JVNのJVNVU#188937 GNU gzip における複数の脆弱性経由で知ったが、GNU ProjectのGNU gzip — News: gzip-1.4 released (stable/security)によると、GNU gzip 1.3.14 ～1.3.3 のバージョンに複数の脆弱性があり、修正がされた1.4がリリースされたとのこと。 この記事によると、脆弱性のあるバージョンでは、細工された gzip 圧縮ファイルを処理させることで、サービス運用妨害 (DoS) 攻撃を受けたり、ユーザの権限で任意のコードを実行されたりする可能性がある。また、脆弱性の一つは、64-bitシステム上でのみ影響を受ける模様。 gzip 1.3.3のリリースは2002年3月8日で、1.3.14は2009年10月30日のリリースなので、かなり長期間のものが対象になる。 ※なお、2/5 03時現在でCODEZINEの記事では「2009年10月に公開されたバージョン1.3.3以来の安定版」と書かれていますが、これは1.3.14のことと思われる。

WIDEプロジェクトのプレスリリースによると、同組織が運用してきたIRCサーバー群が今年2月10日ないし6月末日に運用終了することとなった。

昨年11月には、 奈良先端大のIRCサーバ、撤去の見込みという話もあったが、今回のプレスリリースではirc6.nara.wide.ad.jpは2月10日の運用終了となっている。てっきり昨年11月29日に運用停止したものと思っていたが、いよいよ正式に終了ということだろうか。管理者の確保も大変だろうし、運用目的の研究はとりあえず達成し今後はもはやWIDEでIRCサーバーを運用していく必要性も薄いと判断されたのだろうか。

IRCについての話題は上記ストーリーで出尽くしたかも知れないが、これまで大変お世話になった同サービスに今一度感謝をささげつつ、IRCの来し方行く末について思いをめぐらせよう。

YAMDAS現更新履歴経由で知ったが、あのリチャード・ストールマン御大が現在恋人募集中であるとのこと。米オンライン広告サイトCraigslistに広告が出されている。

内容は、以前御大の個人ページにあったという恋人募集用のプロフィールと同じようだ。内容は、YAMDAS現更新履歴からリンクが張られている日本語訳をご覧になってほしい。ちなみに、以前はきちんとかわいい彼女がいたらしい。

これを機に、フリーソフトがなくては生きていけない、GPLのためなら死ねる、エディタはemacs派、ヒゲフェチといった女性はぜひ応募してみてはどうだろうか。(多分、英語ができないとつらいと思うが)

#余談だが、Craigslistは暗殺者募集の広告が出されて今ちょっとした騒ぎになっていたりする。

THE SECOND TIMES経由で知ったが、9月12日にIBMの一部社員がSecond Life内でストライキを行う模様。原因としては、イタリアのIBM従業員が昇給を求めたものの、IBMが拒否したことによる。
Second Life内では、国際的な労働組合のUNI-global union- (UNIはUnion Network Internationalの略)が施設を提供し、関連情報の提供や「ストライキ用キット」なるものの配布等を行っている。
IBMといえば「IBM、「Second Life」などの仮想世界に本腰」とか「IBMがSecond Lifeで開発者を支援」といったニュースや、開発者向けのドキュメントを数多く公開していることから分かる通り、Second Lifeに対してかなり力を入れている。今回の件で、下までSecond Lifeの活用度がそれなりに進んでいることがうかがえるが、ストライキをSecondLife内でされてもなぁというのが大方の感想ではないだろうか。そもそも傍目には単にPCで遊んでいるようにしか見えないのが微妙すぎる。
また、最近の日本でのSecond Life内での社会運動としては、民主党の参院議員鈴木寛氏が演説会を行うとか、先の参院選で立候補し(て落選し)た神田敏晶氏がSecond Life内で「座り込み運動」をするなどしているが、あくまでも「こういうことやってますよ」的なアピールのレベルで、実効性の観点からするとバーチャル世界での社会運動はまだまだ実証実験の域にとどまっていると思われる。

非特定非非営利非活動集団「日本オープンソースソフトウェアフリーライダー協会（略称：OSSFJ）」のプレスリリースによると、同協会は優れたオープンソース・ソフトウェア（OSS）の開発及び普及に寄生したフリーライダーを表彰する「2006年度日本ＯＳＳフリーライダー賞」の受賞者を発表したとのこと。

大賞には、IPA オープンソースソフトウェア・センターや松江オープンソースラボが選定されている。また、我らがスラッシュドットジャパンも見事釣り堀賞を受賞した。

表彰式は、10月28日(土)開催のオープンソースカンファレンス2006 Tokyo/Fall(会場：東京都新宿区 日本電子専門学校 7号館)にBOF形式でフリーライドして行われる予定。

OSSFJに関する過去の記事

• 日本OSSフリーライダー賞、フリーライダーの推薦が始まる
• オープンソースフリーライダー協会設立

JVNにて、gzipの脆弱性についていくつか報告があがっています。

• JVNVU#933712: gzip (GNU zip) の huft_build() における NULL ポインタ参照の脆弱性
• JVNVU#596848: gzip (GNU zip) の LZH の取扱いにおいて無限ループが引き起こされる脆弱性
• JVNVU#554780: gzip におけるバッファオーバーフローの脆弱性
• JVNVU#773548: gzip の LZH の取扱におけるバッファオーバーフローの脆弱性
• JVNVU#381508: gzip の make_table() の配列処理における脆弱性

2006年9月22日現在では、JVNの上記記事では対象ベンダとしてRedhat、ubuntu、FreeBSDから報告があがっていますが、gzipのことであるからして影響はさらに広範囲になるものと思われます。
そして、さらに今回の件で特に問題なのは、LHAに起源のあるコードで脆弱性が発見されたことでしょう。MS-DOS時代からWindowsに至るPCのファイル圧縮技術の主流であり今もなお現役であるLHAには、解凍(展開)プログラムが山のようにあり、今回の脆弱性がこれら全てに波及する可能性があります。LHAの開発者の一人である奥村教授のBlogでは、脆弱性が発見されたコードは1989年に教授が書いたものということで、今から17年ほども前という古いコードで今頃脆弱性を発見という話にびっくりします。
ちなみに、これらの脆弱性は、最近よく見かけるGoogleセキュリティチームの、Tavis Ormandyによって発見されたとのこと。

2月1日、Firefox 1.5.0.1がリリースされました。

リリースノート(英文)によると、概要、変更内容は以下の通り(拙訳)。

2001年2月1日、Firefox1.5.0.1は、私達の顧客へ安全なインターネット体験を提供するための進行中のプログラムの一部である、安定性とセキュリティのためのアップデートです。私達は全てのユーザーがこの最新版にアップデートすることを推奨します。"

• 安定性を改良
• Mac OS Xのサポートを改良
• アイスランド(.is)の国際ドメインネームサポートが可能になった
• いくつかのメモリリークの修正
• いくつかのセキュリティ増強

バグフィックスの詳細については、Unofficial Firefox 1.5.0.1 changelogを参照のこと。

また、タレコミ本人の自動アップデートは残念ながら(サーバー側が激重なためか)失敗してしまったが、日本語版のフルインストール用バイナリがダウンロードできるようになっています。

ちなみに、Mozilla Japanでは、タレコミ時点ではまだ素のFirefox1.5を配布しているものの、近いうちに更新されるのではないかと思われます。

今年5月にXOOPS本家と袂を分かち、独自のプロジェクトとして再出発したCMS「XOOPS Cube」ですが、従来のバージョンにおいて複数のセキュリティー関連のバグが発見されたため、バグ修正を施したXOOPS 2.0.13 JPが10月24日にリリースされました。 公式アナウンスにも書かれている通り、以前のバージョンを使用しているユーザーは、至急本バージョンにアップグレードされることをお勧めします。

なお、XOOPS本家のサイトだが、クラックにより閉鎖する騒ぎとなっている模様だ。詳細は不明なため、ここではそれに触れるのみにとどめます。

いくつかのニュースサイトで話題になっているが、大手アダルトゲームメーカーの(株)ビジュアルアーツが個人情報漏洩を起こしてしまった模様。

同社は「ビジュアルアーツ広告バナー」というバナー広告システムを運用しているが、契約サイトの管理者に毎月入金報告をメールで送っているのを、今回そのメールをCCで一斉送信してしまったとのこと。CC欄にはメールアドレスだけでなく、サイト管理者の本名まで載っていたらしい。なお、同社から各契約サイト管理者に対しては既にお詫びと今後の対策についてのメールが送られているとのことである。

タレコミ主としては、CC欄で個人情報漏洩というのは最近はあまり聞かれなくなった初歩的なレベルのミスであると思うが、多くのブランドを抱えている大手メーカーとしてきちんとした会社だというイメージを持っていただけに大変残念である。

なお、現在までに同広告サービスを契約したサイトの数は108件ということで、アダルトゲーム関係だけに煩悩の数でうまく(?)オチがついたような気もする。
------------------------------------------------------------
※ここからタレコミ主の記事編集に関する意見 広告サービスを契約したサイトの一覧へのリンクについては、無駄に荒れるのを避けるためになくしたほうがいいかも知れません。 ビジュアルアーツは会社としてはサイトを開設していないのですが、必要なら社名を冠した代表ブランドの「Visualart's/Key」にリンクしてもいいかも知れません。やらないほうがいいかも知れないけど。 http://key.visualarts.gr.jp/

JVN(Japan Vendor Status Notes)の報告によると、複数のWikiクローンのファイル添付機能にクロスサイトスクリプティングにつながる脆弱性が存在するとのこと。同報告ではPukiwiki、Wikiもどきで脆弱性が存在するらしい。
これらのWikiクローンを使用しているサイトの管理者は対処をされたし。

関連情報

• PukiwikiのEratta
• Wikiもどき セキュリティ情報