SUSE Linux 10.0リリース、直前にはサイト書き換えのクラックも 36
ストーリー by yoosee
ドキドキの最新版リリース 部門より
ドキドキの最新版リリース 部門より
Anonymous Coward曰く、"予定通り、7日に SUSE LINUX10.0(商用版)、6日に SUSE Linux10.0 OSS(オープンソース版)がリリースされました (OSS版のアナウンス)。主な収録パッケージは商用版発表時の記事をどうぞ。たれこみ子は昨日たまたま新宿のヨドバシカメラに行ったのですが、Linuxコーナーにパッケージ版が20個ほど置いてありました。商用日本語変換エンジンは搭載されていないようです。
また、リリースを前にした10月1日(土曜日)、opensuse.org、wiki.novell.com、forge.novell.com の Novell が運営する各Webサイトが一時書き換えられるという事件も起きました (SUSE Security Teamの発表、openSUSE teamの発表)。原因は同一サーバー上で稼働している Xoops の、既知の脆弱性への攻撃によるアクセス権限奪取。
SuSE界隈では、ユーザーMLを始めとして大きな話題となっていますが、乗っ取りを受けたサーバーはRPMや修正パッチ配布のサーバーとは別のため、配布には影響が出なかったようです。また SUSE Linux 10.0 のリリースも影響は受けていません。"
PPCにも対応 (スコア:2, 参考になる)
Xen (スコア:1, 興味深い)
Re:Xen (スコア:1)
単なる開発ツリーからとってきた奴をXen3.0プレリリースって
言ってるんじゃないの?
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
Re:Xen (スコア:1, 参考になる)
SUSE Linux OSS 10.0に含まれているXen 3プレビュー版のステータスです。
VTはあんまりテストされていないそうです。
Re:Xen (スコア:0)
やっぱオープンソースはだめなのか? (スコア:1, 余計なもの)
意見を変える必要を感じてしまう。
Re:やっぱオープンソースはだめなのか? (スコア:4, 参考になる)
プロプライエタリだから駄目/いいとか言うんじゃないと思いますけど。
運用が駄目だったり、たまたまzero-day attackかけられたりしたら、
どっちもひとたまりもないでしょうし。
一時期オープンソースは目が多いからセキュリティは万全、
みたいな神話が盛んに喧伝されましたけど、
わかってる人は「けっ」と思ってたと思います。
あとプロプライエタリ陣営もw
わたしゃ、そんなうまい話あるのかなあ、なんかありそうな気もするな、
とまんまと騙されていたクチでした。情けない…
ただまあ、昔はオープンソースモノみたいなイカモノに手を出すのは、
それなりに好き者の技術力の高い人がほとんどだったでしょうから、
運用面は優秀だったということなんじゃないですかね。
あ、プロプライエタリ側の技術力が低かったって言いたいわけじゃないです。
ただそれなりに技術力がないとオープンソース系は使えなかっただろう、
ということです。技術力がなくてもとりあえず目の前にある
Windowsでほいほいサーバ立ててしまえばそりゃあ運用はねえ…
昔は、ですよ。
Re:やっぱオープンソースはだめなのか? (スコア:1, 興味深い)
だったりする人達が作っているソフトウェアは使っても
大丈夫なのかとElberethさんは不安に思ってらっしゃる。
その上で、オープンソースの人達はサーバー管理がダメ
っぽいぞ、と見ておられる。
この際サーバーソフトウェアがオープンソースであるか
プロプライエタリであるか、またそのことによる安全性
如何は問題にならないでしょう。
#読み違えてる?
Re:やっぱオープンソースはだめなのか? (スコア:1, オフトピック)
運用に重みをおいた発言なんですね。
んでこのところオープンソース側の失点が続いてると。
そんなやつらの作ったものが信用できるかよ、と。
そういわれたら確かにそんな気もしてきました。
# 駄目なおれ…
Re:やっぱオープンソースはだめなのか? (スコア:1)
>サーバーの運用が駄目だったりする人達が作っているソフトウェアは
>使っても大丈夫なのか
といわれると、管理者のスキルとか設定次第としか言いようがないと
思いますけどね。
また、必ずしも「オープンソースの人達が特にサーバー管理が
ダメっぽいぞ」とは思ってないのですが、そう言われても
反論しにくいなぁと。
Re:やっぱオープンソースはだめなのか? (スコア:3, 参考になる)
Novellのwww.novell.com/prblogs/なので、
オープンソースうんたらとは関係ないと思う。
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
Re:やっぱオープンソースはだめなのか? (スコア:3, 参考になる)
- XOOPSに2種類の脆弱性、SQLインジェクションにつながるおそれも [itmedia.co.jp]
- XOOPSの公式サイトに不正侵入,「Apacheのセキュリティ・ホールが原因」 [nikkeibp.co.jp]
など、脆弱性を連発するし、そもそも開発チームもセキュリティーをあまり重視していないと思われるので、便利なのには違いないだろうけど、Xoops を採用したら最後、セキュリティー情報には目を光らせ、出たらすぐにパッチを当てるという、運用面で犠牲が求められるツールなので、導入には「覚悟」が必要だな。それにしても MS が脆弱性で問題起こして Linux の方が安全じゃないかという議論が持ち上がると、必ず「どんな OS にも脆弱性がある。きちんと運用する事が大事なんだ」とか言い出す人が出るのにね。オープンソースで問題がですと、すぐにオープンソースだから悪い、という議論になるのでしょうかね。
結局、脆弱性を連発するソフトは何べん直しても脆弱性を出しますね。オープンでもクローズでも。最初からセキュリティーを良く考えて作られた qmail とかは、オープンだけどさっぱり脆弱性を出さないし。
Re:やっぱオープンソースはだめなのか? (スコア:2, 参考になる)
犠牲や覚悟といいますが、それって当たり前のことでは?
セキュアなXOOPS [xoops.org]
qmailの脆弱性 [srad.jp]
Re:やっぱオープンソースはだめなのか? (スコア:2)
おっしゃるとおりで。後は、血相を変えてバージョンアップしなければいけない頻度が、6年11ヶ月に一度の「本当に不幸」といった頻度なのか、数ヶ月に一度の「恒例行事」と化しているのか、という差だけですね。
XOOPS が fork したのは存じておりませんでしたが、やはりセキュリティの確保がコンセプトのトップになっているぐらいだから、旧来というか本家の XOOPS はナニ・・・だったという事かと思います。是非、XOOPS-JPプロジェクトのみなさんには頑張って欲しいと思います。
ただ、バックエンドに PHP を使っているという段階で、サーバー管理者的にはリスク要因がありますが・・・ PHP も脆弱性の大常連ですからねぇ。(しかも、大抵は致命的な問題)
Re:やっぱオープンソースはだめなのか? (スコア:0)
たまに他言語サポート=EU圏諸語サポートなのかなぁと思っちゃう事もあるんですが、
SUSEにはMike Fabian氏 [www.suse.de]がいるので赤帽よりは安心できます。
Re:やっぱオープンソースはだめなのか? (スコア:2, 参考になる)
(中の人ではないので憶測ではあるが)
NovellForgeってのが確かXOOPS2でもXOOPS Cubeでもない、
XOOPS1のソースにNovellが色々と変更を加えて運用していた筈。
NovellForge開始後も機能面での変更は結構やっていたが、
その後XOOPS1以降XOOPS2、XOOPS Cubeで修正された脆弱性の穴を
個別に塞いでなかったんではないかな。もしくは見落としていた部分を攻められた。
Re:やっぱオープンソースはだめなのか? (スコア:1)
ニュースリリース [xoops.org]
興味のある人は公開されてるソースコード [novell.com]参照。
Re:やっぱオープンソースはだめなのか? (スコア:0)
Re:やっぱオープンソースはだめなのか? (スコア:1)
Re:やっぱオープンソースはだめなのか? (スコア:0)
Re:やっぱオープンソースはだめなのか? (スコア:0)
いるつもりの人がほとんどだと思います。
やや右の人はすぐに相手のことを左だと言い、やや左の人は
すぐに右だと言うのも世の常でしょう。
でもって、その手の話には価値が無いのも、以下略
Re:やっぱオープンソースはだめなのか? (スコア:0)
>運用面で犠牲が求められるツールなので、導入には「覚悟」が必要だな。
それはXOOPSに限らず、全てのソフトウェアに関しては同じ話。
別のモノを使っていれば、セキュリティ情報に眼を光らせなくても
良いという道理はないでしょう。
>最初からセキュリティーを良く考えて作られた qmail とかは、
>オープンだけどさっぱり脆弱性を出さないし。
qmailがなぜ脆弱性が少ないのかは、セキュリティを良く考えて
作られたからというよりも、機能が非常に少
Re:やっぱオープンソースはだめなのか? (スコア:1)
オープンソース陣営とプロプライエタリ陣営で考えてみると
双方が抱える敵の数は、存在する脆弱性を攻撃される可能性に
ある程度の関連がありそうな気がします。
ただ、危害を加えようとするモチベーションは、プロプライエタリ陣営の方が
(飯が食えなくなるという背水の陣で)
高そうな気もするのでこれを勘案すると何とも言えないのですが。
Re:やっぱオープンソースはだめなのか? (スコア:0)
使用しない」ってポリシーもありえるとは思いますがね。ご自由に。
Re:やっぱオープンソースはだめなのか? (スコア:1)
Microsoft [srad.jp]
使用しないと生きていけません。他に何使うよ?
#ネタニマジレス
Re:やっぱオープンソースはだめなのか? (スコア:0)
といっても中身はオープンソースだらけだけど...。
Re:やっぱオープンソースはだめなのか? (スコア:0)
>Microsoft [slashdot.jp]
>使用しないと生きていけません。他に何使うよ?
生きていけないことはありません。パソコンが使えなくなるだけで。
野暮なツッコミ失礼。
#といいつつ、パソコンに一週間さわらないと発狂しそうになる
#ネットホリックだったりするのでAC。
Re:やっぱオープンソースはだめなのか? (スコア:0, おもしろおかしい)
所詮はオナニー大好きなキモヲタが作ったイカ臭い物ばかり
そんなものが使い物になるわけがないです
とか言えば満足します?
お値段ほとんどかわらず (スコア:0)
Novellのサイトには情報がほとんど無いので困ってしまう。
#FTP版入れたけど、壁紙がリアルなカメレオンになって居て怖かった。
#CKパッチの日本語でまとまった情報ないかな~。
Re:お値段ほとんどかわらず (スコア:2, 参考になる)
日本語フォントはIPAフォントのみです。
これまで収録されていた商用フォント(リコーフォント)は
付属しないとのこと。
Re:お値段ほとんどかわらず (スコア:2, 参考になる)
訂正。
IPAフォントではなく、さざなみフォントです。
Re:お値段ほとんどかわらず (スコア:0)
Re:お値段ほとんどかわらず (スコア:1)
それらをインストールすることになります。
Re:お値段ほとんどかわらず (スコア:0)
壁紙がリアルなカメレオン
パッケージ版のCD/DVDのレーベル面にもリアルなカメレオンがこっちを向いてます。
爬虫類好きの人を含め大半の人には問題ないのでしょうが、人によっては拒絶反応を起こしやすい題材ですのでそのあたりが気にかかりますね。
ふーん (スコア:0)