パスワードを忘れた? アカウント作成

スラドのRSSを取り込んでみよう。

13621038 story
交通

電気飛行機「eFusion」、試験飛行中に墜落 25

ストーリー by hylom
原因はどこに 部門より

独SiemensとハンガリーMagnus Aircraftが共同で開発していた電気飛行機「eFusion」が試験飛行中に墜落、操縦士2名が死亡したと報じられている(AFPAutoblogIEEE Spectrum)。

eFusionはSiemensのモーターや駆動系を搭載、電力源にはリチウムイオン電池を採用しているという。また、事故時には機体から火が出ていたという話もあるようだ。

13599070 story
セキュリティ

OpenPGPとS/MIMEに脆弱性、適切な実装をしていないクライアントが原因 21

ストーリー by hylom
クライアント側で対応できそうだ 部門より
headless曰く、

OpenPGPとS/MIMEで、復号したテキストを攻撃者が取得可能な脆弱性が発見されたとして、使用を一時中止するよう呼びかけられている。脆弱性は「EFAIL」と名付けられ、特設サイトで情報が公開された(EFFの記事[1][2]Ars Technica論文PDF)。

EFAILでは、攻撃者が中間者攻撃などにより取得した暗号化電子メールを用い、この暗号文を含むHTMLメールを元の送信者または受信者に送り付ける。このHTMLメールは暗号文がimgタグのsrcの一部(http://攻撃者のサーバー/暗号文)となるように細工されており、メッセージを読むと復号されたテキストが攻撃者のサーバーに送られるという仕組みだ。

S/MIMEが暗号化に使用するCBCモードとOpenPGPが暗号化に使用するCFBモードでは暗号鍵を知らなくても暗号ブロックの順番入れ替えや削除、挿入が可能であり、これによりメッセージを細工する。Mozilla ThunderbirdとApple Mail、iOS Mailではこういった細工は不要で、3パートの電子メールメッセージで2番目のパートに暗号文を配置し、最初と最後のパートに分割して配置したimgタグで挟むだけで平文が取得できたそうだ。

CBC/CFBモードで改変が可能になるのはS/MIMEとOpenPGPの仕様上の問題であり、正しく実装しているクライアントはすべて脆弱性があると特設サイトでは説明している。これに対しGnuPGのFAQページを管理するRobert J. Hansen氏は、暗号文を改変可能な問題の対策として、GnuPGでは18年近く前から改変が検出された場合やMDC(改変検出コード)がない場合に警告を出していると述べ、警告を無視するクライアントの問題だと反論。脆弱性なしとされたProtonMailもこれに同調している。なお、テストされたOpenPGPをサポートするクライアント28本のうち、攻撃が成功したのは10本にとどまる。

なお、この脆弱性は公表予定とされた日の前日に各所からリークが発生し、その結果予定日よりも早く公表されることになっていたという。

13593296 story
オープンソース

glibcのマニュアル内にあるジョークを巡ってコミュニティとRMSが衝突、RMSが特権を行使 61

ストーリー by hylom
RMSらしい 部門より

GNU Libc(glibc)のマニュアルでabort()関数を説明する項には、「Future Change Warning」として注意事項が掲載されている。これは一見すると意味が分からないが、ジョークとして残されているそうだ。そのためマニュアルからこの項目を削除しようという提案が出たのだが、FSFやGNUの創設者であるRichard M. Stallman(RMS)氏の反対によってこの提案は却下されたという(本の虫LWN.net)。

このジョークについては本の虫の記事で説明されているのでそちらを見て欲しいが、米国には人口中絶(Abortion)のカウンセリングや紹介、支援、中絶の合法化、中絶サービスの支援などに携わる非政府組織(NGO)に対する連邦政府からの資金援助をブロックできる条項があるそうだ。これは「Mexico City Policy」と名付けられているもので、「中絶に関する情報を提供しているNGOには資金を提供しない」というような項目が含まれており、問題のジョークはこれとabort()をかけたというものらしい。

このジョークは1990年代にRMSが追加したものだが、これに対して「人口中絶に関連した悪い経験を持つ人を傷付ける可能性がある」という理由で削除すべきという提案が出ていたようだ。glibc開発者らの議論の結果このジョークについて削除する方向でまとまっていたようだが、RMSがこれに反対したために提案は却下された。

ただ、RMSは現時点ではglibcのメンテナではないため、RMSが口を挟んで提案を却下したことに対しては批判が出ている。これに対しRMSは「glibcはGNU Projectの一部であり、GNU Project全体のポリシーに従ったり、GNU Projectのゴールのために(RMSには)パッケージメンテナに対し指示を出す権限がある」と主張。これは滅多にあることではないが、今回の件はこれに該当する例だとし、変更させたいなら私を説得しろとメールで述べている

13495947 story
GNU is Not Unix

GnuPG2のフォーク「NeoPG」、開発中 54

ストーリー by hylom
刷新となるか 部門より
osdn曰く、

PGPやGnuPGには近年いくらかの批判もありますが、開発は情熱的に続いています(過去記事:PGPの32ビット鍵IDが問題に、Linus Torvalds氏などの偽造鍵も確認されるPGPは有害無益?)。

とはいえ、GnuPGは20年以上の開発によって内部構造が複雑になりすぎています。これに伴う種々の問題に取り組むため、NeoPGという新たなプロジェクトが発足しています。

スライドによると、GnuPGは49万行のコードから成り、400近くのコマンドラインオプション、2種類のOpenPGPパーザ、自前のHTTPクライアントやDNSリゾルバ関連コードを持つ、重厚長大なプロジェクトです。NeoPGでは、できるだけレガシーコードを減らし、外部ライブラリを積極的に利用することで、開発を容易にするつもりです。スライドの時点で、すでに行数はほぼ半減し、コマンドラインオプションも120ほど減っているそうです。

ブログでは、そのほかにもautoconfではなくCMakeCPPマクロではなくC++テンプレート数多くの小さなバイナリではなく単一バイナリ長生きするデーモンではなく、すぐ終了するヘルパープロセスといった劇的な設計変更の理由について説明しています。(このうちの一部はUNIX哲学からの逸脱と見られかねないことも理解したうえで、使い勝手や開発/メンテナンスのコスト、コンピュータ性能の発達などを考慮した結果とのことです。)

ライセンスについても、GitHubのREADME.mdによれば「今のところGPLやLGPLなど様々なライセンスのコードを含んでいるが、新規コードはSimplified BSDライセンスに限っている」という書き方からして、GPLからの脱却を目指しているようです。

全体的に、ここ10年程度のトレンドを慎重に取捨選択して、そつなくリファクタリングしているように見えますが、皆さまはどう評価されるでしょうか。

13462651 story
GNU is Not Unix

GNU man のイースターエッグが削除される 37

ストーリー by headless
削除 部門より
hanhan4 曰く、

GNU manに6年前から組み込まれていたイースターエッグが削除された。

このイースターエッグはmanを夜中過ぎ(0時30分)に引数なしまたは「-w」を付けて起動すると、stderrに「gimme gimme gimme」と出力されるもの。ABBAの「Gimme! Gimme! Gimme! (A Man After Midnight) 」にかけたジョークだったが、自動テストが失敗したという質問がStack Exchangeに投稿されて騒ぎとなり、ソースコードから削除されてしまった。

13452839 story
UNIX

高性能化のための改善が続けられているyesコマンド 68

ストーリー by headless
高速 部門より
insiderman 曰く、

「y」という文字を出力するだけのUNIXコマンド「yes」は改良が続けられており、性能が強化されているそうだ(POSTDの記事)。

yesコマンドは、単純にループを使って標準出力に「y」を出力するプログラムよりも数十倍速いという。もちろんコードも複雑になっているのだが、なかなかその手法は興味深い。ただ、本当にそのスループットが必要かはちょっと疑問ではあるが……。

元記事はGNU版yesコマンドのスループットが10.2GiB/sというReddit記事に触発され、この速度にRustで挑戦したという話のようだ。日本語訳には何か所か細かい間違いもあるので、英文を読むのが苦にならない方は原文もあわせて参照するといいだろう。

13434870 story
著作権

Linuxカーネル開発コミュニティ、著作権トロール対策を議論 22

ストーリー by hylom
そんな事件があったのか 部門より
headless曰く、

ある日突然Linuxカーネル開発者が著作権トロールに変わるという懸念を払拭するため、Linux FoundationのTechnical Advisory Boardは16日、Linuxカーネルにおける著作権行使に関する声明「Linux Kernel Enforcement Statement」のドラフトを発表した(Linux Kernel Monkey Logの記事[1]記事[2] FAQPhoronix)。

Netfilterコア開発チームの元議長Patrick McHardy氏がさまざまなLinuxディストリビューターのライセンス違反を見つけ、ドイツで密かに訴訟手続きをとって多額の金銭を要求していたことが判明し、著作権トロール問題が表面化した。違反の内容は簡単に修正可能なものだが、McHardy氏は違反時にライセンスを即時停止するというGPL-2.0の条項を用い、金銭的被害の補償を要求していたとのこと。

Linuxカーネル開発コミュニティの目標はライセンスの順守であり、違反を罰することではない。著作権は貢献者各自が保持しているが、個人が金銭的な利益を得るために著作権を行使するのはコミュニティの意思に反するとして、McHardy氏の説得に努めたという。しかし、McHardy氏を翻意させることはできず、Netfilterコア開発チームではMcHardy氏のメンバーシップを停止する措置をとっている。

Linux Kernel Enforcement Statementでは、ライセンス違反の通知を初めて受けた場合、30日以内に違反状態を解消すればライセンスを回復できるといったGPL-3.0の条項を追加の許可条項として取り入れている。ただし、Linuxカーネルのライセンスは引き続きGPL-2.0を使うことになる。Linux Kernel Enforcement Statementのドラフトは現在、kernel/git/gregkh/driver-core.gitのdriver-core-enforcement-4.14-rc6.tar.gzに収録されている。

13395737 story
GNU is Not Unix

GnuPG 2.2.0 リリース 9

ストーリー by hylom
旧版ユーザーはご注意を 部門より
osdn曰く、

GnuPGのバージョン2.2.0がリリースされました(アナウンスOSDN Magazine)。これは長らくmodern版として開発されてきた2.1系が新たな安定板になったことを意味します。

2.0系は今年いっぱいでサポートが終わるので、ユーザは2.2へ移行する必要があります。

13316204 story
BSD

Linuxなどのスタック管理機構において権限昇格が可能な脆弱性が発見される。多くのLinuxディストリビューションに影響 65

ストーリー by hylom
皆様アップデートを 部門より

LinuxやUNIX系OSにおいて、一般ユーザーが不正に特権を得ることができる「Stack Guard Page Circumvention」と呼ばれる攻撃手法が発見された(Red Hat Customer Portal)。Linuxカーネルやglibc、sudoなどの脆弱性を利用するもので、幅広い影響が出るようだ。

ベースとなっているのは、スタック領域に多量のメモリ割り当てとデータ書き込みを行ってスタック領域を溢れさせることで、ヒープ領域のデータを不正に書き換えられることがあるという問題。Red Hatによると、関連する脆弱性はCVE-2017-1000364(Linuxカーネルのstack guard pageの脆弱性)、CVE-2017-1000366(glibcでLD_LIBRARY_PATHの値に細工をすることでヒープ/スタックの値を操作できる脆弱性)、CVE-2017-1000367(sudo 1.8.20以前の入力バリデーションの不備)という3つとされている。osdn曰く、

スタック範囲を他のメモリ領域と衝突させて悪用できる問題は2005年と2010年に示され、対策が取られてきました。しかしセキュリティ企業Qualysが19日、少なくともLinux、OpenBSD、NetBSD、FreeBSD、Solarisのi386とamd64では対策の不備があり、実際に悪用可能か、少なくともPoCが存在することを示しました。(ITmedia)。

数多くの入口からローカル権限上昇攻撃ができた (あるいは理論上可能な道筋がある) そうです。緩和策としてはlimits.conf等でスタックを制限することなどがありますが、完全ではありませんし副作用も大きいです。各ベンダーには既に通知され、順次対策が取られることになっていますので、アップデートの用意をしておくのが最善でしょう。

アドバイザリによれば、Debianでも8.5と8.6、また8.xと9以上の間には脆弱さに大きな違いがあり、最新のものほど効率よく悪用することは難しくなってきているそうです。

しかし現状で最も簡単に悪用できる方法はi386のDebianでEximを使ってローカル権限上昇をすることだ、とQualysは指摘しています。またOpenBSDではatを使って攻撃しようとしたものの、ファイルシステムが遅すぎて、一週間かけてもヒープがスタックに届くほどの数のジョブファイルを作成できなかったそうです。

なお、今回は64bitでもスタックと他領域が近い場合があることも示されましたが、基本的にはメモリ領域が広い方が安全です。

grsecurity/PaXにはスタック・ガードページの大きさを変更できる機能があるので、これを大きくするのは簡単で有効です。またGCCには-fstack-checkというオプションがあり、各4KBページにアクセスすることで、スタックポインタが他領域に行ってしまう前に必ずガードページに当たり、SEGVになってくれるそうです。パフォーマンスに影響はありますが、長期的には良い方法だとQualysは指摘しています。

13313375 story
GNU is Not Unix

米成人の7%、チョコレートミルクは茶色い牛から採れると回答 152

ストーリー by headless
茶色の牛乳 部門より
米国の成人を対象に実施された乳製品に関する調査で、回答者の7%がチョコレートミルクは茶色い牛から採れると回答したそうだ(TODAYの記事Food & Wineの記事Consumeristの記事Dairy Goodの記事)。

調査は乳製品業界団体のInnovation Center for U.S. Dairyが4月にオンラインで実施したもので、1,000人以上が参加したという。チョコレートミルクが茶色い牛から採れると答えた回答者は7%のみだが、何から採れるかわからないと答えた回答者は48%にのぼる。また、自分が飲みたいチョコレートミルクを購入する言い訳に子供を使う回答者が29%いたとのことだ。
13307352 story
SNS

録画支援ソフト「foltia」にMastodonサーバー機能が搭載される 20

ストーリー by hylom
通知プラットフォームとしては悪くないと思う 部門より
あるAnonymous Coward曰く、

アニメ録画支援ソフトとして一部の人をハートキャッチしている録画支援Linuxアプライアンス foltia ANIME LOCKERの新版5.0が発売された。本バージョンでは何故か録画支援ソフトなのにオープンソースの分散型SNSであるMastodonのサーバー機能を追加しており一部で話題になっている。

リリース曰く、

VPSを新たに借りるほどでもなく、個人サーバの台数を増やすのも電気代や場所の観点から気がひけるという個人の方も多いことから、foltia ANIME LOCKERの内部にMastodonサーバの機能を取り込むことでMastodonを利用したい多くの方に便利

と意味不明の供述しており、動機は不明。

ただ、開発者インタビューをまじめに読んでみると、録画終了などの通知をMastodon機能を通じて出す事で、Twitterの名前空間を汚さずに通知などを出すことができる、というアイデアのようである。このようにMastodonを分散プッシュ通知プラットフォームと考えれば、ほかの家電やサービスがMastodon機能を搭載して、みながGnuSocialでしゃべり出す未来もあるかのように錯覚しそうになった。

13304114 story
GNU is Not Unix

GnuPGプロジェクトが資金調達キャンペーンを開始 15

ストーリー by hylom
ご協力お願いします 部門より
gniibe曰く、

GnuPGプロジェクトが資金調達キャンペーンを始めました。毎日の動画もあります。

メインの動画とページは日本語で読めます。

GnuPGは過去に開発資金難が発生、寄付を募っていた(過去記事)。

13293583 story
Debian

Devuanプロジェクト、初の安定版「Devuan Jessie 1.0.0 Stable」リリース 26

ストーリー by headless
安定 部門より
Devuanプロジェクトは25日、Devuan GNU+Linux初の安定版となる「Devuan Jessie 1.0.0 Stable」をリリースした(アナウンスPhoronixの記事The Registerの記事Softpediaの記事[1][2])。

DevuanプロジェクトはDebianにおけるsystemdをめぐる論争の結果として、「Veteran Unix Admin」を名乗るグループが2014年11月にDebianをフォークして立ち上げたプロジェクト。initシステムの自由(Init Freedom)を掲げ、Debianからsystemdへの依存を排除して任意のinitシステムを使用できるようにすることを目指す。

Devuan Jessie 1.0.0は3週間前にRC2が公開されてから大きなバグの報告はなく、重大なバグは1件もないことから、安定版としての公開に至ったとのこと。本バージョンは同時に長期サポート版(LTS)となる。Debian 7/8からのアップグレードも可能だ。

プロジェクトによれば、DevuanはDebianのあるべき姿とのことで、目標は実用的で継続的な選択肢の提供だという。ナンセンスではないユニバーサルなGNU+Linuxを提供するという計画は始まったばかりであり、このリリースの先に広がっていくとのことだ。
13263897 story
GNU is Not Unix

LibrebootはGNUプロジェクトに復帰すべきか 26

ストーリー by hylom
そんなに影響があったのか 部門より
headless曰く、

LibrebootがGNUプロジェクトへの復帰を目指し、Redditでスレッドを立ててコミュニティーの意見を求めている(LibrebootのニュースRedditPhoronix)。

Librebootを率いるメインテナーのLeah Rowe氏は昨年9月、あるFree Software Foundation(FSF)従業員が性転換者であることを理由に解雇されたと主張。FSFとGNUを猛烈に批判してGNU離脱を宣言した。今年1月にはRechard M. Stallman氏が離脱を認めるメッセージをGNUメーリングリストに投稿し、論争は一旦終結していた。

Rowe氏によるRedditへの投稿は具体的な論争の内容への言及を避けつつ、論争による混乱やLibrebootとFSF/GNUとの関係悪化といった出来事は起こるべきではなかったとし、LibrebootはGNUを離脱するべきではなかったと述べている。GNU復帰に関して他のメインテナーから強い反対意見は出ていないが、広い支持を得られるかどうかRedditのスレッドで確認したいとのこと。

これに先立つ4月2日、LibrebootのWebサイトではフリーソフトウェアコミュニティーに宛てた公開書状を掲載している。書状でシステム管理者のAlyssa Rosenzweig氏は、Rowe氏がコミュニティーの意見を聞かず独断でGNU離脱へ突っ走ってしまったと述べている。また、プロジェクトの民主的な運営や、一連の論争で起こった混乱を終結させる必要があるとも述べている。書状の後半では、Rowe氏が自身の行動が誤りであったことを認め、名指しで批判した人々に謝罪している。

13237007 story
SNS

分散型SNSのMastodon、突然のブームでトラブルも 92

ストーリー by hylom
果たして1か月後、1年後にアクティブなユーザーはどれだけいるか 部門より
yagitch曰く、

先日Twitterのライバルと目される「Mastodon」として取り上げられたMastodonが、突然のブームとなっている。以前はドイツ語圏や英語圏のユーザーがほとんどだったが、ASCII.jpの記事で多くの日本語ユーザーに知られることとなり、日本人向けサーバーの1つであるmstdn.jpにユーザー登録が殺到し、サービスに支障が出る事態となった。

このサーバーはnullkal氏という大学院生の自宅サーバーであるにも関わらず数万人が詰め込まれることとなり、サービスに支障が出るほどになったためTwitter上で助けを求めた。さくらインターネットがこれに応じ、15日未明にサーバー移転がなされ現在は安定運用されている。

また、前後してPixivがMastodonサーバー「Pawoo」を公開。こちらも同じく数万人のユーザーを集め運用されている。そのため、一時的に日本人の運営するサーバーがMastodonのユーザー数上位サーバートップ2を占める状態となっていた(Mastodonのインスタンスページ)。

続いて15日夕方にはPawooが海外サーバーから切断されるという事件が発生。原因はPixivユーザーを主体とするPawooユーザーがいわゆる「18禁イラスト」を多数投稿したためで、海外サーバー運営元がこれら画像のキャッシュによって現地の法令に抵触することを恐れたことが原因。これについてはMastodon運営全体の問題として議論が続けられており、まだ結論は出ていない。

OSS、サーバー運用、表現規制問題などスラド諸氏の興味対象を詰め込んだようなニュースであるが、各位はどのように捉えるだろうか。

Mastodonのアーキテクチャについては「gnusocial や mastodon の哲学 - 何とは言わない天然水飲みたさ」が、その問題点については「本の虫: そろそろマストドンについて語っておくか」が詳しい。

typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...