主な Linux ディストリビューションに標準でインストールされるツールキット Polkit (旧名: PolicyKit) の最初のバージョン (12 年前) から存在したメモリ破損の脆弱性 (CVE-2021-4034) について、発見した Qualys が解説している (Qualys Security Blog の記事、 Red Hat のアドバイザリー、 Neowin の記事、 Ars Technica の記事)。

Qualys が Pwnkit と名付けた脆弱性は非特権ユーザーがrootの権限でコマンドを実行できるようにする Polkit の コマンドラインツール pkexec に存在する。pkexec の main() 関数ではコマンドライン引数の数 (argc) を適切に処理せず、常に 1 以上として扱うため、引数リスト (argv) が空の状態でも境界外のメモリを引数 (argv[1]) として読み書きしてしまう。

境界外の直近にあるのは 1 つ目の環境変数 (envp[0]) であり、pkexec は読み取った値を実行ファイルの名前として PATH 環境変数で指定されたディレクトリを探し、一致する実行ファイルが見つかったらパスを付加して envp[0] を上書きする。これにより、通常は main() 関数実行前に除去される「安全でない」変数を pkexec の環境に再導入することが可能であり、悪用することでローカルでの権限昇格が可能になる。

Polkit では argc が 1 未満の場合に処理を終了する修正を行っており、修正済みの Polkit パッケージが入手可能になり次第更新することが推奨される。

オープンソースで開発されている「curl」の作者であるDaniel Stenberg氏に、大企業から無礼なメールが届いたと話題になっている。メール送信元となる会社名や製品名は同氏の判断により隠されているものの、フォーチュン500に入る大企業からのメールであるという。メールの内容は先日話題となったLog4jの深刻な脆弱性に関係したもの。内容はタレコミにあるとおりだが、詳しいやりとりは同氏のブログ上に記載されている。（Daniel Stenberg氏のツイート、LOGJ4 SECURITY INQUIRY – RESPONSE REQUIRED、Publickey、GIGAZINE）。

あるAnonymous Coward 曰く、

送信側の大企業が、OSSがなにかもわからず、依存関係にあるライブラリの連絡先に他の企業に送るようにサポートを求めるメールを送ったのが原因とみられている。なおこれに対して、作者のステンバーグ氏は「サポート契約を結んでいただければ、喜んですべて速やかにお答えしますよ」との返答を返したという。

アプリタイトルなどのメタデータに価格情報を含めることを禁ずる Google Play ポリシー改訂が 9 月に発効したが、これにより自由なソフトウェアが影響を受けているようだ (Android Police の記事、 F-Droid のツイート、 CatimaLoyalty の GitHub Issue)。

新ポリシーで禁じられる価格情報の中には「free (無料)」も含まれる。そのため、(おそらく機械処理により) いつの間にか「free software」にフラグが付けられていることがあるという。「F-Droid Nearby」はアプリの説明に「free software」が含まれるが、開発者に電子メールで通知されることなくフラグが付けられていたようだ。開発者は Google Play 開発者コンソールの受信トレイに通知が届いているのを偶然見つけ、Google Play でのランキングが落とされていることに気付いたとのこと。F-Droid は Twitter で Google Play に反論しているが、結局どうなったのかはっきりしない。少なくともアプリの説明には「free software」が含まれたままになっている。

「free (自由)」は「free (無料)」と混同されがちであり、無料という意味を持たない「libre」を使用することも多いが、それでも誤判定は発生する。ポイントカード管理アプリ「Catima」は以前「Catima — The Libre Card Wallet」というタイトルで公開されていたが、ノルウェー語版とオランダ語版のタイトルがポリシー違反だとして却下される。開発者は当初何が問題なのか理解できなかったが、各国語版のタイトルをさらに英語へ翻訳したものが判定に使われているらしいことに気付く。

そのため、ノルウェー語の「frie」とオランダ語の「vrije」は「無料」という意味ではないと反論したが通じず、数日後には他の言語版でもポリシー違反が指摘されることになる。最終的には英語版タイトルの「Libre」まで「Free」と訳され、ポリシー違反とされたそうだ。開発者は結局、タイトルに「Libre」 (と各国語の相当する単語) を入れることをあきらめたようだ。現在の英語版は「Catima — Loyalty Card Wallet」となっている。

1月17日、LinuxやmacOS上でWindowsアプリを動作可能にするソフトウェア「Wine」の最新版となる「Wine 7.0」が公開された。Wine 7.0はWine 6.x系で1年間に行われたアップデートの集大成となっており、この1年間で実施された9100件以上の修正が含まれているとされる。ほとんどのモジュールがPE（Portable Executable）形式に変換されたこと、テーマが改善されモダンな外観をもたらすようになったこと、HID（Human Interface Device）スタックとジョイスティックのサポート改善などが主要な変更点となっているとのこと（Wine Announcement、窓の杜、TECH+）。

米バイデン政権は13日、昨年末にApache Log4j 2で見つかった深刻な脆弱性問題を受け、大手IT企業に加えてGitHubなどオープンソースソフトウェア（OSS）組織のトップを招いてセキュリティ会議を開催したという（ITmedia、ZDNet、Engadget）。

企業から参加したのはAkamai、Amazon、Apache Software Foundation、Apple、Cloudflare、Meta（旧Facebook）、GitHub、Google、IBM、Linux Foundation、Open Source Security Foundation、Microsoft、Oracle、RedHat、VMWareの各社。米政府側からも、科学技術政策局や国防総省、商務省、エネルギー省、国土安全保障省、CISA、国立標準技術研究所、国立科学財団などが参加した。

会議では国の安全保障システムにも多くのOSSコードが採用されているが、そうした重要なコードのセキュリティを維持する共通の仕組みは存在していない。IT業界と政府が協力して、道路や橋といった社会インフラのように重要なOSSプロジェクトを支援すべきであり、セキュリティ会議ではそうした作業を行う方法に関する意見共有が図られたとしている。

あるAnonymous Coward 曰く、

週間2000万ダウンロードのNPMパッケージcolor.jsと、同250万ダウンロードのfaker.jsの作者が、故意に自身のライブラリを破壊してNPMの最新版として公開したとみられる事件が発生、OSSの使用をめぐる大騒動となっているようだ（Bleeping Computer、ソフトアンテナ、The Verge）。

なお、昨年のnote記事によれば、作者は2020年10月に住んでいたアパートが火事になりほぼすべての財産を失い寄付を募っていたそうだが、集まらなかったのかその後に「失礼ながら、私はもうFortune 500（およびその他の小規模企業）を私の自由な仕事でサポートするつもりはありません」「これを機に、私に6桁の年間契約書を送るか、プロジェクトを中止して他の人にやってもらうか、どちらかにしてください」とサポートをやめる旨の発言をしていたという。

あるAnonymous Coward 曰く、

中国の政府系メディアが報じたところによると、中国の規制当局は22日、EC大手アリババ・グループのクラウドサービス子会社「阿里雲（アリババ・クラウド・コンピューティング）」との情報共有パートナーシップを停止したという（ロイター、GIGAZINE、WSJ）。

注目すべきはその理由で、「同社が発見したlog4jの脆弱性をApache Software Foundationに報告した一方、すぐに政府に報告しなかったため」だという。中国の法律では、企業は発見から48時間以内に政府に新しい脆弱性を報告する必要があるとのことで、確かに法律違反ではあるようなのだが、IT業界ではOSSの脆弱性はまず開発元に連絡して対策、というのが当然と思われるので、これは違和感を覚える話である。

headless 曰く、

Free Software Foundation (FSF) は 16 日、運営の透明性や倫理性、責任性を向上させるため、2 つの方策を導入すると発表した (ニュースリリース、 Phoronix の記事)。

2 つの方策は理事会のメンバーの責任を明確にする合意書と、意思決定等における基本理念を提示する倫理規定からなる。合意書では理事会のメンバーとして責任をもって行動するといった 20 条の項目、倫理規定ではスタッフに嫌がらせをしないといった 13 条の項目が挙げられており、これらに理事会のメンバーは従う必要がある。

FSF は 3 月、RMS こと Richard M. Stallman氏 の理事職復帰をめぐって大きく揺れ、運営チームのメンバー 3 人が辞任する事態となった。今回の方策はコンサルタント主導で 6 か月にわたって行われた運営見直しの最初の成果とのことだ。

15 日に公開された X.Org Server 21.1.2 では最近報告された 4 件の脆弱性が修正されたほか、実際に接続されたディスプレイの物理DPIを報告する機能が廃止になっている (Phoronix の記事、 メーリングリストでのアナウンス)。

リバートされたのは DRM コネクターから得たディスプレイの物理サイズをプログラムへ伝える機能で、X.Org Server 21.1.0 で追加されたものだ。しかし、あまりに破壊的な変更だったことから廃止し、常に 96 DPI と報告する方式へ戻したとのこと。

Debian が現在、Web ブラウザーサポートで悲しい状況となっているそうだ (Phoronix の記事)。

Debian に同梱されているブラウザー (Chromium、Firefox ESR、Falkon など) はいずれも、パッケージメインテナーが簡単に修正できないセキュリティ上の問題を抱えているという。Debian の Chromium はいまだにバージョン 90.0.4430.212-1であり、Debian Wiki では Firefox や Brave、ungoogled-chromium などへの移行を検討するよう求めている。

Debian の Firefox ESR はバージョン 78.15.0 (安定版の Debian 11 Bullseye では 78.14.0)で止まっており、91.x ESR ブランチへの移行が遅れている。これは Firefox ESR 91.3 で安定性の問題が報告されたためだ。ESR 91.3 はデフォルトで EGL を使用するよう変更されており、Bullseye の mesa (バージョン 20.3.5) が EGLの要件 (mesa 21.x 以上)を満たさないためではないかとも指摘されていたが、問題は ESR 91.4 で解決済みになっている。

このほか Falkon など Debian に同梱される他のブラウザーも長らくセキュリティパッチが適用されていないとのこと。Phoronix に問題を提起した読者はこの状況の非常に悲しい部分として、非自由なソフトウェアをデフォルトでユーザーから遠ざけるという哲学を持つ Debian が逆に人々を Google Chrome や Opera といったクローズドソースへ向かわせている点を指摘し、Debian プロジェクトにとって厳しい時期であると述べている。

旧聞に類する話題ではあるが、編集者の島谷光弘さんのツイートによると、米国で日本のアニメ作品を販売しているDiscotek Mediaが、『プロジェクトA子』の北米版Blu-rayを作成する際、マスターフィルムが存在しないことから、DomesdayDuplicatorと呼ばれる機器を用いることでLDからキャプチャして新たにマスターを作ったそうだ。このDomesdayDuplicatorはレーザーディスクのアナログデータをサンプリングして高品位のデジタル化をおこなう機器だという（島谷光弘さんのツイート、Discotek Mediaのツイート）。

なおナッパ教司祭さんのツイートによると、この機器は英国のBBCおいてレーザーディスク媒体で保管されている資料をデジタル化して保存するために開発されたものだそうだ。回路図やデコード用プログラムなども公開されており、自作することが可能だとのこと（ナッパ教司祭さんのツイート、GitHub）。

ドイツ北端のシュレースビヒ・ホルシュタイン州では、自治体や学校で使用するコンピューターのソフトウェアをオープンソースソフトウェアに切り替える計画を進めているそうだ (The Document Foundation の記事、 heise online の記事、 Windows Central の記事、 The Register の記事)。

州デジタル大臣のヤン・フィリップ・アルブレヒト氏によれば、2026 年の終わりまでに25,000台のコンピューターで Microsoft Office を Libre Office に置き換え、その後 OS も Windows から Linux へ移行する計画だという。

アルブレヒト氏はオープンソースソフトウェア移行の理由として、上昇し続けるプロプライエタリソフトウェアのライセンス料と、オープンソースソフトウェアの柔軟性のほか、デジタル世界での主権維持・セキュリティ・データ保護を挙げている。ただし、費用面ではオープンソースでもプロプライエタリでも大きな違いはないとも述べている。

ドイツではミュンヘン市が独自 Linux ディストリビューション LiMux による大規模なオープンソース移行を試みて失敗に終わっているが、シュレースビヒ・ホルシュタイン州ではオープンソースとプロプライエタリを平行して使用する期間を長く取り、段階的に移行していく計画なので同じ轍は踏まないとアルブレヒト氏は主張する。

なお、ミュンヘン市では Linux への移行決定から 10 年以上の時をかけて計画を進め、2013 年には全面移行が完了したものの、4 年後の 2017 年には市議会が Windows 10 への全面移行を決定している。

話題としては少し時間が経過してしまったが、公正取引委員会が2日にシステム開発会社スマートバリューなどに立ち入り検査を行ったそうだ。同社と業務提携先の2社は、オープンソースソフトウェア（OSS）で構築している「CMS（コンテンツ・マネジメント・システム）」は、不可とする要件を入れるよう自治体側に働きかけをしていた模様。同社は自治体などに対して、OSSはセキュリティー上問題があると説明していたとみられる。これに自治体が応じた結果、OSSを利用していた業者が入札などに参加できなかったことから、公正取引委員会による立ち入りにつながったようだ（朝日新聞、時事ドットコム、読売新聞）。

headless 曰く、

NASA はオープンソースソフトウェアの開発を推奨する方針を確立しているが、科学者がオープンソースソフトウェアの定義を正しく理解していないことによる問題も発生しているという (The Register の記事、 論文アブストラクト)。

NASA の科学者による「オープンソース」の定義に関するよくある誤解として、ソースコードを公開しさえすればいいというものがあるそうだ。そのため、成果物の販売禁止や商用利用禁止といった、Open Source Initiative (OSI) によるオープンソースの定義に挙げられている要件に違反するライセンスで配布されることもある。このことはオープンソースソフトウェアとしては利用できないという結果にもつながる。

このような状況に対する米海軍調査研究所やデンマーク工科大学などの科学者による論文では、 OSI や FSF による「オープンソース」「パーミッシブ」の定義を導入することや、標準的な「オープンソース」の定義とは異なるライセンスを用いる場合はそれを明確にすること、 OSI または FSF が認めるライセンスの使用を推奨すること、などを勧告している。

トランプ前米大統領は20日、独自のSNS「TRUTH Social」立ち上げを発表した。同氏の使っていたアカウントを凍結したTwitterやFacebookに対抗する意図があるという。発表段階でApp Storeに専用アプリが登録され予約可能になっていた（ITmedia、GIGAZINE、ロイター）。

しかしこのTRUTH Socialでコード無断利用が指摘されている。この指摘は営利団体Software Freedom Conservancy（SFC）により行われたもので、トランプ氏の発表の翌日となる21日に発表された。それによればMastodonのコードを無断で利用したとのこと（Software Freedom Conservancy ITmedia）。

あるAnonymous Coward 曰く、

フリーソフトウェア、オープンソースソフトウェアプロジェクトを支援する非営利団体Software Freedom Conservancy（SFC）によると、トランプ前米大統領が20日に発表した新SNS「TRUTH Social」はAGPLv3違反とのこと。
AGPLは完全なソースコードを提供可能にしておくことを要求するため、30日以内に公開しないとソフトウェアの権利と許可は自動的かつ永続的に終了する。
俺がルールだと無理が通れば道理が引っ込む方法で強行突破するのか、大人しくソースコードを公開するのか見ものである。