パスワードを忘れた? アカウント作成

ログインするとコメント表示数や表示方法をカスタマイズできるのを知っていますか?

15322679 journal
日記

hinamatsurierの日記: Apache 2.4.48 1

日記 by hinamatsurier

ソースからビルドしたけどLibreSSLではダメだった。
以下のパッチでイケた。

Index: modules/md/md_crypt.c
--- modules/md/md_crypt.c.orig
+++ modules/md/md_crypt.c
@@ -71,6 +71,11 @@
  #include
  #endif

+#if defined(LIBRESSL_VERSION_NUMBER)
+#define EVP_PKEY_X25519 NID_X25519
+#define EVP_PKEY_X448 NID_X448
+#endif
+
  static int initialized;

  struct md_pkey_t {

下記に情報があった。

6084761 submission

Kaspersky Lab、Gauss の暗号化されたペイロードの謎解明に向け協力者を募集

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
本リリースは、2012 年 8 月 14 日にロシア モスクワにて発表されたニュースリリースの抄訳です。

Kaspersky Lab は先日、国家主導で開発された高度なサイバースパイ型ツールキット「Gauss」を発見したことを発表しました。Gauss はブラウザのパスワード、オンラインバンキングのログイン情報、感染マシンのシステム設定データを主とした多くの情報を詐取する機能を備えています。Kaspersky Lab のエキスパートは、Flame との共通点を特定することにより Gauss を検知しました。2012 年 5 月後半以降、Kaspersky Lab のクラウドベースのセキュリティシステムにより、2,500 件以上もの感染が報告されています。また、感染の大半は中東で発生しています。

Kaspersky Lab のエキスパートは、Gauss の主な機能と特徴、アーキテクチャ、独自のモジュール構成、通信方法、および感染の統計情報を分析し調査報告を発表しました。しかしながら、Gauss については、いくつかの謎や解決されない疑問がまだ残っています。なかでも最も興味深いのは Gauss の暗号化されたペイロードに関することです。

暗号化されたペイロードは、Gauss の USB メモリからのデータの詐取に関与するモジュール内にあり、特定のプログラムがインストールされているシステムを正確に狙うよう設計されています。マルウェア感染した USB メモリスティックが脆弱性のあるコンピューターに挿入されると、マルウェアが実行され、キーを生成してペイロードの復号化を行います。このキーは、マシン上の特定のシステム設定を元に作成されます。たとえば、Program Files 内のフォルダの名前の最初の文字がアラビア文字またはヘブライ文字などの拡張文字セットで書かれたものが含まれます。マルウェアが適当なシステム設定を見つけると、ペイロードを復号化して実行します。

Kaspersky Lab の Global Research and Analysis Team(GReAT)チーフセキュリティエキスパートであるアレクサンドル・ゴスチェフ(Aleksandr Gostev)は次のようにコメントしています。「暗号化されたペイロードの目的と機能は依然謎のままです。暗号化を使用していることと、このペイロードを隠そうと手段を講じていることから、標的は知名度の高い相手であることが推測できます。また、ペイロードのサイズにも注目しています。Stuxnet の SCADA 攻撃用コードのように、サイバーサボタージュ(破壊工作)を実行するのに十分なコードを格納する必要があります。このペイロードの復号化により、この脅威の全体的な目的と性質について深く知ることができるでしょう。」

Kaspersky Lab は、暗号化技術、リバースエンジニアリング、または数学に関心をお持ちで復号化キーの発見と、隠されたペイロードの解明に協力していただける方を募集しています。この問題の詳細と技術的な説明については、Securelist.comにて参照できます。

情報元へのリンク
6069221 submission
ソフトウェア

MPlayerX、Mac App Storeを離脱

タレコミ by headless
headless 曰く、
無償で使用できるMac OS X用ビデオプレイヤーとして人気のMPlayerXは、3か月にわたるAppleとの議論の末、Mac App Storeでの配布をやめ、開発者Webサイトでの配布に切り替えるという(Leaving Mac App Store本家/.)。

原因はMac App Storeで配布するすべてのアプリにサンドボックス機能の利用が6月1日から必須となった点だ。MPlayerXをサンドボックスに対応させると、字幕の自動読み込みや連続するエピソードの自動再生、スナップショットを任意の場所に保存する機能などが利用できなくなってしまうという。開発者のZongyao Qu氏は6つの試作ビルドを提出し、機能を実現するために特権が必要なことを説明したが、いずれも却下されたそうだ。これらの機能が利用できなければ、MPlayerXはQuickTime Xのようなものになってしまうとして、Mac App Storeでの配布をやめることを決意したとのこと。

現在Mac App Storeで配布されているバージョンは1.0.14。すでに1.0.16がmplayerx.orgで配布されている。機能制限版の1.0.15をMac App Storeでの最終バージョンとしてリリースする計画もあるとのことだ。
6063616 submission
Facebook

学校でのFacebookのフィルタリング、どうすればいい?

タレコミ by headless
headless 曰く、
本家/.Ask Slashdot: How To Best Setup a School Internet Filter?より。

私は最近、非営利の学校でネットワーク/コンピューター管理のボランティアをしたのだが、要望の中には不適切なインターネットコンテンツのフィルタリングも含まれていた。フィルタリング自体は難しいことではないが、Facebookの扱いが気になった。Facebookには有用なコンテンツがあり、友人との連絡にも役立つ一方、不適切なコンテンツも多い。不適切なコンテンツは有用なコンテンツよりも広まる傾向があるし、全員がセキュリティーやプライバシーに関するガイドラインを守るとは限らない。学校全体でFacebookに対するセキュリティー/プライバシーポリシーを設定するには、どのような方法が適切だろうか。

6059206 submission
Google

Adobe Reader アップデートされるも、いまだ脆弱

タレコミ by tamo
tamo 曰く、

Google のセキュリティチームは、Google Chrome ブラウザに組み込まれた PDF エンジンに (Flash プラグインと同様) fuzzing の手法を適用し、たくさんの脆弱性を発見・修正してきました。
それに気をよくして同じ手法で Adobe Reader を調査したところ、こちらにも深刻な問題がいろいろと見つかり、連絡を受けた Adobe は先日の APSB12-16 アップデート で (Linux 版を除き) 修正しました。
しかしながら、報告済みのクラッシュ事例のうち 16 件は修正されていませんし、Linux にいたっては、APSB12-16 前後の差分から容易に推測できる脆弱性が放置された状態です。これらすべてが、外部の人間によって、公開 PDF からのコーパスと通常の mutation/fuzzing 手法で発見されたことを考えれば、しばらくのあいだは信頼できる PDF 以外を Adobe Reader で開かないようにすべきでしょう。(本家記事)

6058948 submission
パテント

Kodakのパテントポートフォリオ競売、AppleとGoogleが共同で入札か

タレコミ by headless
headless 曰く、
Kodakのパテントポートフォリオ競売で対決すると報じられていたAppleとGoogleだが、共同で入札に参加する可能性が噂されている(MacRumorsの記事CNETの記事WSJ.comの記事)。

共同入札するのはAppleとGoogleおよびIntellectual Ventures Management LLCの3社とのことで、事情通によればSamsungやLG電子、HTCも含まれるという。入札はKodakにより数回延長されているが、共同入札することで入札価格の上昇を防ぎ、Kodakの希望額よりも安値でパテントポートフォリオを入手する狙いだ。ただし、このような動きに対し、アンチトラスト当局からクレームが付く可能性もあるとのことだ。
6058678 submission
インターネット

Reutersのブログ、2週間で2度の不正アクセスを受ける

タレコミ by headless
headless 曰く、
Reutersのブログが8月に入ってから2度目の不正アクセスを受け、サウジアラビア外相のサウド・アルファイサル王子が死亡したという虚偽の記事が掲載された(Reutersの記事ITmediaの記事AFPBB Newsの記事BBC Newsの記事)。

ブログは8月3日にも不正アクセスにより虚偽の記事が複数掲載されており、8月5日にはTwitterアカウントも不正アクセスを受けていた。ReutersではブログソフトウェアとしてWordPressを使用しているが、最初の不正アクセスを受けた時点では、既知の脆弱性のある古いバージョンだったという(WSJ.comの記事)。その後WordPressのアップグレードを実施したかどうかは不明のようだ。
194323 submission
携帯通信

ウィルコム、更生法申請 負債総額1700億円強

タレコミ by hinamatsurier
hinamatsurier 曰く、
 2010年2月18日付の産経新聞によると、約420万人の利用者を抱えるPHS最大手ウィルコムが同日午後の取締役会議で会社更生法の適用申請を行う模様である。負債総額は1700億円強に上る見通しで、通信事業者の破綻規模としては過去最大。

 同社は今後、1月19日に同じく経営破綻した日本航空同様、企業再生支援機構からの援助を受けながら再建を図り、現在提供しているサービスは今後も継続して提供するとしている。経営再建にあたっては、大株主の京セラによる債権放棄やソフトバンクによる資金援助などを受ける計画で、将来的には現行PHSと次世代PHSの2社に分割する案も浮上しているそうである。

 TV等のニュースでは、このあと街頭で利用者へのインタビューが流れそうなパターンだが、以下、アレゲなスラド読者諸氏のコメントをどうぞ。

情報元へのリンク
193145 comment

hinamatsurierのコメント: Re:今の大学が教授のレジャーランド? (スコア 1) 12

 コメントありがとうございます.独法化の根拠となるのは独立行政法人通則法,国立大学のほうの根拠となるのは,国立大学法人法ということなのですね.勉強になりました.

上記の文部科学省のサイトには,両者の違いが以下のように書かれていますね.

独立行政法人通則法に基づく独立行政法人との違い
1. 「学外役員制度」など、学外者の運営参画を制度化
2. 客観的で信頼性の高い独自の評価システムを導入
3. 学長選考や中期目標設定で大学の特性・自主性を考慮

これだけ読むとよくわかりませんが,手元にある現代思想2009年11月号の「大学の未来のために」という討論を読んだところ,山形大学では文部科学省の元事務次官が学長に天下ったり,高知大学や新潟大学では学長選挙の投票結果を無視した形で学長を選んだりするなど,法人化の結果,自主性が暴走している例もが起きているようです.
192735 comment

hinamatsurierのコメント: Re:今の大学が教授のレジャーランド? (スコア 1) 12

 コメントありがとうございます.たしかに小泉・竹中改革で国立大学の独法化が進んだ前後では,大学の事情はかなり違うようですね.レジャーランドだったのは独法化以前の話で,どちらかというと団塊の世代の大学教員像に近いような気がします.それにしても年6%も交付金が減っていたとは初耳でした.

 ちなみに,藤原さんのブログの該当部を読むとわかるのですが,大学は教授のレジャーランドという言は,藤原氏独自の意見ではなく,元々は,池田信夫氏のTwitterのつぶやきだったりします.
typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...