Stretchをベースとしている。同ブログでは旧バージョンからはapt-getコマンドでアップグレードを行う方法も紹介されている。

13348463 story
Wine

GNOMEのファイルマネージャーで任意のVBScriptコードを実行可能なバグ「Bad Taste」 32

ストーリー by headless
不味 部門より
GNOMEのファイルマネージャー「GNOME File (Nautilus)」で任意のVBScriptコードを実行可能な脆弱性「Bad Taste」が発見された(発見者による解説記事The Registerの記事Neowinの記事Bleeping Computerの記事CVE-2017-11421)。

問題はWindowsの実行ファイル(.exe)やWindowsインストーラーパッケージ(MSIファイル: .msi)などのアイコンをGNOME File上で表示するために使われる「gnome-exe-thumbnailer」のバージョン0.9.4-2以前に存在し、Wineがインストールされた環境で再現する。また、GNOME Fileのほか、「Cinnamon Nemo」や「MATE caja」といったファイルマネージャーも影響を受けるとのこと。

バージョン0.9.4-2までのgnome-exe-thumbnailerはMSIファイルを処理する際、Wineが利用できる場合には一時ファイルとしてVBSファイルをテンプレートから生成し、スクリプトを実行して「WindowsInstaller.Installer」オブジェクトからファイルバージョンを抽出する。しかし、スクリプトにはMSIファイルのファイル名が記述されるため、VBScriptコードとして解釈可能なファイル名にすることで任意のVBScriptコードを実行可能になる。
13333208 story
統計

LinuxノートPCの3割がWindowsとのデュアルブートという調査結果 86

ストーリー by headless
切替 部門より
Phoronixが実施した「2017 Linux Laptop Survey」によると、ノートPCでLinuxを利用するユーザーの29.3%はWindowsとのデュアルブート構成にしているそうだ(Phoronixの記事)。

調査は6月23日~7月6日に実施されたもので、30,171人が回答したという。Linuxとデュアルブート/マルチブートで使用するOSではWindowsが圧倒的に多く、4.4%が複数のLinuxディストロ、3.5%がmacOS(3.5%)と回答している。一方、デュアルブートにしていないというユーザーが62.2%を占めており、BSDとSolarisは合計で0.6%となる。

最も直近に購入したノートPCにLinuxがプリインストールされていたという回答は10.3%にとどまり、およそ9割は購入後に自分でインストールしているようだ。ノートPCを選択する際に重視するポイントでも、Linuxがプリインストールされているとの回答は14.1%にとどまる。これに対し、製品の造りの良さを重視するとの回答は30.7%に上り、パフォーマンス(25.2%)と合わせて過半数を占める。

使用ディストロ(複数回答)ではUbuntuが38.9%を占め、ArchLinux(27.1%)、Debian(15.3%)、Fedora(14.8%)、Linux Mint(10.8%)が続く。LinuxノートPCで主に実行する作業としては、Webブラウズが最も多い82.5%。ソフトウェア開発(73.1%)、オフィス業務(47.7%)、マルチメディア(45.2%)、学校の勉強(25.3%)が続く。SteamのOSシェアでLinuxは1%未満となっているが、こちらでもゲームに使用するとの回答は21.1%にとどまる。
13321102 story
Debian

Skylake/Kaby LakeプロセッサのHTTに不具合 54

ストーリー by hylom
もう修正が出ている模様 部門より

IntelのSkylake/Kaby Lakeプロセッサにおいて、Hyper Threading Technology(HTT)関連のバグがあるという話が出ている(debian-user/debian-develメーリングリストへの投稿Phoronix)。

この問題は、Hyper Threadingを有効にした場合、特定の状況下で予測できない振る舞いをするというもの。これによってシステムやアプリケーションが不正な挙動を行い、データの不整合や消失が発生する可能性があるという。この問題はIntel側でも認識されており、「Short Loops Which Use AH/BH/CH/DH Registers May Cause Unpredictable System Behavior.」としてErattaも出されている。

この問題はOSに関係なく発生するが、BIOS/UEFIでHyper Threadingを無効化する、もしくはプロセッサのマイクロコードのアップデートを行う等で対処が可能という。すでにDebianではこのマイクロコードをintel-microcodeパッケージで配布しているそうだ。

13316204 story
BSD

Linuxなどのスタック管理機構において権限昇格が可能な脆弱性が発見される。多くのLinuxディストリビューションに影響 65

ストーリー by hylom
皆様アップデートを 部門より

LinuxやUNIX系OSにおいて、一般ユーザーが不正に特権を得ることができる「Stack Guard Page Circumvention」と呼ばれる攻撃手法が発見された(Red Hat Customer Portal)。Linuxカーネルやglibc、sudoなどの脆弱性を利用するもので、幅広い影響が出るようだ。

ベースとなっているのは、スタック領域に多量のメモリ割り当てとデータ書き込みを行ってスタック領域を溢れさせることで、ヒープ領域のデータを不正に書き換えられることがあるという問題。Red Hatによると、関連する脆弱性はCVE-2017-1000364(Linuxカーネルのstack guard pageの脆弱性)、CVE-2017-1000366(glibcでLD_LIBRARY_PATHの値に細工をすることでヒープ/スタックの値を操作できる脆弱性)、CVE-2017-1000367(sudo 1.8.20以前の入力バリデーションの不備)という3つとされている。osdn曰く、

スタック範囲を他のメモリ領域と衝突させて悪用できる問題は2005年と2010年に示され、対策が取られてきました。しかしセキュリティ企業Qualysが19日、少なくともLinux、OpenBSD、NetBSD、FreeBSD、Solarisのi386とamd64では対策の不備があり、実際に悪用可能か、少なくともPoCが存在することを示しました。(ITmedia)。

数多くの入口からローカル権限上昇攻撃ができた (あるいは理論上可能な道筋がある) そうです。緩和策としてはlimits.conf等でスタックを制限することなどがありますが、完全ではありませんし副作用も大きいです。各ベンダーには既に通知され、順次対策が取られることになっていますので、アップデートの用意をしておくのが最善でしょう。

アドバイザリによれば、Debianでも8.5と8.6、また8.xと9以上の間には脆弱さに大きな違いがあり、最新のものほど効率よく悪用することは難しくなってきているそうです。

しかし現状で最も簡単に悪用できる方法はi386のDebianでEximを使ってローカル権限上昇をすることだ、とQualysは指摘しています。またOpenBSDではatを使って攻撃しようとしたものの、ファイルシステムが遅すぎて、一週間かけてもヒープがスタックに届くほどの数のジョブファイルを作成できなかったそうです。

なお、今回は64bitでもスタックと他領域が近い場合があることも示されましたが、基本的にはメモリ領域が広い方が安全です。

grsecurity/PaXにはスタック・ガードページの大きさを変更できる機能があるので、これを大きくするのは簡単で有効です。またGCCには-fstack-checkというオプションがあり、各4KBページにアクセスすることで、スタックポインタが他領域に行ってしまう前に必ずガードページに当たり、SEGVになってくれるそうです。パフォーマンスに影響はありますが、長期的には良い方法だとQualysは指摘しています。

13314096 story
Debian

Debian 9.0 "Stretch"、ついにリリース 48

ストーリー by hylom
色々と作業をしなければ 部門より
osdn曰く、

Debian 9 "stretch"の初めてのバージョンが17日にリリースされました

8.0 "Jessie"から2年も経っていますし、7.x "Wheezy"のLTSがあと1年未満ですから、既存ユーザがアップデートする良い機会になりそうですね。

また、LiveイメージにはCinnamonやMate版もありますので、新規に試してみたい人のハードルも低くなっています。

タレコミ時点では、https://www.debian.org/CD/http-ftp/にある日本のミラーサーバのうちjaistとhanzubonしか9.0を持っていないようですが、http://debian-cd.debian.net/を使うと自動的に近場からダウンロードできます。また、DebianはBitTorrentの使用を推奨していますので、利用できるならそちらをどうぞ。(https://www.debian.org/distrib/

LXDEのLiveイメージを起動してみたところ、日本語を選択しても、いきなりClipItのダイアログが英語で出てきたので、これは英語を読めない人には勧められないな、と思いました。

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...