第10日目:FreeBSDで9.2-BETA2とセキュリティPatchが公開されました

メールだけで簡単お申込みのレンタルサーバー!

ども、ども、▲(‘A`)/です。
ご無沙汰しておりました。

今回は簡単な更新になります。
FreeBSDのメーリングリストに登録されている人たちは
今朝方2通メールが届いて既にご存知だと思いますが、
セキュリティアドバイザー(SA)の知らせが2件あります。

1つ目はBindです。又かと思われるかもしれませんが・・・
今回は「BIND remote denial of service」という件名で
やってきました。「denial of service」というのは
『Dos攻撃』の意味です。

ちゃんと書くと「Denial of Service attack」というのが
正式ですが、大抵はattackを省略して書かれたりします。
で似たような言葉がDDos攻撃というのがありますが、
先頭のDはDistributed(分散型)になります。

今回はどうやら問い合わせ処理の不具合が元で最悪
Bindデーモン(named)が異常終了するそうです。
遠隔でそういう不具合を引き起こす問い合わせをされれば
Dos攻撃と同じ状況になる訳です。

詳しくはJPRSの下記のページをご覧頂くと判ります。
http://jprs.jp/tech/security/2013-07-27-bind9-vuln-malformed-rdata.html

で、FreeBSDの本家では対処法を下記のページで解説しています。
http://www.freebsd.org/security/advisories/FreeBSD-SA-13:07.bind.asc

2つ目はNFSサーバについてです。
今回のSAのタイトルが「Incorrect privilege validation in the NFS server」
というものでした。
「incorrect privilege validation」って何だろう?と思うかもしれませんね。
各単語の意味を調べてみてください。
privilegeは特権を、validationは確認・認証を意味します。 in the NFS server
incorrectは間違ったという意味です。これらを組み合わせると
全体の意味はなんとなく掴めたでしょうか?
「NFSサーバにおける、間違った特権確認(又は特権認証)」という風になります。

これでも何を言っているか判らないかもしれないので、次はNFSに
ついて調べてみてください。
NFSとは「Network File System」の事を指します。

今回の場合には遠隔でNFSクライアントからのデータアクセス要求で
本来だとアクセスできないデータに対してrootユーザの様な特権ユーザと
間違えて認証されてしまう不具合がある、という事です。
本当だとアクセスが認められないユーザである者がデータに触れられて
しまう事象が起きてしまうという事です。
これは怖いですねえ・・・

で、FreeBSDの本家では対処法を下記のページで解説しています。
http://www.freebsd.org/security/advisories/FreeBSD-SA-13:08.nfsserver.asc

今回の2件のSAに関してはFreeBSDの各バージョンが対象となります。

1つ目(Bind)
FreeBSD 8.4、9.1

2つ目(NFS server)
FreeBSD 8.3、9.1

それと、遅くなりましたが現在開発中の9.2系にも適用されます。
ちなみに9.2系はsvnサーバ上では9.2-BETA2が既に存在しています。
まだインストール用のISOやmemstickイメージは公開されていませんが
subversionでのソース取得とカーネル再構築を行えば9.2-BETA2が
利用可能です。

http://svnweb.freebsd.org/base/stable/9/sys/conf/newvers.sh?view=log
Modified Fri Jul 26 23:41:22 2013 UTC
Update stable/9 branch to -BETA2 status.

今日はここまでにします。
札幌はあいにくの雨模様です。風もひんやりしています。
ただ、ちびっ子達は夏休みに入ったので元気です。
(親は動物園とかヒーローショーなどの催し物とかへ
つき合わされて大変そうですが・・・)
それでは、また!▲(‘A`)/

第9日目:FreeBSD 9.2-BETA1 が公開されてました。

メールだけで簡単お申込みのレンタルサーバー!

ども、ども、▲(‘A`)/です。
何だか今朝(というか夜中)にイギリスのキャサリン妃が無事
男の子を出産されたそうでニュースが流れていました。

で、FreeBSDも新しい9.2系の第一弾として 9.2-BETA1が
公開されていました。ISOイメージとimgはFTPサーバから
取得できます。

試してみたいのはやまやまなのですが、もう既にdokuo号が
手元にない身としてはこうやってアナウンスを出すしか
できません・・・
9.2の開発は当初のスケジュールではこうなっています。

  • BETA1 7/19
  • BETA2 7/26
  • RC1 8/2
  • RC2 8/9
  • RC3 8/16
  • RELEASE 8/23

で、今回はとても珍しい事にスケジュール通りだったのです。
(SVNサーバの方も見てみたのですが、確かにnewver.shの
更新日が7/19でした。)
関連するリンクを以下で貼っておきますね。

・スケジュール
http://www.freebsd.org/releases/9.2R/schedule.html
・FTPサーバ[amd64]
(本家)
ftp://ftp.freebsd.org/pub/FreeBSD/releases/amd64/amd64/ISO-IMAGES/9.2/
(日本ミラー)
ftp://ftp.jp.freebsd.org/pub/FreeBSD/releases/amd64/amd64/ISO-IMAGES/9.2/
・SVNサーバ
http://svnweb.freebsd.org/base/

この9.2系ですが、まだリリースの為のタグが設定されていません。
stableの中でソース更新とかが行われています。
なので、subversionでソース取得する場合には stable/9 として
指定する事になります。(こんな感じ)
svn co svn://svn.freebsd.org/base/stable/9 /usr/src
でタグが設定される予定が8/1となっています。
そうすると、subversionでの取得時の指定もちょっと変わります。
svn checkout svn://svn.freebsd.org/base/releng/9.2 /usr/src

ソースから構築するのか、インストールメディアが公開されてから
使ってみるかは皆さんご自身で選択してください。

うーん、むくむくと自作の誘惑が大きくなってきます。困ったものです。
無職の身としてはお金を使うのは極力避けたいですね。。。

さて、今回のリリースはスケジュールにどれだけ遅れるかを注目です。
8.4の時もそうでしたが、何だか以前と比べてきちっと合わせてきているので
「どうせ1週間遅れだろ」と思っていたらリリースされていた、という風に
なっちゃいますから。

今日はまた暑くなるんだろうなあ・・・
皆さんも熱中症には気をつけてくださいね。
それでは、また!▲(‘A`)/

第8日目:久しぶりにApacheで新バージョン(httpd 2.0.65 & httpd 2.2.25) がリリースされてました。

メールだけで簡単お申込みのレンタルサーバー!

ども、ども、▲(‘A`)/です。
猛暑で厳しい中如何お過ごしでしょうか?
札幌も例年以上に暑くなっていてます。

さて、先週末(7/18)にApache Struts2の脆弱性についてのニュースが流れていました。
参考までにJPCERTのページを該当ページを紹介しますね。
http://www.jpcert.or.jp/at/2013/at130033.html
えーと、▲(‘A`)はJavaについては詳しくないのでうまく説明できませんが
Apacheのプロジェクトが開発した「JavaベースのWebアプリケーション
フレームワーク」なんだそうです。Webアプリケーションフレームワークとは
Webベースで処理(アクション)とか結果を動的に生成・提供する仕組みと
考えて下さい。例えば掲示板サービスなんて動的サービスだしWebで
入力・出力とか処理とかしていますよね。そんなものです。
最近だとスマートフォンでのサービスが増えていますが、そういうのの
中にもJavaを使って仕組みを作っていたりします。で、その仕組みを
Webサーバ上で動かすのにこれを利用している場合もあります。

で、これの回避方法としては最新バージョンにアップデートする、
という事だそうです。下記のページから入手できます。
http://struts.apache.org/
最新バージョンは 2.3.15.1 となります。

で、ちょっと気になったので久しぶりにApacheの本家サイトを
覗いてみたら、Apacheの新バージョンがリリースされていました。
2.0系が 2.0.65 、 2.2系が 2.2.15 となります。
ダウンロードは下記のページからどうぞ。
http://httpd.apache.org/download.cgi

しかし、ApacheのバージョンアップってPHPみたいに頻度は
それほど多くないので、ちょっとビックリです。
まあ、今回のバージョンアップは脆弱性解消の為ですから
必要なんですけど、ね。
脆弱性の中身は以下の2つです。
・mod_davの不具合(セグメンテーションフォールトの発生)
・mod_rewriteの不具合(不適切な文字列のログ出力)
1つ目は処理の途中でセグメンテーションフォールト(プログラムが
アクセスを禁じられているメモリ領域にアクセスしようとしてしまう事)が
起きて処理が異常終了(大抵こんな場合には Signal 11 が記録されます)に
なります。
2つ目はたいした事無い様に見えますが、不正なコマンドなどを
文字列として送り込まれてログ出力されると、コマンドが実行
されてしまうというなかなか怖い状況になったりするのです、ハイ。

Apacheの2.0系も2.2系も実は古いバージョンだったりします。
Apache本家は2.4系を推奨していたりしますが、ユーザが望む
環境がこのバージョンだとできなかったりします。
例としてはmod_perlはまだ2.4系だと動かない(構築できない)と
いうのがあります。
なので、どのバージョンを使うのか、とか新しいバージョンに
単純にアップデートして問題ないかは各自の環境をもう一度
見直して必要ならテスト環境を用意してリハーサルしてから
対処した方が良いでしょう。

さて、今週はハローワークとか病院に出かけたりと出歩く機会が
多かったりしますが、熱中症にならない様に気をつけます、ハイ。
それでは、また!▲(‘A`)/

第7日目:PHP 5.3.27 がリリースされて、5.3系は打ち止めとなりました

メールだけで簡単お申込みのレンタルサーバー!

ども、ども、▲(‘A`)/です。
ご無沙汰しております。
えーと、昨日から右の頬裏と右下奥歯の歯茎が晴れて顔が膨らんでいます。
とりあえずロキソニンと手元にある抗生物質を飲んで痛みを抑えていますが、
明日早めに歯医者に行ってみよう。ご飯が食べづらい・・・

さて、先週ですが日記第6日目をアップした直後にPHPの5.3系で最後の
バージョンとなる PHP 5.3.27 がリリースされました。

http://php.net/archive/2013.php#id2013-07-11-1

今まで見つかった不具合などに対処したそうですが、「5.3系を使っている
人は5.4系とか5.5系にアップグレードしてちょうだいよ!」と言ってます。

まあ、新しいバージョンだと色々機能を盛り込んでいたりするので、
メンテナンスの上からもそちらのバージョンを使って欲しいという気持ちも
判らんでもないのですが、PHPのアップグレードってとても難しいんですよね。

何故ならPHPを利用している一般のアプリケーション(例えば動画配信の
ClipBucketとかPHPmotion等)はPHP 5.4系では動きに問題があったり、
動かなかったり、とか報告があります。
なので、利用しているアプリケーションのPHPの対応状況を確認しながら
アップグレードの検討をする必要があります。
(人柱になるというのもありますが、その際も独立した環境で動かした方が
問題の切り分けとか対処とかが複雑にならなくて良いでしょう。)

さて、土日にFreeBSD本家を覗きましたが、来月末を目標に9.2Rの開発を
進めているようです。スケジュール等は下記のページをご覧ください。

http://www.freebsd.org/releases/9.2R/schedule.html

▲(‘A`)も手持ちのノートPCに環境を作って試したいなあと思っていますが
dokuo号が既に無いので、以前の様に日記でベンチマークの結果を紹介
する事が難しいなあ、と思っています。
(無職となった今ではdokuo号の環境を再度用意するのは何かと大変です。)

今週は職業訓練の学校の説明会に顔出し、来週はハローワークと病院
(脳外科等)への通院とお出かけが続きますが、基本的には自宅警備に
従事しています。
7/19(金)から札幌は大通公園でビアガーデンが始まります。
今年は今のところ冷夏とか雨の予報ではないので久しぶりに繁盛するんじゃ
ないかなあ、と思います。

もう少し湿度が下がらないかなあ、、、
それでは、また!▲(‘A`)/

第6日目:PHP 5.4.17 がリリースされました

メールだけで簡単お申込みのレンタルサーバー!

ども、ども、▲(‘A`)/です。
ご無沙汰しておりました。
えーと、昨日は札幌でも30℃を超えまして、余りの暑さに
自室でパンツ一丁になりベットでぐったりしていました。

さて、出遅れ感がありますが日本時間で先週金曜日(7/5)に
PHP 5.4.17が公開されました。
何でも20個近いバグを解消したそうです。
詳しい内容は下記のChangeLogのページに掲載されています。
http://www.php.net/ChangeLog-5.php#5.4.17

第4日目でも書きましたが、5.3系は5.3.27で最後となります。
現在RC1が公開されてテスト中です。
PHP本家の方では今後は5.4系か5.5系への移行を望んでいる様ですが
うまく切り替えすすむのかなあ?・・・

えーとWordPressも先月下旬にリリースが入っていました。
WordPress3.5.2が 6/22にリリースされてほぼ同じタイミングで
日本語版(ja)も公開されました。
今回のリリースはセキュリティ面でのメンテナンスの為に実施された
そうで、修正内容については下記のページで詳細が書かれています。
http://wpdocs.sourceforge.jp/Version_3.5.2

今回のリリースによるプラグインの更新は起きないとは思いますが
念の為更新確認は行っておく事をお勧めします。

最近の▲(‘A`)はと言いますと、職業訓練校に進める様に色々と
手続き踏んでいます。まだ入れるかどうか保証は無いのですが
この病気持ちの体と年齢だと職種転換を図らないと
生き残れなさそうなのです、ハイ。
(面接の前に門前払い食らっちゃいますと、ちょっとね。)
それでは、また!▲(‘A`)/