パスワードを忘れた? アカウント作成

最新から新しい日記やタレこみを確認できますよ。

13349291 story
Ubuntu

Canonical、Ubuntu 18.04 LTSの標準搭載デスクトップアプリに関する意見を募集 17

ストーリー by headless
募集 部門より
Ubuntu 18.04 LTSに標準搭載するデスクトップアプリケーションについて、CanonicalのDustin Kirkland氏が意見を募集している(Ubuntu Insightsの記事Phoronixの記事Softpediaの記事)。

Kirkland氏は3月、Ubuntu 17.10に関する要望をHacker Newsで募集しており、予想以上の成果が得られたようだ。CanonicalはUbuntu 18.04 LTSで標準デスクトップ環境をUnityからGNOMEに変更する方針を4月に発表しているが、これもHacker Newsで要望の多かったものであり、既にUbuntu 17.10のベータコードに含まれているという。

UnityからGNOMEへの切り替えに伴い、Canonicalは同梱するデスクトップアプリケーションの検討を行っているが、幅広い意見を取り入れるために意見募集を行うことにしたそうだ。

意見は記事をクロスポストしたHacker NewsやReddit、Slashdotでコメントとして受け付けることを想定していたようだが、その後Googleフォームから送信可能となった。1つのカテゴリーに複数のアプリケーションを指定する場合はカンマで区切って入力すればいい。FOSSでないアプリケーションは「Vivaldi , non-free」のように「, non-free」を付記、該当カテゴリーで完全にWebアプリケーションへ移行している場合、「Gmail-web」のように「-web」を付記してほしいとのこと。
13348463 story
Wine

GNOMEのファイルマネージャーで任意のVBScriptコードを実行可能なバグ「Bad Taste」 30

ストーリー by headless
不味 部門より
GNOMEのファイルマネージャー「GNOME File (Nautilus)」で任意のVBScriptコードを実行可能な脆弱性「Bad Taste」が発見された(発見者による解説記事The Registerの記事Neowinの記事Bleeping Computerの記事CVE-2017-11421)。

問題はWindowsの実行ファイル(.exe)やWindowsインストーラーパッケージ(MSIファイル: .msi)などのアイコンをGNOME File上で表示するために使われる「gnome-exe-thumbnailer」のバージョン0.9.4-2以前に存在し、Wineがインストールされた環境で再現する。また、GNOME Fileのほか、「Cinnamon Nemo」や「MATE caja」といったファイルマネージャーも影響を受けるとのこと。

バージョン0.9.4-2までのgnome-exe-thumbnailerはMSIファイルを処理する際、Wineが利用できる場合には一時ファイルとしてVBSファイルをテンプレートから生成し、スクリプトを実行して「WindowsInstaller.Installer」オブジェクトからファイルバージョンを抽出する。しかし、スクリプトにはMSIファイルのファイル名が記述されるため、VBScriptコードとして解釈可能なファイル名にすることで任意のVBScriptコードを実行可能になる。
13316204 story
BSD

Linuxなどのスタック管理機構において権限昇格が可能な脆弱性が発見される。多くのLinuxディストリビューションに影響 65

ストーリー by hylom
皆様アップデートを 部門より

LinuxやUNIX系OSにおいて、一般ユーザーが不正に特権を得ることができる「Stack Guard Page Circumvention」と呼ばれる攻撃手法が発見された(Red Hat Customer Portal)。Linuxカーネルやglibc、sudoなどの脆弱性を利用するもので、幅広い影響が出るようだ。

ベースとなっているのは、スタック領域に多量のメモリ割り当てとデータ書き込みを行ってスタック領域を溢れさせることで、ヒープ領域のデータを不正に書き換えられることがあるという問題。Red Hatによると、関連する脆弱性はCVE-2017-1000364(Linuxカーネルのstack guard pageの脆弱性)、CVE-2017-1000366(glibcでLD_LIBRARY_PATHの値に細工をすることでヒープ/スタックの値を操作できる脆弱性)、CVE-2017-1000367(sudo 1.8.20以前の入力バリデーションの不備)という3つとされている。osdn曰く、

スタック範囲を他のメモリ領域と衝突させて悪用できる問題は2005年と2010年に示され、対策が取られてきました。しかしセキュリティ企業Qualysが19日、少なくともLinux、OpenBSD、NetBSD、FreeBSD、Solarisのi386とamd64では対策の不備があり、実際に悪用可能か、少なくともPoCが存在することを示しました。(ITmedia)。

数多くの入口からローカル権限上昇攻撃ができた (あるいは理論上可能な道筋がある) そうです。緩和策としてはlimits.conf等でスタックを制限することなどがありますが、完全ではありませんし副作用も大きいです。各ベンダーには既に通知され、順次対策が取られることになっていますので、アップデートの用意をしておくのが最善でしょう。

アドバイザリによれば、Debianでも8.5と8.6、また8.xと9以上の間には脆弱さに大きな違いがあり、最新のものほど効率よく悪用することは難しくなってきているそうです。

しかし現状で最も簡単に悪用できる方法はi386のDebianでEximを使ってローカル権限上昇をすることだ、とQualysは指摘しています。またOpenBSDではatを使って攻撃しようとしたものの、ファイルシステムが遅すぎて、一週間かけてもヒープがスタックに届くほどの数のジョブファイルを作成できなかったそうです。

なお、今回は64bitでもスタックと他領域が近い場合があることも示されましたが、基本的にはメモリ領域が広い方が安全です。

grsecurity/PaXにはスタック・ガードページの大きさを変更できる機能があるので、これを大きくするのは簡単で有効です。またGCCには-fstack-checkというオプションがあり、各4KBページにアクセスすることで、スタックポインタが他領域に行ってしまう前に必ずガードページに当たり、SEGVになってくれるそうです。パフォーマンスに影響はありますが、長期的には良い方法だとQualysは指摘しています。

13307352 story
SNS

録画支援ソフト「foltia」にMastodonサーバー機能が搭載される 20

ストーリー by hylom
通知プラットフォームとしては悪くないと思う 部門より
あるAnonymous Coward曰く、

アニメ録画支援ソフトとして一部の人をハートキャッチしている録画支援Linuxアプライアンス foltia ANIME LOCKERの新版5.0が発売された。本バージョンでは何故か録画支援ソフトなのにオープンソースの分散型SNSであるMastodonのサーバー機能を追加しており一部で話題になっている。

リリース曰く、

VPSを新たに借りるほどでもなく、個人サーバの台数を増やすのも電気代や場所の観点から気がひけるという個人の方も多いことから、foltia ANIME LOCKERの内部にMastodonサーバの機能を取り込むことでMastodonを利用したい多くの方に便利

と意味不明の供述しており、動機は不明。

ただ、開発者インタビューをまじめに読んでみると、録画終了などの通知をMastodon機能を通じて出す事で、Twitterの名前空間を汚さずに通知などを出すことができる、というアイデアのようである。このようにMastodonを分散プッシュ通知プラットフォームと考えれば、ほかの家電やサービスがMastodon機能を搭載して、みながGnuSocialでしゃべり出す未来もあるかのように錯覚しそうになった。

13275320 story
ソフトウェア

Fedora、MP3をフルサポートへ 7

ストーリー by hylom
ついに 部門より
headless 曰く、

Fedoraが、標準でMP3をフルサポートすることを発表した(Fedora MagazineBetaNewsPhoronix)。

Fedora Workstationでは昨年11月、MP3デコードに関する特許の存続期間が満了したことを受け、mpg123ライブラリとGStreamerでのMP3デコードを有効化していた。さらに4月23日、Fraunhofer IISとTechnicolorがMP3関連特許とソフトウェアのライセンスプログラムを終了したことから、Red Hatの法務部門がFedoraへのMP3エンコーダー追加を認めたとのこと。

これまではライセンスの問題からFedoraのベースディストリビューションにMP3デコード/エンコード機能を含めることは困難だった。そのため、多くのユーザーがサードパーティーのリポジトリからMP3関連のライブラリをインストールしていたが、近いうちにFedora標準でMP3エンコードが可能になる。

13263897 story
GNU is Not Unix

LibrebootはGNUプロジェクトに復帰すべきか 26

ストーリー by hylom
そんなに影響があったのか 部門より
headless曰く、

LibrebootがGNUプロジェクトへの復帰を目指し、Redditでスレッドを立ててコミュニティーの意見を求めている(LibrebootのニュースRedditPhoronix)。

Librebootを率いるメインテナーのLeah Rowe氏は昨年9月、あるFree Software Foundation(FSF)従業員が性転換者であることを理由に解雇されたと主張。FSFとGNUを猛烈に批判してGNU離脱を宣言した。今年1月にはRechard M. Stallman氏が離脱を認めるメッセージをGNUメーリングリストに投稿し、論争は一旦終結していた。

Rowe氏によるRedditへの投稿は具体的な論争の内容への言及を避けつつ、論争による混乱やLibrebootとFSF/GNUとの関係悪化といった出来事は起こるべきではなかったとし、LibrebootはGNUを離脱するべきではなかったと述べている。GNU復帰に関して他のメインテナーから強い反対意見は出ていないが、広い支持を得られるかどうかRedditのスレッドで確認したいとのこと。

これに先立つ4月2日、LibrebootのWebサイトではフリーソフトウェアコミュニティーに宛てた公開書状を掲載している。書状でシステム管理者のAlyssa Rosenzweig氏は、Rowe氏がコミュニティーの意見を聞かず独断でGNU離脱へ突っ走ってしまったと述べている。また、プロジェクトの民主的な運営や、一連の論争で起こった混乱を終結させる必要があるとも述べている。書状の後半では、Rowe氏が自身の行動が誤りであったことを認め、名指しで批判した人々に謝罪している。

13260520 story
教育

米国、教科書の高騰でオープンソース教科書の利用が広がる 56

ストーリー by hylom
集合知で知を育てる 部門より
taraiok曰く、

米国労働統計局によると、2006年から2016年の間に授業料は63%増加し、住宅費は50%、そして教科書の費用は88%も上昇しているという。こうした中、メリーランド州とニューヨーク州では、オープンソースかつ著作権フリーの教科書を採用することによってコストを抑制しようとしているという(QUARTZメリーランド大学ニューヨーク州の発表Slashdot)。

オープンソース教科書は、従来の著作権で保護された伝統的な教科書より制限は遙かに少ない。無制限に複製して学生に配布したり、あるクラスのニーズに合わせて改訂することさえできる。

メリーランド州ではオープンソース教科書を使用する学校に若干の補助金を出すとしている。この補助金は500ドルから2,500ドルに過ぎないものの、8,000人の学生を対象とした場合、2017年度秋の1学期だけで130万ドルも節約できるという。現在、全国の学生は、教科書に年間平均1200ドルの費用が必要だとしている。ニューヨーク州でも同様の動きがある模様。

13257173 story
セキュリティ

OSSを利用する多くのソフトウェアで脆弱性対応の不備やライセンス問題が存在する 47

ストーリー by hylom
作ってそのまま、は大いにありそう 部門より

オープンソースソフトウェアの管理や監査、セキュリティ調査などを手がける米Black Duckによると、オープンソースソフトウェアを採用する企業の多くで、発見された脆弱性を放置したままにしているという問題があるという(Bluck Duckの発表ITmedia)。

Black Duckは企業が買収などよって取得したソフトウェアのソースコードの監査を請け負っている。その監査過程でオープンソースソフトウェアに関する問題を多数見つけたという。具体的には、2016年に監査を行った1071のアプリケーションのうち96%が何らかの形でオープンソースソフトウェアを使っており、そのうち60%に脆弱性が含まれていたという。特に、金融関連のアプリケーションでは1つのアプリケーション辺り52の脆弱性が存在しており、そのうち60%が高リスクの脆弱性だったという。また、電子商取引関連でも似たような傾向があり、監査したアプリケーションの83%に高リスクの脆弱性があったそうだ。

また、ライセンスに関する問題も多く発見されているという。同社の監査によると、1つのアプリケーションに対し平均147のオープンソースソフトウェアが使われていたそうだが、監査の結果ライセンス衝突が発生していたものは85%にも上ったという。特に多かったのはGPL関連の問題で、75%のアプリケーションがGPL系ライセンスのソフトウェアを利用していたが、そのうちライセンスで問題がなかったのは45%だけだったそうだ。

13237007 story
SNS

分散型SNSのMastodon、突然のブームでトラブルも 92

ストーリー by hylom
果たして1か月後、1年後にアクティブなユーザーはどれだけいるか 部門より
yagitch曰く、

先日Twitterのライバルと目される「Mastodon」として取り上げられたMastodonが、突然のブームとなっている。以前はドイツ語圏や英語圏のユーザーがほとんどだったが、ASCII.jpの記事で多くの日本語ユーザーに知られることとなり、日本人向けサーバーの1つであるmstdn.jpにユーザー登録が殺到し、サービスに支障が出る事態となった。

このサーバーはnullkal氏という大学院生の自宅サーバーであるにも関わらず数万人が詰め込まれることとなり、サービスに支障が出るほどになったためTwitter上で助けを求めた。さくらインターネットがこれに応じ、15日未明にサーバー移転がなされ現在は安定運用されている。

また、前後してPixivがMastodonサーバー「Pawoo」を公開。こちらも同じく数万人のユーザーを集め運用されている。そのため、一時的に日本人の運営するサーバーがMastodonのユーザー数上位サーバートップ2を占める状態となっていた(Mastodonのインスタンスページ)。

続いて15日夕方にはPawooが海外サーバーから切断されるという事件が発生。原因はPixivユーザーを主体とするPawooユーザーがいわゆる「18禁イラスト」を多数投稿したためで、海外サーバー運営元がこれら画像のキャッシュによって現地の法令に抵触することを恐れたことが原因。これについてはMastodon運営全体の問題として議論が続けられており、まだ結論は出ていない。

OSS、サーバー運用、表現規制問題などスラド諸氏の興味対象を詰め込んだようなニュースであるが、各位はどのように捉えるだろうか。

Mastodonのアーキテクチャについては「gnusocial や mastodon の哲学 - 何とは言わない天然水飲みたさ」が、その問題点については「本の虫: そろそろマストドンについて語っておくか」が詳しい。

13228484 story
オープンソース

ハッカー8つの元型、あなたはどのタイプ? 42

ストーリー by hylom
ゲームのジョブのようだ 部門より
headless 曰く、

オープンソース活動に関する著作で知られるEric Raymond氏が友人のSusan Sons氏とともに、ハッカーのタイプを8つの元型にまとめている(Armed and DangerousThe Regisiter)。

武道に関する書籍「On the Warrior's Path」を読んだSons氏は、求道者、浪人、部族の戦士といった武道家の元型が若い武道家の動機付けになることを指摘。若いハッカーのためにハッカーの元型を考えることを提案したそうだ。

ハッカー8つの元型は以下のようなものだ。ネーミングは主にRaymond氏が、内容は主にSons氏が考えたものだという。

Algorithmicist
アルゴリズムと複雑で持続的なコーディングに非常に優れる。Architectと並んで複雑さに最も強い。ソーシャルスキルの低さから孤独であり、まとめ役には向かない。
Tinker
ソフトウェアと同様にハードウェアも楽しく設計できる。アナログ回路や高周波回路を含め、実用的な電子回路の知識があり、リバースエンジニアリングを得意とする。
Architect
複雑なシステムのアーキテクチャーを描くことに魅了され、非常に優れた能力を発揮する。デザインパターンに鋭い感覚を持ち、先を見通すこともできる。
Sharpshooter
バグ出し名人。Architectの対極にあり、2人を組み合わせることでお互い非常に生産的になる。何かを管理する仕事には不向き。
JOAT
何でも屋(jack-of-all-trades)。他のタイプよりも優れた点はないが、どのタイプの役割も果たすことができる。技術的に高度な判断を他の人に任せることを忘れなければ優れたリーダーになる。
Prankster
システムを正常に動作しなくしたり、面白い動作をさせたりする方法を考えるのが得意ないたずら者。情報セキュリティやテストエンジニアリングに向いている。
Castellan
自分に責任のある仕事に集中し、知り尽くすことから力を得る超コントロールマニア。マニュアルを暗記し、言語弁護士として行動することやプロセスの自動化、職場限定の知識を何でも吸収することを愛する。
Translator
人間と機械の橋渡しをするタイプで、どのように非ハッカーが技術に触れるのかをハッカーに理解させることができる。自分自身をハッカーと呼ばない傾向がある。

Raymond氏自身はArchitectにAlgorithmicistを添え、JOATを少し加えた感じだと述べている。スラドに集うハッカーの皆さんはどのタイプだろうか。

13217787 story
オープンソース

オープンソースの明朝体フォントNoto Serif CJK/源ノ明朝リリース 45

ストーリー by hylom
実用的だ 部門より
あるAnonymous Coward 曰く、

AdobeおよびGoogleが、オープンソースの明朝体フォント「源ノ明朝」および「Noto Serif CJK」をリリースした。

両社は同じくオープンソースのゴシック体フォント「源ノ角ゴシック」および「Noto Sans CJK」を2014年にリリースしており、これらフォントの明朝体バージョンという位置付けだ。書体としてはどちらも同じで、デザインの著作権はAdobeが所有する。配布ライセンスはNoto Serif CJKがApache License、源ノ明朝はSIL Open Font Licenseで、どちらも自由にダウンロード/再配布/使用/改変などが可能。

Googleによると、中国語簡体字(GB18030および中国の通用规范汉字表)および繁体字(BIG5)、日本語(JIS X 0208、JIS X 0213、JIS X 0212 Adobe-Japan1-6)、韓国語(古ハングル文字、1万1,172の最新文字、KS X 1001、KS X 1002)のすべてをサポートするとのこと。また、フォントウェイトは7種類が用意されている。

両者の違いはほとんどないと思われるが、ウェイトの名称が若干異なっているようだ(源ノ明朝はExtraLight/Light/Regular/Medium/SemiBold/Bold/Heavy、Noto SansはExtraLight/Light/Regular/Medium/SemiBold/Bold/Black)。

13216817 story
マイクロソフト

Microsoft、CodePlexを終了へ。「GitHubがデファクトになった」 74

ストーリー by hylom
収束 部門より
minet 曰く、

3月31日、Microsoftは、自社が運営するオープンソース開発者向けコミュニティ・ホスティングサイトCodePlexを12月15日に終了すると発表した。(ITmedia窓の杜ZDNet JapanOSDN Magazine

CodePlexは2006年に開設され、ある程度のシェアを持っていたが、同様のコミュニティ・ホスティングサイトであるGitHubがユーザーの人気を集め、利用が減少していた。近年ではマイクロソフト自身がTypeScriptやASP.Netなど自社発のオープンソースプロジェクトの展開の場をGitHubに移しており、CodePlexの縮小は疑いようのない状況であった。CodePlexの機能を悪用したスパム問題への対処も負担となっていたようだ。

今回の発表では「GitHubがオープンソース共有の場のデファクトになった」と述べられており、CodePlex利用者に対してGitHubへの移行を推奨するとともに、GitHubと提携して移行作業を支援するツールが提供されている。

CodePlexでは既に新規プロジェクトの登録は終了しており、10月には既存のプロジェクトでもコード・コメントの投稿が停止され、閲覧専用となる。同時にコード・コメントのアーカイブをダウンロードする機能が提供され、アーカイブの終了予定は今のところ無いとのことだ。

13213301 story
クラウド

メキシコ観光局、テキーラの雨が降る雲を開発 12

ストーリー by headless
酒雲 部門より
テキーラの雨が降る雲「Tequila Cloud」をメキシコ観光局が開発したそうだ(Adweekの記事Foodbeastの記事動画)。

Tequila Cloudは超音波加湿器でテキーラを霧状にするという仕組みで本物の雲ではないが、テキーラのしずくが雨のように降るようだ。装置は雨の多い冬のドイツでメキシコ観光を宣伝するために広告代理店が作成したもので、ベルリンで展示されているという。テキーラの雲は外で雨が降っているときにのみ出現するが、雨は毎日のように降るため、1日に1回は見られるそうだ。ドイツはテキーラの輸入量が世界で2番目に多いこともあってテキーラの雲が選ばれたらしい。
13207271 story
ビジネス

OpenSSL、ライセンス変更に向けて貢献者の合意を求める 39

ストーリー by headless
変更 部門より
OpenSSLがライセンス変更に向け、特設サイトで貢献者の合意を求めている(Core Infrastructure InitiativeによるアナウンスOpenSSL Blogの記事The Registerの記事Phoronixの記事)。

現在、OpenSSLにはOpenSSL LicenseとオリジナルのSSLeay Licenseの両方が適用されている。これを標準的なApache Software License v.2.0(ASLv2)に変更することで、幅広いFOSSプロジェクトや製品で利用できるようにすることがライセンス変更の目的とされる。OpenSSLプロジェクトではコミットした人全員に電子メールで通知しているが、半数が送信エラーで返ってきているという。メールアドレス変更によりメールが届いていない貢献者は、特設サイトで情報を入力すれば意見を表明できる。なお、23日午後の時点で変更に合意した人は265人、反対者も7人いるそうだ。

OpenSSLの貢献者でもあり、OpenSSLプロジェクトをフォークしてLibreSSLプロジェクトを立ち上げたOpenBSDのTheo de Raadt氏のように、変更プロセスに不満を感じる人もいる。de Raadt氏は開発者コミュニティーに相談せず、いきなりメールで合意を求めてきたことや、回答がなければ合意したとみなすとされている点などを批判している。The Registerの記事によれば、大企業(OracleやIntelが変更を支持している)やLinux Foundationなどに都合のいいライセンスだけが選択肢となっている点にも懸念を示しているという。また、現在のライセンスと比べ、ASLv2の制約の方が大きいとも考えているようだ。
13197629 story
パテント

特許情報プラットフォーム、サービス停止の原因はApache Struts 2の脆弱性を狙った攻撃だった 31

ストーリー by headless
復旧 部門より
独立行政法人 工業所有権情報・研修館は16日、特許情報プラットフォーム(J-PlatPat)サービスを17日9時までに再開することを発表した。サービスは17日時点で利用可能になっている。

J-PlatPatは外部からの攻撃が検知されたため9日からサービスを停止しており、再開に向けたセキュリティ対策などを進めていた。攻撃はApache Struts 2の脆弱性を狙ったものだったが、同サービスは特許など公開された情報のみを提供するものであることから、個人情報の漏洩は発生しなかったとのこと。17日以降予定されていたメンテナンスおよび機能追加・改善は延期となる。
typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...