台風の影響かは知らないですが、ここ1週間ほど涼しかったので、過ごしやすくてよかったのですが、土曜日からまた蒸し暑くなってきました。9月上旬までまた暑い日が続くらしいです。
セキュリティホールの修正などのために、多くのブラウザがバージョンアップしています。Internet Explorer では、修正プログラムが公開されています。
Netscape 4.8 英語版 が公開されました。まだ Netscape 4.x 系の開発が続いているようです。英語版のみで、日本語版が公開されるかは分かりません。
Opera 6.05 も OpenSSL のセキュリティホールに関連してアップデートのようです。Linux版では、 Opera 6.03 もリリースされています。
リリースされると思っていたのに、長いあいだ放置されていた Mozilla 1.0.1 ですが、Mozilla 1.0.1RC2 が公開されています。もうすぐ正式リリースになるかもしれません。ベータ版では、Mozilla 1.1b も公開されています。
Microsoft Internet Explorer では、「MS02-047: Internet Explorer 用の累積的な修正プログラム (Q323759)」 が公開されています。
Windows 2000 で、接続マネージャの問題により、権限が昇格する (Q326886) (MS02-042) というセキュリティホールの修正パッチが公開されています。Service Pack 3 には含まれていませんし、結構大きな問題のようですので、修正プログラムをインストールしておいた方がいいと思います。
他にも、「MS02-047: Internet Explorer 用の累積的な修正プログラム (Q323759)」も公開されています。Internet Explorer 5.01 SP2 以上が対象で、かなり危険度が高いものが修正されます。Internet Explorer を使っている人はインストールしておいた方が安全です。
VineLinuxでは、●2002,08,18● glibc にセキュリティホール ということで、glibc の修正済みパッケージが公開されました。RPC ライブラリのセキュリティホール修正と、以前の DNS Resolver のバッファオーバーフローの修正も入っているようです。
もじら組 にセキュリティ情報という項目ができたようです。今まで、トップに置いていたセキュリティ関係の情報はそちらに移されたようです。
SecurITの Web ページで、秘密情報を含まないCOOKIEに頼ったアクセス制御方式の脆弱性について公開されています。Web アプリケーションの開発に関わっている人は読んでおい方がいいと思います。
PostgreSQLに Buffer Overflow の問題があることが報告されています。SecuriTeam.com の情報では、Multiple Buffer Overflows in PostgreSQL、Another Buffer Overflow Found in PostgreSQL (repeat function)、Buffer Overflow in PostgreSQL (cash_words) などの情報が掲載されています。cash_words の問題については、PostgreSQL 7.2.1 で修正されているようです。他の問題については、修正バージョンは記載されていませんが、先日リリースされた PostgreSQL 7.2.2 で試したところ、修正されているようです。
Web サイト作りにおいて、非常に参考になる文書。Web サイト作りをしている人には読んで欲しい。
JPEG 特許問題についてまとめているページ。勉強になります。
Netcraft が集計している HTTPD の使用率の8月度集計がでました。集計を開始してから、Apache のシェアが過去最高になったらしいです。
「セキュリティの強度」と「使いやすさ」は二者択一ではない 〜分かりやすいセキュリティソリューション〜
パスワード認証に頼る以外の方法として、バイオメトリクス認証と USB キーの紹介。確かに現実的な手段のような気はします。
中小企業はセキュリティポリシーも無いわけで、これをどうやって広めるのかが問題のような気もしますが・・・。
qmail サーバの運用・管理についての連載。パフォーマンスについて。
GNOME と並んで有名なデスクトップ環境。
日本ではよく使われているデータベース管理システム。pgsql-jp メーリングリストなどではアナウンスがなかったのですが、気づかない間にリリースされていました。セキュリティホールの修正や、最適化などが行われています。
盆休みということで、少しメモを整理しました。役に立たないと思われるものが多い・・・。あと、PHP4 のメモに関しては、まとめ直しました。バージョンを最新版にしたのと、他のモジュールのインストール方法を加えただけですが・・・。
少し失敗したので、備忘録に。mv コマンドでファイルを移動するときに、
$ mv ../*.txt .
と打とうとして、間違えて最後のピリオドを打つ前に改行してしまいました。
$ mv ../*.txt
見ると、2つあったテキストファイルが1つ消えていました・・・。
少し調べてみると、例えば、 a.txt と b.txt が存在する場合、
$ ls a.txt b.txt $ mv -v *.txt `a.txt' -> `b.txt'
となり、a.txt の内容 の b.txt だけが残ります。
適合するファイルが2つの場合、リネームと同様の動作を行い、名前を変更して上書きしてしまうようです。3つ以上のファイルがある場合は、そのような問題は起きません。
OS は RedHat Linux 7.3 ですが、FreeBSD でも再現しましたので、多分他の Unix 系 OS であれば、同じだと思います。移動するファイルが2つの時は気を付けましょう。
消えてしまったファイルは、結構重要なファイルだったりするのですが・・・。もしかして、 rm -rf / などと同じように有名な事だったりするのでしょうか。
さすがに、ここ数ヵ月、大きいセキュリティホールが大量に見つかっていましたが、今週は少なかったように思います。
CERT/CC から、CERT Advisory CA-2002-26 Buffer Overflow in CDE ToolTalk ということで、Solaris などでよく使われているウインドウマネージャの CDE に Buffer Overflow のセキュリティホールがあるという報告が公開されています。
あと、RedHat Linux の Web ページに Updated krb5 packages fix remote buffer overflow と、 Updated glibc packages fix vulnerabilities in RPC XDR decoder ということで、Kerberos と glibc の修正パッケージが公開されています。
Vine Linux では、Mozilla に Cookie 漏洩、クロスサイトスクリプティングの脆弱性 ということで、Mozilla の修正パッケージが公開されています。
さすがに盆なので、いつもチェックしているニュースサイトも休みが多いようです。
Unix 系の OS。いろいろとセキュリティホールのため、 4.6.1 Release は飛ばされた模様です。かなりのセキュリティホール修正やバグ修正が入っているため、これからインストールするのであれば、このリリースをインストールした方が良さそうです。
統合デスクトップ環境。いろいろと細かい修正や調整が入ったようです。さすがに GNOME 2.0 系は使っていないのでよく分かりませんが。
もうすぐ盆ですね。盆休みに入っている人も多いかもしれません。それにしても、最近のセキュリティホール修正リリースが大量にあります。この時期には非常に危険のような気がしますが・・・。
盆休みは少し備忘録などを見直して、手直ししようと思っています。問題は大幅に手直しできるかどうかと、やる気が出るかというところですが・・・。あまりに暑いとやる気が出ません。
住基ネットがスタートしましたが、最初は結構、トラブルが多かったようです。どうなるかはよくわかりませんが、いくつかの新聞で載っている記事を見る限りでは、あまり管理は良くないようです。
最近、ctags が PHP で使えるということを知ったので、試してみました。最近の RedHat Linux ではデフォルトでインストールされているようです。とりあえず、まとめておきます。
PHP のモジュールのタグファイルの作成( ディレクトリごと )
モジュールがあるディレクトリに移動して、以下のようなコマンドを実行すると、その場所に tags というファイルが作成されます。
$ ctags --langmap=PHP:.php.inc --php-types=c+f *.php
(カレントディレクトリにある全ての .php ファイルを tags にいれる場合)
$ ctags --langmap=PHP:.php.inc --php-types=c+f `find ./ -name '*.inc'`
(カレントディレクトリ以下にある全ての .inc ファイルを tags にいれる場合)
オプションとしては、とりあえず、以下を覚えておけば問題なさそうです。
--php-types でクラスと関数を指定 --langmap で .php と .inc をPHPファイルとして見なすように指定 -a でタグの追加
後は、vim で使用するときには、vim を起動させてから、tags ファイルの存在する場所を指定して、 set tags のコマンドを実行します。
set tags=/path/to/path/tags
set tags を使用しない場合、カレントディレクトリにある tags ファイルを見に行くようです。
何度も同じ tags ファイルを使用する場合は、 ~/.vimrc に書いておくと、便利かもしれません。もっといい方法があるかもしれませんが。
ctrl + ] でタグジャンプ、ctrl + t で元に戻れるようになります。
使ってみた感じとしては、非常に便利です。また、これで、効率が上がりそうです。以前にも試したことがあったのですが、PHP で .inc ファイルをモジュールの拡張子にしていたため、これを tags に追加できなかったので、あきらめていました。やはりオプションでなんとかなったようです・・・。
emacs を使っている人は、etags という同様の機能を実装するコマンドがあるようです。
最近、相変わらず、セキュリティホール関係の修正が多いです。
OpenSSL が先週から修正が何回も入っています。OpenSSL 0.9.6g がリリースされています。OpenSSL 0.9.6f がリリースされて、すぐに 0.9.6g がリリースされたようです。
Apache 2.0 系の問題のようですが、Apache 2.0.40 がリリースされました。Unix 系では、問題はないようです。Windows で 2.0.39 以前を使用している場合は設定を変更するか、2.0.40 に入れ換える必要がありそうです。
スラッシュドット ジャパンの記事によると、Flash プラグインにFlashプラグインにローカルファイル参照可能な脆弱性があったらしく、修正された Flash プラグインがリリースされています。
これも、スラッシュドット ジャパンの記事ですが、GoogleツールバーにXSS脆弱性発覚 というニュースもあります。
RedHat の Security Advisory では、Updated bind packages fix buffer overflow in resolver library ということで、bind パッケージの修正が出ています。
Windows 2000 Service Pack 3 がリリースされています。最近、セキュリティパッチを当てていなかったり、Windows Update をしていなかった Windows 2000 を使っている人はインストールしておいたほうがいいかもしれません。
Japan CNETの記事では、Windows、Mac、Linuxに共通のセキュリティーホールということで、「Kerberos 認証を認証システムを実行しているコンピューターが乗っ取られる危険性がある」という記事があります。CERT Advisory の CA-2002-25 Integer Overflow In XDR Library の影響らしく、Kerberos にもその問題が含まれていたということらしいです。
他にもいろいろと気になるニュースはあったのですが、まとめていません。
「人月ベースではない方法の考察」が気になります。理想論としては正しいと思いますが、簡単には人月問題は解決しないということでしょうか。
日本語版の公開間近,Windows 2000 SP3を解説する
Windows 2000 SP3 の解説。登録が必要です。@IT の Windows 2000 Service Pack 3 日本語版がついに登場 という記事も参考になります。
アメリカでは認められたようです。アメリカ以外では当然違法だろうということですが、アメリカではこういう法律が認められるんですね。合法かどうかをどうやって判断するのかが気になりますが。
Linux でインストールされている RPM パッケージの依存関係を調べる方法。
今回は Windows で JSP の環境を構築する方法。
パズルを解くアルゴリズム。かなり勉強になるかもしれません。
もう8月です。相変わらず暑いです。今日の朝は少し涼しかったので、良かったですが。それにしても、暑いと何もする気になれないのが問題だったりします。やりたいことはいろいろとあるのですが・・・。
なんだか、先週も、セキュリティホールが大量に見付かったような気がします。しかも OpenSSL という結構致命的なものも含まれていたりしましたが。
まず、OpenSSL に複数の脆弱性 (IPA セキュリティセンター) というのがあるようです。OpenSSH や Apache の mod_ssl など、影響する範囲が致命的なものが多いのが問題です。とりあえず、OpenSSL がリリースしているパッチを当てて再コンパイルするか、OpenSSL 0.9.7 か 0.9.6e に入れ換える必要があります。
セキュリティホールmemo にOpenSSL セキュリティホールについてのについてのまとめがあります。一応、修正パッケージもリリースされています。
RedHat Linux: Updated openssl packages fix remote vulnerabilities
Vine Linux : openssl にセキュリティホール ( VineLinux 2.5 ) VineLinux 2.1.5用もリリースされています。
FreeBSD でも、セキュリティ勧告( 日本語版 )が出ています。port や ソースの方で修正が入っていますので、make world する必要がありそうです。
その他にも、RedHat Linux では、Updated util-linux package fixes password locking race、Updated mm packages fix temporary file handling という Security Advisories が出されています。
先週にもあった Mozillaに任意ドメインのCookieが漏曳するセキュリティホール ですが、Web サイトごとに Javascript の On/Off を行う方法があるようです。
prefs.js か user.js を使用するので、書き換えるのが難しいかもしれませんが。
LDAP を使ったパスワード一元管理の方法。便利そうなので試してみたいけど、試している時間はあまりないところが問題。
JPCERT/CC の連載。確実にログを取ろうという話。
オープンソースの SSL 実装として広く使われている OpenSSL にセキュリティホール。
なかなか興味深い話。では、どうすればいいのかという部分があまりうまく分からないが。後編を読んでみたい。
Java はほとんどやっていないのだが、似たようなことで反省すべき点が多そう。この記事は登録していないと読めませんが。
コンソールで高解像度表示をする方法。どこかの雑誌にもあったような気が。Lilo編もある。
W32/Frethem ウイルスの亜種が猛威を振るっているらしい。
前月と同水準。