パスワードを忘れた? アカウント作成

みんなの日記の更新状況はTwitterの@sradjp_journalsでもチェックできます。

13742547 story
マイクロソフト

Microsoftがオープンソースソフトウェアの特許紛争対策組織OINに加入、6万件の特許を提供へ 43

ストーリー by hylom
ソフトウェアの分野で争う時代は終わったのか 部門より

米Microsoftがオープンソースソフトウェアを特許のリスクから保護することを目的としたコンソーシアムOpen Invention Network(OIN)に加入したことを発表した(GIGAZINEOSDN Magazine)。

OINは元々はLinuxやLinux関連アプリケーションに対する脅迫的な特許紛争を防ぐために設立された組織で、IBMやNovell、Red Hat、SONYによって立ち上げられた。その後NECやOracleなども参加し、Linuxに関連する特許をプールしている。

OINが設立された理由の1つとしてMicrosoftとの特許紛争に対する危惧があったが、MicrosoftのOIN加入はMicrosoftとオープンソースとの争いの終わりを象徴する出来事だろう。

13602208 story
GNOME

GNOMEでNautilusからプログラム起動機能を削除する計画、いったん中止になる 41

ストーリー by headless
復活 部門より
GNOMEプロジェクトがファイルマネージャー「Nautilus (ファイル)」からバイナリー/プログラム起動機能の削除を計画し、Commit 3a22ed5bで削除されたのだが、企業やコンテンツクリエイターのワークフローへの影響についてさらなる調査が必要だとしてCommit ce73de0cで復元された。

Nautilusにはデスクトップアイコン表示機能が備わっていたが、6年前にGNOME 3のデフォルトで無効化され、今年3月リリースのGNOME 3.28で削除されている。デスクトップがNautilusの一部でなくなってから長い時間が過ぎており、アプリの配布方法も変化していることからバイナリーやデスクトップファイルを起動する機能も以前ほど有用でなくなった、というのが理由の一つだ。また、Nautilusでは実行許可を持つ.desktopファイルがドキュメントに偽装して任意のコードを実行するCVE-2017-14604のような脆弱性が発見されるなど、セキュリティ面の問題も理由に挙げられている。

しかし、3a22ed5bのコメント欄では、自作のスクリプトを実行しにくくなる、初心者にとってアプリの起動が困難になる、といった反対意見が多く出される。計画を覆すに至る意見は出ていなかったが、Nautilusのコンテキストメニューからバイナリーをプログラムとして実行できるようにすることが別途提案され、こちらを優先することになったようだ。
13441149 story
スパコン

NEC、新型ベクトル型コンピュータ「SX-Aurora TSUBASA」を発表 28

ストーリー by hylom
NVIDIAと戦う感じか 部門より
あるAnonymous Coward 曰く、

NECが新プラットフォーム「SX-Aurora TSUBASA」を発表しました日経ITpro)。

名前からすると地球シミュレータからの流れが続くベクトル型スパコンSXの新型機であるかのような印象を受けますが、その実態はベクトルプロセッサを搭載した演算カード(ベクトルエンジン、VE)をx86サーバーに接続するという構成になっています。

以前からスカラー型スパコンに取り付けるアクセラレータのような形でベクトル機は生き残るのだろうと思っていましたが、その予測はあながち間違いではなかったようです

演算カードに搭載されるベクトルプロセッサでは倍精度浮動小数点演算性能が307GFLOPSのコアを8コア搭載する。また、HZBM2メモリもカード内に搭載される。

サーバーの形状もVEを1枚搭載するタワー型、2〜8枚搭載できるラックマウント型、64枚搭載できるデータセンター向けの専用筐体型の複数が提供されるとのこと。x86プロセッサとしてはXeonを搭載、OSはRed Hat Enterprise Linux 7。最小構成価格は170万円からで、データセンター向けのものは1億2,000万円から。

13434014 story
スラッシュバック

WPA2の脆弱性「KRACK」の対策が進む 85

ストーリー by hylom
致命的な感じには至らなそうでなにより 部門より
headless曰く、

先日話題になったWPA2の脆弱性KRACK」だが、Microsoftはサポート対象のすべてのWindowsについて、既に10月の月例更新で修正済みだったそうだ。LinuxやAppleのOSなどでも対応が進められている(The VergeSoftpediaMac RumorsNeowinBetaNews)。

KRACK(Key Reinstallation AttaCK)攻撃は偽のアクセスポイントを使用してクライアントにWPA/WPA 2の暗号鍵を再インストールさせることで、通信内容の復号が可能になるというもの。アクセスポイントではなくクライアントを対象にした攻撃であり、クライアント側のパッチで回避可能になる。

Windowsが影響を受けるのはCVE-2017-13080で、Windows 7~Windows 10、Windows Server 2008~2016のうち、10月10日時点でサポートされているバージョンにパッチが提供されている。なお、Windows 10は最初にリリースされたバージョン(RTM)からバージョン1703(Creators Update)まで、すべてのバージョンにパッチが提供されたようだ(セキュリティ更新プログラムガイド)。

Windows以外のOSではOpenBSDDebianUbuntuFedoraRed HatLinux Mintelementary OSArch LinuxSolusなどがパッチの提供を発表しており、LinageOSもパッチをマージしている。Appleはベータ版のiOS/tvOS/watchOS/macOSで修正済みだといい、Googleは数週間のうちにAndroidのパッチをリリースすると述べているそうだ。

デバイス関連ではIntelCiscoNETGEARArubaUbiquitiが修正版ファームウェア提供などの対策を発表している。

13431531 story
レッドハット

米ピザハット、新型デリバリーバッグと同素材の防寒ジャケット「Pizza Parka」を開発 19

ストーリー by headless
熱々 部門より
米ピザハットは10日、3層の保温素材を組み合わせた新型デリバリーバッグや新型ピザボックスを組み合わせた「Oven Hot Delivery System」を発表するとともに、新型デリバリーバッグと同じ素材を使用した限定版の防寒ジャケット「Pizza Parka」を発表した(プレスリリースPizza Parka紹介ツイートFOODBEASTの記事)。

新型デリバリーバッグはスキージャケットなどに使われる中綿素材の3M Thinsulateとスペースブランケットに使われるアルミニウム蒸着PETシート、家の保温素材として使われるポリエステルファイバーの3層構造。改良されたピザボックスやボックスに入れる新型シートとの組み合わせにより、従来よりも熱々でクリスピーなピザを配達できるという。

Pizza Parkaはこの新型デリバリーバッグと同じ3層の保温素材を使用したフード付きの防水・防寒ジャケットだ。スマートフォンを入れたままでピザを注文できる透明ポケットが袖に配され、ピザを1切れ格納できる専用内ポケットも備えている。ピザハットでは新デリバリーシステムの熱さを周知するには同素材の防寒ジャケットが最適だと考えているそうだ。

Pizza Parkaは10月の全米ピザ月間「National Pizza Month」を通じ、pizzahut.comや「Pizza Hut」アプリでピザをオンライン注文した人や、ピザと炎の絵文字を@pizzahut宛にツイートした人の中から抽選でプレゼントされる。
13373413 story
レッドハット

Red Hat Enterprise LinuxでBtrfsが「deprecated」に 35

ストーリー by hylom
しばらくはXFSで行くのですかね 部門より

現在活発に開発が進められているLinux向けファイルシステム「Btrfs」だが、Red Hat Enterprise Linux(RHEL)でのサポートはRHEL 7系で終了し、RHEL 8以降ではサポートが行われないことが公表された(gihyo.jp)。

RHELでは、RHEL 6で技術プレビューとしてBtrfsのサポートが導入されていたが、RHELドキュメントのDeprecatedページによると、今後Btrfsを正式サポートする予定はないと明記されている。RHEL 7系でのサポートは継続される予定のようだ。

13316204 story
BSD

Linuxなどのスタック管理機構において権限昇格が可能な脆弱性が発見される。多くのLinuxディストリビューションに影響 65

ストーリー by hylom
皆様アップデートを 部門より

LinuxやUNIX系OSにおいて、一般ユーザーが不正に特権を得ることができる「Stack Guard Page Circumvention」と呼ばれる攻撃手法が発見された(Red Hat Customer Portal)。Linuxカーネルやglibc、sudoなどの脆弱性を利用するもので、幅広い影響が出るようだ。

ベースとなっているのは、スタック領域に多量のメモリ割り当てとデータ書き込みを行ってスタック領域を溢れさせることで、ヒープ領域のデータを不正に書き換えられることがあるという問題。Red Hatによると、関連する脆弱性はCVE-2017-1000364(Linuxカーネルのstack guard pageの脆弱性)、CVE-2017-1000366(glibcでLD_LIBRARY_PATHの値に細工をすることでヒープ/スタックの値を操作できる脆弱性)、CVE-2017-1000367(sudo 1.8.20以前の入力バリデーションの不備)という3つとされている。osdn曰く、

スタック範囲を他のメモリ領域と衝突させて悪用できる問題は2005年と2010年に示され、対策が取られてきました。しかしセキュリティ企業Qualysが19日、少なくともLinux、OpenBSD、NetBSD、FreeBSD、Solarisのi386とamd64では対策の不備があり、実際に悪用可能か、少なくともPoCが存在することを示しました。(ITmedia)。

数多くの入口からローカル権限上昇攻撃ができた (あるいは理論上可能な道筋がある) そうです。緩和策としてはlimits.conf等でスタックを制限することなどがありますが、完全ではありませんし副作用も大きいです。各ベンダーには既に通知され、順次対策が取られることになっていますので、アップデートの用意をしておくのが最善でしょう。

アドバイザリによれば、Debianでも8.5と8.6、また8.xと9以上の間には脆弱さに大きな違いがあり、最新のものほど効率よく悪用することは難しくなってきているそうです。

しかし現状で最も簡単に悪用できる方法はi386のDebianでEximを使ってローカル権限上昇をすることだ、とQualysは指摘しています。またOpenBSDではatを使って攻撃しようとしたものの、ファイルシステムが遅すぎて、一週間かけてもヒープがスタックに届くほどの数のジョブファイルを作成できなかったそうです。

なお、今回は64bitでもスタックと他領域が近い場合があることも示されましたが、基本的にはメモリ領域が広い方が安全です。

grsecurity/PaXにはスタック・ガードページの大きさを変更できる機能があるので、これを大きくするのは簡単で有効です。またGCCには-fstack-checkというオプションがあり、各4KBページにアクセスすることで、スタックポインタが他領域に行ってしまう前に必ずガードページに当たり、SEGVになってくれるそうです。パフォーマンスに影響はありますが、長期的には良い方法だとQualysは指摘しています。

13275320 story
ソフトウェア

Fedora、MP3をフルサポートへ 7

ストーリー by hylom
ついに 部門より
headless 曰く、

Fedoraが、標準でMP3をフルサポートすることを発表した(Fedora MagazineBetaNewsPhoronix)。

Fedora Workstationでは昨年11月、MP3デコードに関する特許の存続期間が満了したことを受け、mpg123ライブラリとGStreamerでのMP3デコードを有効化していた。さらに4月23日、Fraunhofer IISとTechnicolorがMP3関連特許とソフトウェアのライセンスプログラムを終了したことから、Red Hatの法務部門がFedoraへのMP3エンコーダー追加を認めたとのこと。

これまではライセンスの問題からFedoraのベースディストリビューションにMP3デコード/エンコード機能を含めることは困難だった。そのため、多くのユーザーがサードパーティーのリポジトリからMP3関連のライブラリをインストールしていたが、近いうちにFedora標準でMP3エンコードが可能になる。

12958857 story
バグ

Linuxカーネルに11年以上前から存在する特権昇格の脆弱性「Dirty COW」が修正される 51

ストーリー by headless
汚牛 部門より
Linuxカーネルに11年以上前から存在するバグが修正された。このバグは以前から知られていたものだが、最近になって特権昇格の脆弱性(CVE-2016-5195)であることが判明し、エクスプロイトの存在も確認されて「Dirty COW」と名付けられていた(メーリングリストでのアナウンスV3の記事The Registerの記事Ars Technicaの記事)。

Dirty COWはLinuxカーネルのサブシステムがcopy-on-write(COW)を処理する際に競合を起こし、プライベートな読み取り専用メモリーマッピングへの書き込みが可能になるというもの。このバグを特権のないローカルユーザーが利用することで、特権の昇格が可能になる。Linus Torvalds氏は11年前にバグの修正を試みているが、s390アーキテクチャーで問題が発生して取り消されていたとのこと。

RedHatではDirty COWの深刻度を2番目に高い「Important」としており、任意コード実行の脆弱性などと比べて低い評価になっている。しかし、発見者のPhil Oester氏によれば、エクスプロイトは少なくとも2007年から存在しており、侵入されたサーバーも発見されているという。エクスプロイトの実行が容易ということもあり、迅速な対応が求められるとのことだ。

脆弱性はLinuxカーネル4.8.3/4.7.9/4.4.26 LTSで修正されており、DebianUbuntuもアップデートがリリースされている。Red Hatのアップデートはまだのようだが、Bugzillaで緩和策を紹介している。
12880840 story
ネットワーク

TCP仕様の1つに中間者攻撃可能な脆弱性、Linuxが影響を受ける 34

ストーリー by hylom
影響が広まる 部門より
あるAnonymous Coward曰く、

TCPのセキュリティを向上させるはずの仕様であるRFC 5961に重大な脆弱性が発見され、その仕様を実装していたLinuxカーネル3.6以上を搭載する端末が影響を受けることが明らかになっていたが、この脆弱性がAndroid 4.4以降にも存在することが報じられている(RegisterZDNet JapanINTERNET Watch)。

この脆弱性は7月12日に公開されていたもので、短い所要時間・高い成功率で通信の妨害や乗っ取りが可能とのこと。既にパッチや回避策が提供されているが、Android向けの修正プログラムはまだ未提供とのこと。

なお、WindowsやMac OS X、FreeBSDなどのLinux以外のOSではRFC 5961の実装が遅れていたため、影響は無い。

12839022 story
Ubuntu

Ubuntu、32ビットサポートを廃止する方針 76

ストーリー by hylom
32ビット向けにはDebianをどうぞ 部門より
あるAnonymous Coward 曰く、

Ubuntuで32ビットプロセッサのサポートが廃止されるという話が出ている。ニュースの発端は、ubuntu-develメーリングリストへの「Installation Media and supportability of i386 in 18.04 LTS Re: Ubuntu Desktop on i386」という投稿だ。

ここでは、Google ChromeやZFS、Dockerといった主要なサードパーティソフトウェアデベロッパが今後2年間で32ビット版ソフトウェアのサポートを取りやめるかもしれないことと、Ubuntuでは今後デスクトップ/サーバーソフトウェアのテストやデプロイを64ビット版のみを対象にする、ということが記されている。

理由として、32ビット(i386)向けビルドにコストがかかること、32ビット版の廃止に向けて2年間というのは十分な期限であることなどを挙げている。これを踏まえ、2018年リリースのUbuntu 18.04 LTSまではi386アーキテクチャをサポートするものの、それ以降はi386版のリリースを停止し、また32ビットでしか動かないアプリケーションについてはコンテナや仮想化などを使っての動作のみをサポートする方針だという。

また、openSUSEでも32ビット版のサポート廃止という話が出ているようだ

なお、すでにRed Hat Enterprise Linuxは64ビット版のみの提供となっている(Red HatのKnowledgebase)。

12835385 story
レッドハット

米Red Hat主催のイベント「Red Hat Summit」のセッション中に結婚式が行われる 6

ストーリー by hylom
上手いこと言ってるつもりなのか 部門より
あるAnonymous Coward 曰く、

米Red Hatが主催するユーザー/開発者向けイベント「Red Hat Summit」内でなぜか結婚式が行われたそうだ。Red HatのCEO、Jim Whitehurst氏が指輪運搬役を務め、Red Hatの製品およびテクノロジ担当社長であるPaul Cormier氏が式の司宰を務めたという(CIO)。

新郎のMatt Hargrave氏はテキサス州の「Red Hatの顧客」だったとのことだが、新婦は手話翻訳者とのことでRed Hatとはあまり関係なさそう。また、Cormier氏は次のような一般人には理解しがたそうな祝辞(?)を送っている(原文はCIOの記事を参照)。

結婚生活の成功は、私が今朝の基調講演で話したのと同じ原則に従うことで生まれます。それは、あなたたちのfootprintは物理的、バーチャル、プライベート、パブリックなリソースの組み合わせへと移動するということです。あなたちには安定し、一貫性がある共通の管理が必要となります。あなたたちのライフサイクルは追跡され、メンテナンスされなければなりません。今日より、あなたたちの関係は新たに設計されたインフラストラクチャを持つことになります。そして、もちろん、コラボレーションが最も重要なことになります。LinuxエンジニアであるMatt、あなたはコミットメントについて知っています。しかし、GitHubへとコミットをプッシュすることと、人生のパートナーへのコミットメントとは異なる物です。このプロジェクトをフォークすることはできないのです。

12815752 story
Ubuntu

Canonicalが開発する「snap」アプリケーションパッケージ、ほかの主要ディストリビューションでも利用可能に 14

ストーリー by hylom
Dockerへの対抗? 部門より
あるAnonymous Coward曰く、

Canonicalが、同社が開発しているアプリケーションパッケージフォーマット「snap」をUbuntu以外でも利用できるよう作業を進めているという(ZDNet Japan)。

snap形式で配布されているアプリケーションパッケージは、各アプリケーションが隔離されたサンドボックス内で実行されるのが特徴。そのためセキュリティに優れ、アップデート等を行った際にシステムや他のアプリケーションに影響を及ぼすことも少ないという。

Canonicalによると、DellやSamsungといった企業やLinux Foundation、ArchやDebianなどのLinuxディストリビューションなどと協力を行っているとのことで、DebianやFedoraなどですでに利用でき、またRed Hat Enterprise Linuxでも検証が進められているそうだ。

12742454 story
レッドハット

Red Hat Enterprise Linuxが開発者向けに無料サブスクリプションを用意 33

ストーリー by hylom
クラウドユーザー向けか 部門より
qpwoeiru 曰く、

Red Hatが3月31日、商用Linux「Red Hat Enterprise Linux」(RHEL)に、開発者向けの無料サブスクリプションを追加した(PC WatchOSDN Magazine)。

ただし、運用環境ではない環境でのみ利用でき、サポートも提供されないとのこと。

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...