パスワードを忘れた? アカウント作成

スラドのストーリを選ぶための補助をお願いします。

13395737 story
GNU is Not Unix

GnuPG 2.2.0 リリース 9

ストーリー by hylom
旧版ユーザーはご注意を 部門より
osdn曰く、

GnuPGのバージョン2.2.0がリリースされました(アナウンスOSDN Magazine)。これは長らくmodern版として開発されてきた2.1系が新たな安定板になったことを意味します。

2.0系は今年いっぱいでサポートが終わるので、ユーザは2.2へ移行する必要があります。

13316204 story
BSD

Linuxなどのスタック管理機構において権限昇格が可能な脆弱性が発見される。多くのLinuxディストリビューションに影響 65

ストーリー by hylom
皆様アップデートを 部門より

LinuxやUNIX系OSにおいて、一般ユーザーが不正に特権を得ることができる「Stack Guard Page Circumvention」と呼ばれる攻撃手法が発見された(Red Hat Customer Portal)。Linuxカーネルやglibc、sudoなどの脆弱性を利用するもので、幅広い影響が出るようだ。

ベースとなっているのは、スタック領域に多量のメモリ割り当てとデータ書き込みを行ってスタック領域を溢れさせることで、ヒープ領域のデータを不正に書き換えられることがあるという問題。Red Hatによると、関連する脆弱性はCVE-2017-1000364(Linuxカーネルのstack guard pageの脆弱性)、CVE-2017-1000366(glibcでLD_LIBRARY_PATHの値に細工をすることでヒープ/スタックの値を操作できる脆弱性)、CVE-2017-1000367(sudo 1.8.20以前の入力バリデーションの不備)という3つとされている。osdn曰く、

スタック範囲を他のメモリ領域と衝突させて悪用できる問題は2005年と2010年に示され、対策が取られてきました。しかしセキュリティ企業Qualysが19日、少なくともLinux、OpenBSD、NetBSD、FreeBSD、Solarisのi386とamd64では対策の不備があり、実際に悪用可能か、少なくともPoCが存在することを示しました。(ITmedia)。

数多くの入口からローカル権限上昇攻撃ができた (あるいは理論上可能な道筋がある) そうです。緩和策としてはlimits.conf等でスタックを制限することなどがありますが、完全ではありませんし副作用も大きいです。各ベンダーには既に通知され、順次対策が取られることになっていますので、アップデートの用意をしておくのが最善でしょう。

アドバイザリによれば、Debianでも8.5と8.6、また8.xと9以上の間には脆弱さに大きな違いがあり、最新のものほど効率よく悪用することは難しくなってきているそうです。

しかし現状で最も簡単に悪用できる方法はi386のDebianでEximを使ってローカル権限上昇をすることだ、とQualysは指摘しています。またOpenBSDではatを使って攻撃しようとしたものの、ファイルシステムが遅すぎて、一週間かけてもヒープがスタックに届くほどの数のジョブファイルを作成できなかったそうです。

なお、今回は64bitでもスタックと他領域が近い場合があることも示されましたが、基本的にはメモリ領域が広い方が安全です。

grsecurity/PaXにはスタック・ガードページの大きさを変更できる機能があるので、これを大きくするのは簡単で有効です。またGCCには-fstack-checkというオプションがあり、各4KBページにアクセスすることで、スタックポインタが他領域に行ってしまう前に必ずガードページに当たり、SEGVになってくれるそうです。パフォーマンスに影響はありますが、長期的には良い方法だとQualysは指摘しています。

13313375 story
GNU is Not Unix

米成人の7%、チョコレートミルクは茶色い牛から採れると回答 152

ストーリー by headless
茶色の牛乳 部門より
米国の成人を対象に実施された乳製品に関する調査で、回答者の7%がチョコレートミルクは茶色い牛から採れると回答したそうだ(TODAYの記事Food & Wineの記事Consumeristの記事Dairy Goodの記事)。

調査は乳製品業界団体のInnovation Center for U.S. Dairyが4月にオンラインで実施したもので、1,000人以上が参加したという。チョコレートミルクが茶色い牛から採れると答えた回答者は7%のみだが、何から採れるかわからないと答えた回答者は48%にのぼる。また、自分が飲みたいチョコレートミルクを購入する言い訳に子供を使う回答者が29%いたとのことだ。
13307352 story
SNS

録画支援ソフト「foltia」にMastodonサーバー機能が搭載される 20

ストーリー by hylom
通知プラットフォームとしては悪くないと思う 部門より
あるAnonymous Coward曰く、

アニメ録画支援ソフトとして一部の人をハートキャッチしている録画支援Linuxアプライアンス foltia ANIME LOCKERの新版5.0が発売された。本バージョンでは何故か録画支援ソフトなのにオープンソースの分散型SNSであるMastodonのサーバー機能を追加しており一部で話題になっている。

リリース曰く、

VPSを新たに借りるほどでもなく、個人サーバの台数を増やすのも電気代や場所の観点から気がひけるという個人の方も多いことから、foltia ANIME LOCKERの内部にMastodonサーバの機能を取り込むことでMastodonを利用したい多くの方に便利

と意味不明の供述しており、動機は不明。

ただ、開発者インタビューをまじめに読んでみると、録画終了などの通知をMastodon機能を通じて出す事で、Twitterの名前空間を汚さずに通知などを出すことができる、というアイデアのようである。このようにMastodonを分散プッシュ通知プラットフォームと考えれば、ほかの家電やサービスがMastodon機能を搭載して、みながGnuSocialでしゃべり出す未来もあるかのように錯覚しそうになった。

13304114 story
GNU is Not Unix

GnuPGプロジェクトが資金調達キャンペーンを開始 15

ストーリー by hylom
ご協力お願いします 部門より
gniibe曰く、

GnuPGプロジェクトが資金調達キャンペーンを始めました。毎日の動画もあります。

メインの動画とページは日本語で読めます。

GnuPGは過去に開発資金難が発生、寄付を募っていた(過去記事)。

13293583 story
Debian

Devuanプロジェクト、初の安定版「Devuan Jessie 1.0.0 Stable」リリース 26

ストーリー by headless
安定 部門より
Devuanプロジェクトは25日、Devuan GNU+Linux初の安定版となる「Devuan Jessie 1.0.0 Stable」をリリースした(アナウンスPhoronixの記事The Registerの記事Softpediaの記事[1][2])。

DevuanプロジェクトはDebianにおけるsystemdをめぐる論争の結果として、「Veteran Unix Admin」を名乗るグループが2014年11月にDebianをフォークして立ち上げたプロジェクト。initシステムの自由(Init Freedom)を掲げ、Debianからsystemdへの依存を排除して任意のinitシステムを使用できるようにすることを目指す。

Devuan Jessie 1.0.0は3週間前にRC2が公開されてから大きなバグの報告はなく、重大なバグは1件もないことから、安定版としての公開に至ったとのこと。本バージョンは同時に長期サポート版(LTS)となる。Debian 7/8からのアップグレードも可能だ。

プロジェクトによれば、DevuanはDebianのあるべき姿とのことで、目標は実用的で継続的な選択肢の提供だという。ナンセンスではないユニバーサルなGNU+Linuxを提供するという計画は始まったばかりであり、このリリースの先に広がっていくとのことだ。
13263897 story
GNU is Not Unix

LibrebootはGNUプロジェクトに復帰すべきか 26

ストーリー by hylom
そんなに影響があったのか 部門より
headless曰く、

LibrebootがGNUプロジェクトへの復帰を目指し、Redditでスレッドを立ててコミュニティーの意見を求めている(LibrebootのニュースRedditPhoronix)。

Librebootを率いるメインテナーのLeah Rowe氏は昨年9月、あるFree Software Foundation(FSF)従業員が性転換者であることを理由に解雇されたと主張。FSFとGNUを猛烈に批判してGNU離脱を宣言した。今年1月にはRechard M. Stallman氏が離脱を認めるメッセージをGNUメーリングリストに投稿し、論争は一旦終結していた。

Rowe氏によるRedditへの投稿は具体的な論争の内容への言及を避けつつ、論争による混乱やLibrebootとFSF/GNUとの関係悪化といった出来事は起こるべきではなかったとし、LibrebootはGNUを離脱するべきではなかったと述べている。GNU復帰に関して他のメインテナーから強い反対意見は出ていないが、広い支持を得られるかどうかRedditのスレッドで確認したいとのこと。

これに先立つ4月2日、LibrebootのWebサイトではフリーソフトウェアコミュニティーに宛てた公開書状を掲載している。書状でシステム管理者のAlyssa Rosenzweig氏は、Rowe氏がコミュニティーの意見を聞かず独断でGNU離脱へ突っ走ってしまったと述べている。また、プロジェクトの民主的な運営や、一連の論争で起こった混乱を終結させる必要があるとも述べている。書状の後半では、Rowe氏が自身の行動が誤りであったことを認め、名指しで批判した人々に謝罪している。

13237007 story
SNS

分散型SNSのMastodon、突然のブームでトラブルも 92

ストーリー by hylom
果たして1か月後、1年後にアクティブなユーザーはどれだけいるか 部門より
yagitch曰く、

先日Twitterのライバルと目される「Mastodon」として取り上げられたMastodonが、突然のブームとなっている。以前はドイツ語圏や英語圏のユーザーがほとんどだったが、ASCII.jpの記事で多くの日本語ユーザーに知られることとなり、日本人向けサーバーの1つであるmstdn.jpにユーザー登録が殺到し、サービスに支障が出る事態となった。

このサーバーはnullkal氏という大学院生の自宅サーバーであるにも関わらず数万人が詰め込まれることとなり、サービスに支障が出るほどになったためTwitter上で助けを求めた。さくらインターネットがこれに応じ、15日未明にサーバー移転がなされ現在は安定運用されている。

また、前後してPixivがMastodonサーバー「Pawoo」を公開。こちらも同じく数万人のユーザーを集め運用されている。そのため、一時的に日本人の運営するサーバーがMastodonのユーザー数上位サーバートップ2を占める状態となっていた(Mastodonのインスタンスページ)。

続いて15日夕方にはPawooが海外サーバーから切断されるという事件が発生。原因はPixivユーザーを主体とするPawooユーザーがいわゆる「18禁イラスト」を多数投稿したためで、海外サーバー運営元がこれら画像のキャッシュによって現地の法令に抵触することを恐れたことが原因。これについてはMastodon運営全体の問題として議論が続けられており、まだ結論は出ていない。

OSS、サーバー運用、表現規制問題などスラド諸氏の興味対象を詰め込んだようなニュースであるが、各位はどのように捉えるだろうか。

Mastodonのアーキテクチャについては「gnusocial や mastodon の哲学 - 何とは言わない天然水飲みたさ」が、その問題点については「本の虫: そろそろマストドンについて語っておくか」が詳しい。

13224065 story
ゲーム

シューティングゲームで高得点を取らないと暗号化解除できないマルウェア 17

ストーリー by hylom
RansomとRensenを掛けたネタなのね 部門より
Fagnux 曰く、

同人ゲームで高得点を出さないと暗号化が解除されないマルウェアが発見されたそうだ(BleepingComputerITmedia)。

「RensenWare」という名称のマルウェアで、感染すると上海アリス幻樂団の同人シューティングゲーム「東方星蓮船 ~ Undefined Fantastic Object.」の最高難易度であるLunaticで2億点取ることを要求するという。このマルウェアは実際に対象のゲームを検知し、その条件を達成すると暗号化が解除されるという。

マルウェア発見後にRensenWareの開発者が「自身も感染した」とツイートしその後BleepingComputerに連絡し謝罪、仲間内でのジョークソフトであると明かしたようだ。

また、誤って感染した人のためにGitHub上で解除ツールの配布も行われている

13221452 story
テクノロジー

アサヒ飲料の「強冷」自販機 123

ストーリー by headless
冷た~~~い 部門より
Fagnux 曰く、

アサヒ飲料は5月から庫内温度を約1度にした「強冷」の自動販売機を展開する(ニュースリリースITmedia ビジネスオンラインの記事)。

アサヒ飲料によれば、利用者が炭酸飲料に求めているのは「炭酸の強さ」「爽快さ」であり、飲む温度を下げることで爽快に味わえるという。商品のラインナップも「三ツ矢サイダー」や「ウィルキンソン タンサン」といった炭酸飲料を中心としたものとなる。

同社では飲料を常温(約20度)で提供可能な自動販売機を昨年から展開しているが、今回展開する強冷自動販売機でも一部で常温飲料の提供が可能となっているとのことだ。

13163943 story
サイエンス

「ヘルシー」な食品ってどんなもの? 121

ストーリー by headless
募集 部門より
食品のラベルに表示する「ヘルシー (healthy)」という用語の使い方について、米食品医薬品局(FDA)が意見募集を行っている(FDAの告知FDAのブログ記事Ars Technicaの記事)。

昨年5月に改訂された米国の栄養表示基準では、カロリーや1食あたりの分量などを大きな文字で表示することが義務付けられるほか、最新の食生活指針に基づく栄養素の表示が求められている。一方、現実には栄養表示を吟味する時間がなく、「ヘルシー」「低脂肪」といった表示を見て購入を決める人も多い。そのため「ヘルシー」という用語についても、最新の食生活指針や栄養学を反映した表示基準を設けたいということのようだ。意見募集は昨年9月に開始され、当初は今年の1月26日を期限としていたが、その後4月26日まで延長された。3月9日には公聴会の開催も予定されている。

しかし、一言で「ヘルシー」といってもさまざまな要素があり、単純ではない。受け止め方も人それぞれ違うだろう。スラドの皆さんが考える「ヘルシー」な食品とはどのようなものだろうか。
13143643 story
広告

「Get a Mac」キャンペーンのMac役俳優、HuaweiのCMに出演中 29

ストーリー by headless
転職 部門より
Appleの「Get a Mac」キャンペーンでMac役を演じたことで知られる俳優のジャスティン・ロングがHuaweiの米国向けキャンペーンCMに出演している(Campaign USの記事Mac Rumorsの記事The Vergeの記事)。

役柄としては新人の監督らしく、HuaweiのCM監督になるためMate 9の面接を受ける「Mate 9 The Interview」と、CM監督としてMate 9とともにMateBookをオーディションする「The Audition」の2本がYouTubeで公開されている。

CMではかつてMac役を演じたことに関連する要素は登場しないが、キャンペーンを手掛ける広告代理店は過去のAppleとの関係を利用した大胆な内容を提案していたという。しかし、Huaweiとロング氏はあまり露骨な内容を望まなかったため、このような形に落ち着いたとのこと。それでもYouTubeでは「裏切者」というコメントがみられる。
13116221 story
GNU is Not Unix

RMS、LibrebootのGNUプロジェクト離脱を認める 47

ストーリー by headless
gnuexit 部門より
Richard M. Stallman氏が5日、Librebootに別れを告げるメッセージをGNUメーリングリストに投稿し、昨年9月から続いていたLibrebootのGNUプロジェクト離脱をめぐる論争が決着した(Stallman氏の投稿Phoronixの記事OSDN Magazineの記事)。

LibrebootはオープンソースのBIOS/UEFIであるcorebootのダウンストリームで、基本的にはハードウェア初期化用としてcorebootに含まれるバイナリーブロブを除去したものとなる。Librebootは昨年5月に正式なGNUプロジェクトになったが、メインテナーのLeah Rowe氏は9月、あるFree Software Foundation(FSF)従業員が性転換者であることを理由に解雇されたと批判してGNUからの離脱を宣言する。Rowe氏の批判は、FSFやGNUが存在に値するとは考えられないといった手厳しいものだ。

Stallman氏FSFは性転換者であることが解雇の理由ではないと説明したが、Rowe氏は複数の元FSF従業員(解雇された従業員とは別人)の証言などを添えて両者が嘘をついていると批判。解雇やいじめにかかわったFSFメンバーの辞職または解雇を求め、FSFに対するボイコットや他のプロジェクトのGNU離脱を呼び掛ける事態に発展する。

一方、GNUではいったんGNUプロジェクトになったプロジェクトの離脱は認められないとし、Rowe氏がメインテナーを降りてLibrebootをフォークしたとも主張していたという。

それから4か月が経過し、Stallman氏はプロジェクトとGNUの関係は恒久的なものであるとの見解を維持しつつも、3つの理由でLibrebootのGNU離脱を認めている。1つ目の理由はLibrebootが長期にわたってGNUパッケージに含まれていたわけではないこと、2つ目はRowe氏がLibrebootをGNUパッケージに追加した開発者自身であること、3つ目はGNUのもとでLibrebootの開発を続ける意思のある主要な開発者がいないことだという。

これらの理由によりGNUではLibrebootの開発継続を中止するとし、LibrebootはGNUパッケージではなくなったが、今後もフリーソフトウェアであり続けると締めくくっている。
13100445 story
暗号

PGPは有害無益? 35

ストーリー by hylom
何年も使っていない 部門より
あるAnonymous Coward 曰く、

PGPが事実上唯一の暗号化メッセージ手段だった時代は終わり、暗号の専門家たちは「前からPGPには利点よりも問題のほうが多いと思っていた」Bruce Schneier)、「長期に渡って安全に保管しなければならない鍵のモデルには見切りをつけることにした」(Filippo Valsorda)などとPGPに対する疑問を表明している(Ars Technica)。彼らはSignalなどのメッセージングアプリを好む傾向があるようだ。読者諸氏は、暗号化メッセージが必要な場面でどのようなツールを選択しているだろうか。

最近はGnuPGTOFUを取り入れるなどトラストモデルを改善しているものの、Valsordaによれば「GnuPG単独の問題ではない。PGPそのものがうまくいっていないのだ」という。「暗号化メールが来るのは多くても年に二通。UXも昔からひどいまま。しかし本当の問題点は、鍵を大事にすればするほどアタックサーフェスを広げることになるという、長期鍵の根本にある危険性だ」として、クラウド業界では有名なペットと家畜の比喩を持ち出している。鍵に名前を付けて、障害があったときに手間暇かけて対応するのはナンセンスだ、鍵は使い捨てにすべきだという意見だ。

12996847 story
お金

NTPプロジェクトの資金難、現在も改善せず 28

ストーリー by hylom
忘れられやすいインフラ 部門より
headless 曰く、

昨年、深刻な資金難が伝えられたNTPプロジェクトだが、資金難は現在も改善されていないようだ(Infoworld)。

NTP(Network Time Protocol)はその重要性にもかかわらず注目度が低く、「時の翁」ことプロジェクトマネージャーのHarlan Stenn氏に資金面・運営面ともに依存している状態となっている。11月21日にリリースされたntp-4.2.8p9のリリースノートによれば、今年はGoogleからの資金援助が得られず、Linux FoundationのCore Infrastructure Initiative(CII)によるサポートもNTPの開発に限定されており、Stenn氏の毎週の作業時間のおよそ25%程度しかカバーできないのだという。そのため、通常の作業の継続やドキュメンテーションの改善のほか、Network Time Security(NTS)プロジェクトやGeneral Timestamp APIの開発を進めていくためには現在よりも相当多くのサポートが必要になるとのこと。

ntp-4.2.8p9で修正された脆弱性の中には6月に報告されたものもあり、9月には発見者のMagnus Stubman氏が修正に時間がかかればかかるほど、悪用しようとする人々に知られる可能性が高くなるなどと催促。これに対しStenn氏は、深刻なリソース不足が続いていると述べ、作業が遅いことを批判してもよいが、自ら作業を手伝ってくれてもよく、誰か助けてくれる人を探してくれてもよいと回答している。

typodupeerror

人生unstable -- あるハッカー

読み込み中...