VMWare上のUbuntu 7.0、CentOS5

VMWare上にUbuntu 7.0をインストール(正確には6.xから7.04にアップグレード)してみました。6.xのときからvmwareのマウスドライバがインストールされないため、ホスト・ゲストOS上でマウスカーソールが移動できませんでした。

あまり気にしていなかったのですがCentOS5をゲストOSとしてインストールしても同じようにマウスポインタが移動できません。さすがに2つのゲストOSでマウスポインタが思ったように動作しないのは面倒なので調べてみることにしました。

CentOS5の/etc/X11/xorg.confをvmwareのマウスドライバを使用するようにすると動作するようになりました。

Section "InputDevice"
Identifier "Mouse0"
Driver "vmmouse"
Option "CorePointer"
Option "Device" "/dev/input/mice"
Option "Protocol" "IMPS/2"
Option "ZAxisMapping" "4 5"
EndSection

Ubuntuの方はvmmouseドライバを指定するとドライバファイルが見付からないためXが起動しなくなりました。

ln -s /usr/lib/vmware-tools/configurator/XOrg/7.0/vmmouse_drv.so /usr/lib/xorg/modules/input/vmmouse_drv.so

とするとドライバをロードしマウスが期待どおり動作するようになりました。Ubuntu 7.0のXorgは7.2ですが7.0のドライバでも問題なく動作するようです。

MOBPを訳し終えて

もう何年か前になりますがStefanさんがPHPプロジェクトへの貢献を始めたころ「整数オーバーフローの修正はセキュリティ脆弱性なのでそのことを明記すべき」と指摘した事がありました。信じがたいかもしれませんが「攻撃可能かどうか分からないし脆弱性でなく普通のバグ修正だ」と主張する開発者がいたためPHPのこの手のヒープオーバーフローセキュリティ修正は「fixed crash」とCVSログに書いてあるだけの場合が多く、NEWSファイルにも記載されない事が当たり前になっていました。

“MOBPを訳し終えて” の続きを読む

.xxxドメイン却下

ここ数年間、議論されていた.xxxドメインが却下されたそうです。当然です。ほとんどフィッシングくらいにしか使われていない!? .infoや.bizよりも悪いドメインになりそうだった.xxxドメインが却下されて何よりです。

新しいTLDはほとんど必要ないし、作って利益があるのはインターネットを利用するユーザでも、サービスの提供者でも無く、フィッシングをする悪人、屋号・商標などを登録して悪用(たとえば恐喝まがいのドメインセールス)する悪人またはレジストラだけです。

IDNも至極迷惑なのですべてのブラウザがデフォルトで無効にしてほしいくらいです。標準に準拠しなくなる!という議論もあると思いますが、今のブラウザは標準準拠していない機能ばかりです。どうせ標準に準拠していないのでIDNに準拠しない方が問題が少なくなる、と考えている人も少なくないと思います。

ha.ckers.orgに載っていたのですがSSLをURLに含めたフィッシング、たとえば

http://evil.example.com/www.target.com/ssl/foo/bar/

も一定の効果があるようです。何故なら、「Look for correct domain」(正しいドメイン名か確認せよ)、「Look for SSL」(SSLであることを確認せよ)と言われているからです。一般のユーザにとってSSLは何の意味もないことが多く、httpsがURLの先頭にあるとSSLになる事も知らない場合が多いのです。フィッシングを成功させるには一部のユーザをだますだけでも十分です。

エンドユーザが安全にインターネットを利用するためにIDNが役に立つとは到底思えません。IDNが一般化すれば先ほどの馬鹿げた例よりもっと効率的にフィッシングできます。往々にしてコンピュータに詳しくないユーザがフィッシングに騙されやすく、新しいTLDやIDNでフィッシング被害に合う確率が高くなる、と予想できます。コンピュータに詳しくないユーザは、怪しいIDNリンクをクリックした後にxnで始まる名前に変換されても意味をなさない場合も多くあると予想できます。

さらに日本語のIDNドメインは安全性の問題は重大だと思います。たとえば、

http://テレビなら○○.com/
http://DVDなら○○.com/
http://○○のテレビ.com/
http://○○のDVD.com/
http://パソコンの○○.com/
http://家電のことなら○○.com/
http://安心の○○.com/
http://○○のユーザサポートコーナー.com/
http://○○のサポートサイト.com/
http://聞いて安心○○サポート.com/

複数の単語を使ったそれらしいフィッシング向きのドメイン名はいくらでも作れます。日本語ドメイン名にすることにより長いドメイン名でも違和感が少なくなります。適当に有名メーカ・ブランドの名前を○○に入れると騙されてしまうユーザはいくらでもいると思われます。匿名組合に投資して「パンフレットに有名企業の企業名とロゴがあったので信用したのに… 損失はその企業に補てんもらわねば」というお国柄です。マーケティングの事しか考えてない日本語ドメイン名が溢れ出すとどうしようもなくなります。

もしIDNの利用が増えるようであれば、有名企業はIDNを使わないことを宣言してユーザに注意を喚起しなければならないと思います。IDN以外のドメインも、サービスを提供しているドメインはメインサイトで一覧にするなどの処置をし「リスト以外のサイトはフィッシングサイトの可能性があるのでご連絡ください」などと協力をお願いする方が良いと思います。

とにかく、またTLDが増えなくて何よりです。IDNも無くなればよいのですが…

MOPB-44-2007:PHP 5.2.0 Memory Manager Signed Comparison Vulnerability

Stefanさんの承諾を得て日本語訳を公開しています。このブログの「the Month of PHP Bugs」カテゴリでMOPBの翻訳ページを一覧できます。分かりやすいように意訳できる部分は意訳します。厳密に原文の通り訳していないので正確性を重視される方は原文をご覧ください。

“MOPB-44-2007:PHP 5.2.0 Memory Manager Signed Comparison Vulnerability” の続きを読む

MOPB-43-2007:PHP msg_receive() Memory Allocation Integer Overflow Vulnerabilty

Stefanさんの承諾を得て日本語訳を公開しています。このブログの「the Month of PHP Bugs」カテゴリでMOPBの翻訳ページを一覧できます。分かりやすいように意訳できる部分は意訳します。厳密に原文の通り訳していないので正確性を重視される方は原文をご覧ください。

“MOPB-43-2007:PHP msg_receive() Memory Allocation Integer Overflow Vulnerabilty” の続きを読む

MOPB-42-2007:PHP 5 php_stream_filter_create() Off By One Vulnerablity

Stefanさんの承諾を得て日本語訳を公開しています。このブログの「the Month of PHP Bugs」カテゴリでMOPBの翻訳ページを一覧できます。分かりやすいように意訳できる部分は意訳します。厳密に原文の通り訳していないので正確性を重視される方は原文をご覧ください。

“MOPB-42-2007:PHP 5 php_stream_filter_create() Off By One Vulnerablity” の続きを読む

MOPB-41-2007:PHP 5 sqlite_udf_decode_binary() Buffer Overflow Vulnerability

Stefanさんの承諾を得て日本語訳を公開しています。このブログの「the Month of PHP Bugs」カテゴリでMOPBの翻訳ページを一覧できます。分かりやすいように意訳できる部分は意訳します。厳密に原文の通り訳していないので正確性を重視される方は原文をご覧ください。

“MOPB-41-2007:PHP 5 sqlite_udf_decode_binary() Buffer Overflow Vulnerability” の続きを読む

MOPB-40-2007:PHP imap_mail_compose() Boundary Stack Buffer Overflow Vulnerability

Stefanさんの承諾を得て日本語訳を公開しています。このブログの「the Month of PHP Bugs」カテゴリでMOPBの翻訳ページを一覧できます。分かりやすいように意訳できる部分は意訳します。厳密に原文の通り訳していないので正確性を重視される方は原文をご覧ください。

“MOPB-40-2007:PHP imap_mail_compose() Boundary Stack Buffer Overflow Vulnerability” の続きを読む

MOPB-39-2007:PHP str_replace() Memory Allocation Integer Overflow Vulnerability

Stefanさんの承諾を得て日本語訳を公開しています。このブログの「the Month of PHP Bugs」カテゴリでMOPBの翻訳ページを一覧できます。分かりやすいように意訳できる部分は意訳します。厳密に原文の通り訳していないので正確性を重視される方は原文をご覧ください。

“MOPB-39-2007:PHP str_replace() Memory Allocation Integer Overflow Vulnerability” の続きを読む

MOPB-38-2007:PHP printf() Family 64 Bit Casting Vulnerabilities

Stefanさんの承諾を得て日本語訳を公開しています。このブログの「the Month of PHP Bugs」カテゴリでMOPBの翻訳ページを一覧できます。分かりやすいように意訳できる部分は意訳します。厳密に原文の通り訳していないので正確性を重視される方は原文をご覧ください。

“MOPB-38-2007:PHP printf() Family 64 Bit Casting Vulnerabilities” の続きを読む