パスワードを忘れた? アカウント作成

あなたのタレコミがスラドを支えます。さぁ、タレこめ!

15634319 story
Java

「白紙」の万能署名が作れるJavaの脆弱性「Psychic Signatures」 48

ストーリー by headless
満点 部門より
Oracle が 4 月のアップデートで修正した Java SE と GraalVM Enterprise Edition の脆弱性 (CVE-2022-21449) について、発見した ForgeRock の Neil Madden 氏が英 BBC の SF ドラマ「ドクター・フー」に登場する「サイキックペーパー」にちなんだ「Psychic Signatures」と名付けている (Madden 氏のブログ記事Ars Technica の記事The Register の記事)。

ドクター・フーのサイキックペーパーは白紙のカードだが、相手に見せたい任意の内容を表示できるというもの。一方、Psychic Signatures 脆弱性は楕円曲線デジタル署名アルゴリズム (ECDSA) 署名検証の脆弱性により、攻撃者が「白紙」の署名を使用して容易に認証をバイパスできるというものだ。

具体的には ECDSA 署名を構成する 2 つの値 (r、s) はいずれも 0 であってはならないが、影響を受けるバージョンの Java が実装する署名検証ではこれらの値が 0 でないことを確認しない。そのため、攻撃者は両方の値を 0 にした署名を作ることで、任意のメッセージと任意の公開鍵に対する有効な署名として利用できる。

Oracle では影響を受けるバージョンを Java SE: 17.0.2 / 18、GraalVM Enterprise Edition 21.3.1 / 22.0.0.2 としているが、サポートの終了した Java SE 15 /16 にも脆弱性は存在する。OpenJDK では影響を受けるバージョンを 15 / 17 / 18 としている。なお、この脆弱性の CVSS スコアを Oracle が 7.5 と評価するのに対し、ForgeRock では満点の 10.0 と評価しているとのことだ。
15600485 story
Chrome

Google、マクラーレンF-1のスポンサーになる 8

ストーリー by nagazou
以外といけるカラーリング 部門より
あるAnonymous Coward 曰く、

GAFAの一角であるGoogleが、マクラーレンF-1チームのスポンサーとなった。年数は明らかになされていないが、複数年契約である模様(autosport web)。ホイールカバーがGoogleカラーになり、パワーユニット搭載部にはアンドロイドのロゴとドロイドくんが描かれている。また、同時にマクラーレンのエクストリームEチームのスポンサーも務めることになっている。

GAFAではないが、Oracleもレッドブルのタイトルスポンサーになっており、エースドライバーフェルスタッペンの給与をカバーしていると噂されている(年額5000万ドルだと推測されている)。Googleの拠出額は不明だが、どのくらい関与するのかも含めて今後は楽しみになりそうだ。

15590250 story
海賊行為

ロシアは海賊版ソフトを合法化する 45

ストーリー by nagazou
かなり制裁が効いている感 部門より
ロシアの日刊全国紙であるKommersantに掲載された記事によると、ロシア政府は同国に対する制裁措置への対応のため、制裁措置を支持した国に関しては、非正規ソフトウェアの使用に対する刑事および行政責任の免除を議論しているという。ようするに海賊版利用を認める考えであるようだ(Kommersant)。

同国の専門家はこうした措置はMicrosoft、IBM、Oracleといった大手IT企業のロシア撤退への影響を一時的に緩和する効果が期待される。一方でこれらの企業の重要なソフトウェアのほとんどはサブスクリプションベースで販売されているため、いずれにせよアクセスは遮断され、影響が出ることになることは避けられないと警告しているとのこと。
15543458 story
アメリカ合衆国

log4j問題等を受け、米政府がGAFAやApacheらを集めたOSSセキュリティサミットを開催 60

ストーリー by nagazou
開催 部門より
米バイデン政権は13日、昨年末にApache Log4j 2で見つかった深刻な脆弱性問題を受け、大手IT企業に加えてGitHubなどオープンソースソフトウェア(OSS)組織のトップを招いてセキュリティ会議を開催したという(ITmediaZDNetEngadget)。

企業から参加したのはAkamai、Amazon、Apache Software Foundation、Apple、Cloudflare、Meta(旧Facebook)、GitHub、Google、IBM、Linux Foundation、Open Source Security Foundation、Microsoft、Oracle、RedHat、VMWareの各社。米政府側からも、科学技術政策局や国防総省、商務省、エネルギー省、国土安全保障省、CISA、国立標準技術研究所、国立科学財団などが参加した。

会議では国の安全保障システムにも多くのOSSコードが採用されているが、そうした重要なコードのセキュリティを維持する共通の仕組みは存在していない。IT業界と政府が協力して、道路や橋といった社会インフラのように重要なOSSプロジェクトを支援すべきであり、セキュリティ会議ではそうした作業を行う方法に関する意見共有が図られたとしている。
15520566 story
Oracle

米オラクル、医療情報大手のサーナー買収発表。3兆円規模 16

ストーリー by nagazou
買収 部門より
米Oracleは20日、電子カルテなどを提供する米Cerner(サーナー)を約283億ドル(約3兆2110億円)で買収すると発表した。BloombergによるとOracleにとっては過去最大の買収案件であるという(OracleリリースCernerリリースBloomberg)。

Cernerは病院や医療システムで使用されるデジタル情報システムの大手。Oracleのラリー・エリソン会長はリリースで「今回の買収により、オラクルの企業使命は医療専門家に対し、使いやすい新世代のデジタルツールを提供するという領域に広がる。ハンズフリーの音声インターフェースや安全なクラウドアプリケーションを用いた新世代の医療情報システムにより、医療従事者の負担を軽減し、患者のプライバシと予後を改善、医療費全体を削減することを約束します」としている。
15425003 story
Oracle

オラクル、Oracle JDKを無料提供へ、本番環境でも利用可に 71

ストーリー by nagazou
変更 部門より
米Oracleは14日、Java 17の発表と同時に企業向けのディストリビューションであるOracleJDKのライセンスを更新、無料で利用できるようにしたと発表した。新しいライセンスは「OracleNo-FeeTerms andConditions」(NFTC)。商用および実稼働環境での使用も可能で、無償配布である限りは再配布もできる。同日から配布の始まったOracle JDK 17から、この無料のリリースとアップデートの提供を行うとしている。次の長期サポート(LTS)がリリースされてから1年が経過するまで継続されるとしている(日本オラクルOracleブログPublickey)。>
15343610 story
アメリカ合衆国

米国防総省、JEDI Cloud 計画を打ち切る 16

ストーリー by nagazou
やり直しも規模が大きい 部門より
headless 曰く、

米国防総省 (DoD) は 6 日、軍用クラウドシステム JEDI (Joint Enterprise Defense Infrastructure) Cloud の提案要請を取り消し、契約解除の手続きに入ったと発表した(プレスリリースOfficial Microsoft Blog の記事The Verge の記事GeekWire の記事)。

JEDI は軍の機密データを処理するクラウドシステムを単一の民間企業が構築するというもので、最長 10 年、総額 100 億ドルにおよぶ大規模な契約だ。2018 年の公募では最終選考に Amazon Web Services (AWS) と Microsoft が残り、有力視されていた AWS を破って Microsoft が契約を勝ち取った

しかし、AWS はドナルド・トランプ米大統領(当時)が政敵のジェフ・ベゾス氏に損害を与えるため不当に圧力をかけたなどとして米政府を提訴。2020 年 2 月には米連邦請求裁判所が契約の事前差止を命じ、米政府の申立を認めて裁判を DoD に差し戻した。しかし、DoD は契約先として Microsoft が適切だとの判断を示したため、AWS が修正訴状を提出し、米政府と Microsoft の棄却申立は却下されていた。

DoD は軍におけるクラウド利用の増加など、要件や環境の変化により JEDI がそのニーズに合わなくなってきていることを終了の理由に挙げている。そのため、JEDI の提案要請を取り消すと同時に、数量未確定方式契約 (IDIQ) でマルチクラウド・マルチベンダーによるクラウド利用の取り組み JWCC (Joint Warfighter Cloud Capability) を発表した。

DoD のニーズを今すぐ満たすクラウドサービスプロバイダー (CSP) は AWS と Microsoft のみだが、JWCC がこの 2 社で決定ということではなく、IBM や Oracle、Google などにも提案を求めるとのこと。Microsoft は JEDI 以外にもさまざまな米国の国防プログラムを支えており、DoD が同社の技術を信頼しているのは間違いないことだとし、今後も DoD に協力していく考えを示している。

15251672 story
Java

米連邦最高裁、GoogleによるJava SE APIの使用はフェアユースと判断 44

ストーリー by nagazou
フェアユース 部門より
headless 曰く、

米連邦最高裁判所は5日、GoogleがJava SE APIライブラリから宣言部分のコードをコピーした行為はフェアユースに当たるとの判断を示した(裁判所文書: PDFThe Vergeの記事9to5Googleの記事)。

この裁判は2010年にOracleがJavaの特許および著作権を侵害されたとしてGoogleを訴えていたものだ。特許については侵害なしとの判決が早々に確定しているが、著作権に関しては一審二審で判断が分かれた。Java APIの宣言部分が著作権保護されるという2014年の連邦控訴裁判所判決を受けたGoogleの上告は却下されたが、2018年には連邦控訴裁判所がフェアユースに当たらないとの判断を示し、全法廷での再審理請求が却下されたことを受けてGoogleが再び上告こちらは受理されて今回の判断に至った。

今回GoogleはJava APIの宣言部分が著作権保護されないこと、著作権保護されるとしてもフェアユースに当たること、の2点に関して確認を求めていた。連邦最高裁では著作権保護の有無については明確な判断を示さなかったが、著作権保護されると仮定してもフェアユースに当たるとの判断を示している。

まず、機能を主とするコンピュータープログラムに従来の著作権の概念を適用するのは難しいが、宣言部分は事前に用意されたプログラムによる処理をプログラマーが容易に呼び出せるようにする「ユーザーインターフェイス」であり、コードの各行は著作権保護の対象とならないアイディアに相当する。そのため、これらをまとめた著作物に対する著作権保護は弱く、フェアユースが支持されるという。

また、GoogleによるJava APIの利用は必要最低限のものだけを取って新たな価値を生み出す変容的利用であること、コピーされた約11,500行のコードはJava API全体の0.4%に過ぎないこと、GoogleのスマートフォンプラットフォームはJava SEの市場を奪うものではなく、他の市場向けに再実装されたことによる利益を著作権者も得ていること、といったフェアユースの要件を満たすと判断した。

これらの理由により、GoogleによるJava APIの使用がフェアユースに当らないとした二審判決を破棄し、下級審に差し戻した。

15239132 story
Twitter

Twitterの最初のツイートが約2億1800万円で落札 40

ストーリー by nagazou
価値が理解できていない 部門より
nagazou 曰く、

TwitterのCEOであるJack Dorsey(ジャック・ドーシー)氏は、自身の最初のツイートNon-Fungible Token(NFT)としてNFTプラットフォーム「Valuables」でオークションにかけられていた。この出品ツイートが3月22日に落札されたそうだ。落札金額は291万5835ドル(約2億1800万円)だったという(ITmediaAFPBB News)。

coindeskの記事によれば、オークションはビットトレント(BitTorrent)CEOのJustin Sun(ジャスティン・サン)氏とマレーシアに拠点を置くBridge OracleのCEOのSina Estavi(シーナ・エスタビ)氏の間で入札争いが行われたようだ。最終的にエスタビ氏が落札することとなった(coindesk JAPAN)。

Twitterのジャック・ドーシー氏は、売り上げはビットコインに変換し、すでにアフリカ支援の非営利団体に全額寄付したとしている(ジャック・ドーシーのツイート)。

15204032 story
スラッシュバック

米政府、前大統領が署名したTikTokとWeChatに関する大統領令の正当性を見直し 47

ストーリー by headless
停止 部門より
米政府は11日、TikTokとWeChatを国家安全保障上の脅威と位置付けたドナルド・トランプ前大統領による大統領令が正当かどうか見直す計画を正式に示した(The Registerの記事裁判所文書: PDF[1][2])。

米商務省は昨年9月、大統領令に基づいて米国向けアプリストアでTikTokとWeChatの提供を禁止するなどの措置を発表した。しかし、WeChatユーザー連合が提起した裁判ではカリフォルニア北部地区連邦地裁TikTokが提起した裁判ではコロンビア特別区連邦地裁TikTokを利用するコンテンツクリエイターが提起した裁判ではペンシルベニア東部地区連邦地裁がそれぞれ事前差止命令を出しており、商務省は新たな法的判断が出るまで措置を発効しないと述べていた。

今回の方針変更は米政府が原告とともに、コロンビア特別区連邦地裁とカリフォルニア北部地区連邦地裁にそれぞれ提出した報告書で明らかになった。報告書によれば、大統領令の正当性を見直すため訴訟や発効期限を停止することで原告と合意に達しており、60日後(4月12日)までに次の報告書を提出するとのこと。

なお、前政権はTikTokが米国で事業を継続する条件として米企業への売却を命じ、OracleとWalmartが共同で買収交渉を進めていた。この案件はバイデン政権により白紙になったと10日にWSJが報じていたが、同日の記者会見でホワイトハウス報道官のジェン・サーキ氏は見直しを行っていることを認めたものの具体的な内容は明らかにしなかった。
15114874 story
Oracle

訃報: 日本オラクル社員犬「キャンディ」 39

ストーリー by nagazou
お悔やみ申し上げます 部門より
日本オラクルの発表によると、2010年10月20日に初出勤を開始した「キャンディ」(Candy)が1月7日に亡くなったそうだ。10歳だった。キャンディはお昼頃に出社、イベントやセミナーに登壇したり、営業回りをするといった業務をこなしてきたという。日本オラクルはブログ上で、長い間キャンディを多くの方々に親切にして頂いたことに深く感謝するとしている。
14987131 story
政治

米商務省曰く、大統領令に基づくTikTokへの措置は新たな法的判断が出るまで発効しない 28

ストーリー by headless
放置 部門より
米商務省のウィルバー・ロス長官は9日、大統領令に基づいて9月に出したTikTok/ByteDanceに対する措置は新たな法的判断が出ない限り発効しないことを明確にした(商務省の発表: PDFThe Guardianの記事The Vergeの記事)。

措置は8月の大統領令13942に基づくもので、9月20日以降(その後9月27日以降に変更)米国向けアプリストアでのTikTokアプリ提供を禁止、11月12日以降はアプリ機能有効化や最適化を目的とする米国向けホスティングサービスやCDNサービスの提供禁止のほか、米国内でのインターネットトランジット/ピアリングサービスの直接的な契約・手配やアプリを活用するためのソフトウェア・サービスの開発を禁止、といった内容だ。

しかし、9月27日にはコロンビア特別区連邦地裁がTikTokの請求を認めてアプリ提供禁止に事前差止命令を出しており、10月30日にはペンシルベニア東部地区連邦地裁がTikTok利用者の請求を認めてすべての措置に事前差止命令を出している。商務省では前者について大統領令は合法だとしつつ裁判所の判断に従う考えを9月27日に示していたが、後者についてはこれまで公式な見解を示していなかった。
14962163 story
ソフトウェア

Apache Software Foundation、OpenOfficeの20周年を祝う 21

ストーリー by nagazou
なんやかんやで20年 部門より
headless 曰く、

Apache Software Foundation(ASF)は14日、OpenOfficeの20周年を記念するブログ記事を公開した(The Apache Software Foundation Blogの記事Phoronixの記事)。

OpenOfficeのベースとなったStarOfficeは1985年に誕生し、開発元のStarDivisionを買収したSun Microsystemsが2000年7月にオープンソース化を発表。www.OpenOffice.orgでソースコードが公開されたのは2000年10月13日、2002年にはOpenOffice.org 1.0がリリースされている。

2010年にはOracleがSun Microsystemsを買収し、2011年にOpenOffice,orgプロジェクトをASFへ寄贈した。OpenOffice.orgは「Apache OpenOffice」という名称に変更され、2012年に最初の正式版がリリースされている。

当初はOffice互換ソフトの先頭走っていたApache OpenOfficeだが、2015年にはOpenOffice.orgをフォークしたLibreOfficeと比べて開発の遅れが目立ち始め、2016年にはプロジェクト終了を検討するに至る。その後プロジェクトは継続することになったものの、人手不足は続いているようだ。

14391362 story
スラッシュバック

TikTokとWeChat、米国向けアプリストアでの提供禁止を一時回避 36

ストーリー by headless
回避 部門より
ウィルバー・ロス米商務長官は19日、米国向けアプリストアでTikTokの提供を禁止する措置を27日23時59分まで延期すると発表した(プレスリリース)。

この措置は大統領令13942によるもので。20日からの提供禁止が18日に発表されていた。しかし、ドナルド・トランプ大統領の指示があって延期することになったという。トランプ大統領は19日、Oracle+WalmartとTikTokの提携交渉を概念としては認める考えを示している。

これについてTikTokOracleは、新たに設立するTikTok Globalの持ち分をOracleとWalmartが合わせて最大20%取得すると発表している。OracleはTikTokのセキュアクラウドプロバイダーに選定されたという。内訳はOracleが12.5%、Walmartが7.5%となるようだ。

一方、WeChatはTikTokとともに20日以降の提供禁止措置が発表されていたが、こちらは米国のWeChatユーザー連合からの訴えを受けてカリフォルニア北部地区連邦地裁の下級判事が措置の事前差止命令を出している。これにより、TikTokとWeChatはともに米国向けアプリストアでの提供禁止を一時回避したことになる(Ars Technicaの記事The Vergeの記事9to5Macの記事)。
14321533 story
アメリカ合衆国

TikTok売却問題、オラクルに決定で決着。ただし米政府が認める内容かは不透明 24

ストーリー by nagazou
売却の行方は 部門より
TikTokの米国事業の売却問題について進捗があった。同事業に関してはトランプ大統領が、TikTokの米国事業を米国時間の9月15日までに売却せよと命じており、売却できない場合は米国内での事業展開ができなくなる。ByteDanceは9月13日、TikTokの米国事業をMicrosoftに売却しないことを通知した。Microsoftの発表で判明した(MicrosoftCNN)。

この発表の約1時間後にByteDanceが選んだのは、米Oracleの提示した案であると報じられた(過去記事)。Oracle案では、TikTokは米国事業に関しては売却を行わず、Oracleとの信頼できる技術パートナーシップという提携によって米国事業を続けるという方式だという(The Verge日経新聞ロイター)。

この決定について、ムニューシン米財務長官はOracleとByteDanceの取引を確認したと発言したという。今週対米外国投資委員会(CFIUS)にこの提案を図るとしている。今回の決定で、米国のTikTok従業員1400人と数千万人の米国のユーザーは一息つくことはできた。しかし、今回の一件がトランプ大統領の命じた米国事業の売却に相当するのかは疑問が残るところ(The Vergeその2WSJ毎日新聞)。

そもそも提携は事業の売却ではなく、Oracleが主張する「信頼できる技術パートナー」なるものが、何を意味するのか不明。現状の提案では一部の国で行われている現地法人と提携しているのと変わらないという説もある。果たしてこの提案が米国政府に承認されるのかどうかはまだ不透明であるとみられている。
typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...