カテゴリー: Computer

Zend Framework 0.1.2リリース

3/8にZend Framework 0.1.2リリースされています。

解凍すると10MBくらいになります。ドキュメント、テストコードなども含まれているのでフレームワーク本体は2MBくらいのようです。さっと見た程度ですがよく出来ていそうな感じです。PHP5以上が必要です。多分PHP5.1でないと動作しないように思えます。(確かめていません)

http://devzone.zend.com/

はZend Frameworkで作られているそうです。

米IBM、スパコンの単一ファイル読み書きで毎秒102GB達成

米IBM社は9日(米国時間)、スーパーコンピューターの単一ファイルへの持続的な読み出し・書き込み処理で、毎秒102GB超の世界記録を達成したと発表した。

ということらしい。凄い数値ですね。数千台のプロセッサを使ったらしいので当たり前かも知れませんが普通のCPUのL1キャッシュより速いです。

ディスクの大きさも1.6ペタバイト( 約160万GB )だそうです。160GB HDDだと1万個。バルクでもトラック何台分になるかな?

Macのクラックコンテスト。30分でroot権限

Macのクラックコンテストが行われ30分でroot権限を取得された事が報道されていますが、それに対する反論。

Anyone that wanted to hack the machine was given access to the machine through a local account (which could be accessed via SSH), so the Mac mini wasn’t hacked from outside — root access was actually gained from a local user account.

“That is a huge distinction,” said Schroeder.

SSHアクセスが許可されていたことは重要だ、との主張です。

確かにそうなのですが、Web, Mail, LDAP, etcの外部向けサービスからroot権限が取得できるのであればサーバアプリのセキュリティホールなので「Macのクラックコンテスト」とは言いがたくなります。ローカルアクセスもできないのに「クラックできる?」とコンテストされてもやる気がおきません。

しかし、一般的なユーザは報道だけみると「Mac=危険」と思ってしまうかも知れません。確かにローカルアクセスができる場合、危険度は高いと思いますが、全体として安全性はそれほど悪くないと思います。

LinuxでもWindowsでもローカルユーザ権限があれば管理者権限を取得できてしまうセキュリティホールは沢山報告されています。今回利用されたセキュリティホールがどのような物だったか公開されていないので詳細は分らないですがが、Macだけが特別危険と言うことでは無いです。Macは今までクラッカーに相手にされていなかった(?)のでまだまだ問題が沢山(?)あるのかも知れません。

Windowsの場合、普通に使うためには管理者権限をを持っていないと困る場面が多くあります。アプリケーションが管理者権限を持っていないと動作しない、などというケースも少なくありません。普通のユーザは普通に管理者権限を持つアカウントでログインしてPCを利用しています。

Mac OS Xでは通常権限のユーザでログインしても普通に利用でき、普通のユーザは通常のユーザ権限を持つアカウントを使用しています。Windowsに比べればOS Xの方が比べものにならないくらいセキュリティ上まし、と言えると思います。

Microsoft Origamiプロジェクト

PDAをフル機能PCにしてしまおう、というプロジェクト(?)らしい。

http://www.origamiproject.com/ によると、3/9(EST?)に詳細は発表するそうです。

OrigamiはTunamiと同様に英語かな?と思い検索してみると

http://www.onelook.com/?w=origami&ls=a

広く認知されている用語ではないようですね。

参考:
http://news.com.com/Intel+shows+Origami-like+device/2100-1044_3-6046793.html

太陽の嵐が衛星を利用したシステムに影響

The next 11-year solar storm cycle should be significantly stronger than the current one, which may mean big problems for power grids and GPS systems and other satellite-enabled technology, scientists announced today.

今後11年間は現在よりかなり強い太陽の嵐が予測されるそうです。身近なところでは衛星放送に影響があるのかな?

SPAM対策

コメントSPAM対策にBBQあらしお断りシステムのチェックを入れてみました。コメントの送信時にのみチェックするようになっているので参照だけであればどこからも参照できると思います。もし問題があった場合にはご連絡いただけると助かります。

BBQの使い方

b2evolutionへの変更(htsrv/comment_post.phpのはじめの辺り)

// SPAMMER check
$srv_name = implode('.', 
     array_reverse(explode(".", $_SERVER['REMOTE_ADDR'])) ) . '.niku.2ch.net';
if ( checkdnsrr($srv_name, 'A') ) {
  require(dirname(__FILE__)."/../b2evocore/_410_stats_gone.page.php");
}

中国版、.fletsの様な物

中国が独自にトップレベルドメインを作成・運営するのでは?という話。

インターネットの専門家らは、今回の動きが、中国が別に専用サーバを立て、独自にトップレベルドメインを管理するという事態に発展することを懸念している。このような事態が発生した場合、インターネットの分裂につながることが予想できるからだ。

勝手にトップレベルドメインを作り出したら面倒なことになります。インターネットの管理、特にDNSに関しては言いがかりとしか思えない議論もあったそうなので、それが原因なのかも知れませんね。

.flets を国レベルで運営する、と考えたら許せる?

誰かが.comドメインの管理でVeriSignが儲けている金額を見て、新たな利権を作るためのトップレベルドメインだったり?

ルートサーバの信頼性に疑問がある場合、ファーミングが可能になるなど、セキュリティ上大きな問題となります。ルートサーバの管理を分散しろ、などの無謀な議論には反対ですが勝手に作って勝手に運営するのは自由にすればと思います。

Intel Mac miniの中身

リンク先に写真が載っています。

当り前と言えば当り前かも知れませんが、Mac miniはBIOSではなくEFIだそうですね。

# 実はG5 Dualを持っていたりします。

追記:
ところでEFIのMacに別のWindowsXPを入れる方法を発見した場合、懸賞金が貰えるそうです。(URL失念…)何も無い状態でEFIコンソールに入る方法が見つかっていないのでかなりハードルが高いらしいです。Windows Server 2003/Windows VISTAはEFIをサポートしているのでEFIとサポートしていないWindowsXPだけが対象です。自身のある方は是非Mac miniを1台購入されてはどうでしょう?

懸賞の情報が書いてあるブログ(私は見たときは懸賞金額は1万ドルを超えていたような気がします)
http://staraxis.kazelog.jp/okiraku/2006/01/intelmacwindows_2666.html

もう少しリンクを辿るとありました。
http://windowsxp.onmac.net/The%20Contest.html
懸賞金が1万2千ドルを超えてますね。期限は3月30日までです。もう時間があまり無いですね。

PHPのStrictセッション

Strictセッション管理パッチのダウンロード数がやっと?100を超えました。

PHP5用のパッチなのが一番の問題なのでしょうか?非常にダウンロード数が少ないように思えます。私はこのパッチはセキュリティ上かなり重要なパッチだと思っています。

PHP4のパッチが必要なのかな? 枡形さんが作ってましたっけ?

関連:
http://blog.ohgaki.net/index.php/yohgaki/2006/02/02/strict_sessioncric_a_a_a
http://blog.ohgaki.net/index.php/yohgaki/2006/02/05/phpa_rsession_fixationa_ei
http://blog.ohgaki.net/index.php/yohgaki/2006/02/27/a_ma_sa_sa_ma_ca_a_ma_a_sa_f

1秒で100万人の顔を識別し認証

 NEC (金杉明信社長)は、顔認証技術を利用した製品・システム開発用の顔検出・顔照合エンジンソフトの最新版「NeoFace Ver2.4」を発表した。業界最高速レベルとなる1秒間で100万人の顔データが照合できるのが特徴。5月から出荷を開始する。税別価格は250万円から。

100万人/秒とはすごいですね。従来型でも40万人/秒だったらしいです。

顔認証で時刻を登録する出退勤管理システム「NeoFace朝顔」を4月3日、3月6日にそれぞれ発売する。

ということらしいですが、この手の認証は再生攻撃に弱いので学生の出席確認などに利用すると再生攻撃が実際に行われそうです。(顔写真を機械に見せる)

「フェイスキーキャビネット」は事前に登録した顔データを鍵としてキャビネットの扉の開閉管理と利用者すべての操作履歴の顔画像を記録するシステム。不正利用者の特定やオフィス内の重要書類や機密データの流出を防止に利用する。

再生攻撃対策が行われているのでしょうか? 今時はデジタルカメラ・カラープリンタはどこにでもあります。写真での再生攻撃対策に2つくらいはカメラが付いているのかな?

警察に買ってもらいATM等のカメラと連動させれば、犯罪者を逮捕する為に使えそうな気がします。精度も問題ですが100万人/秒ならかなり使えそうな気がしますが、検証する部分を減らしているので変装に脆弱なのかもしれませんね。

顔認証ねたが他のサイトでもありました。

賛否両論ですが顔認証はやはり便利かも?!

商売的にはどうかというと

ドゥーシッチ氏によると、バイオバウンサーは3月中の発売を予定しているという。初期費用は7500ドルで、年間の利用料およびサポート料が6000ドルかかる。これだけの費用が必要になるにもかかわらず、すでに米国内、オーストラリア、ニュージーランド、イタリアから引き合いを受けていると、ドゥーシッチ氏は話す。

ということらしいです。NECさん、キャビネット作っている場合ではないかも?!

Thunderbirdの脆弱性に注意

Thunderbirdでリモートのリソース(Webビーコンの画像ファイルなど)を読み取らない設定にしていてもリモートリソースを取得してしまう問題があるそうです。メールが読まれたか分かってしまうのでSPAMメールなどには特に注意が必要です。

GoogleにXSS

詳しくはリンク先を見ていただくとして(脆弱性の詳しい情報は書いてありません)、パーソナライズド機能やgmailは修正されるまで使わない方がよいらしい。

このアドバイザリ、ちょっと待った

これはコードブログに書こうと思ったらTypePadのパスワードが分からなくなっていました。ブラウザに記憶させたはずなんですけどね…. とにかく以下のSECUNIAアドバイザリは(今度こそ)本当に間違っています。
# 前にCVSの更新が異常だったため勘違いしていた件がありました。
# 今度はSECUNIAが勘違いする番ですね。

TITLE:
PHP “mb_send_mail()” and IMAP Functions Security Bypass

SECUNIA ADVISORY ID:
SA18694

VERIFY ADVISORY:
http://secunia.com/advisories/18694/

CRITICAL:
Less critical

IMPACT:
Security Bypass

*省略*

SOLUTION:
Do not compile PHP to enable support of the mbstring or imap
functions if they are not required.

PROVIDED AND/OR DISCOVERED BY:
Cdric Clerget

詳しいPoCはリンク先のアドバイザリを参照していただくとして、mb_send_mailとmailの第五引数(sendmailコマンドへの追加の引数)は内部関数php_escape_shell_cmdでエスケープされています。

PoCでは普通の引数を渡しているのでphp_escape_shell_cmd関数でエスケープしても、当然ですが、そのままsendmail関数のオプションになります。

つまり、mb_send_mailだけでなくmailでもまったく同じ現象(現象です。これは問題ではありません)が発生します。コマンドの実行に注意をはらうのと同じでmail/mb_send_mail関数の第五引数の指定にも注意が必要です。

オリジナルのアドバイザリはBugTraqにあます。safe_mode/open_basedir設定のバイパスが可能なことがセキュリティ上の問題だ、としていますがsafe_mode/open_basedirはfail safe (フェイルセーフ)の為の機能です。つまり、プログラムのバグがあっても意図しないファイルへのアクセスリスクを低減させるための仕組みであって、悪意を持ったプログラマからシステムを保護する機能ではありません。

CRITICAL:
Less critical

IMPACT:
Security Bypass

となっているので気にする人はいないと思いますが、対策が以下のように書いてあります。

SOLUTION:
Do not compile PHP to enable support of the mbstring or imap
functions if they are not required.

Secuniaは何を言いたいのでしょうね?

mail関数はconfigureスクリプト実行時にsendmailバイナリを見つけられないと組み込まれません。多分、mail関数も組み込むな、とアドバイザリがでるのでしょう。

別に気にする必要はないアドバイザリですが、この対策は非常にいただけません。
百歩譲っても「disable_functionに指定する」くらいが妥当なのではないでしょうか?

追記:
SECUNIAのアドバイザリは

1) The PHP “mb_send_mail()” function allows additional parameters to be passed to sendmail via the “additional_parameter” parameter. This can be exploited to cause sendmail to read arbitrary files on the system as configuration file and saving the resulting log file to arbitrary writable directories. The saved log file may contain portions of the file that was read as configuration file.

Example:
$additional_param = “-C “.$file_to_read.” -X “.getcwd().”/”.$output_file;
mb_send_mail($email_address, NULL, NULL, NULL, $additional_param);

Successful exploitation allows the bypassing of certain “safe_mode” and “open_basedir” restrictions.

The vulnerability has been confirmed in version 5.1.2 and also reported in version 4.x. Other versions may also be affected.

と書いてあるのですが、safe_modeのバイパスだ、と書いていません。
オリジナルのアドバイザリを良く読むと、safe_modeの時だけ問題がある、旨で書かれています。ソースを確認してみるとmb_send_mailの方はsafe_modeのときに5番目の引数があっても受け付けるようになっていました。
# これは修正をCVSにコミットしました。久しぶりに。

mail/mb_send_mailの両方open_basedir設定はバイパスできるのですが、SECUNIAのアドバイザリではsafe_mode, open_basedirのどっちの事を言っているか分かりませんね。open_basedirがバイパスできることも問題らしいので「mail関数は組み込むな」とアドバイザリを作る(?)のでしょうね。

繰り返しになりますが、SECUNIAのアドバイザリでは対策として

SOLUTION:
Do not compile PHP to enable support of the mbstring or imap
functions if they are not required.

と書いていますがimapもmbstringも普通に使っていれば安全に使えます。

今後20年間はムーアの法則は安泰

半導体メーカーの予測、および米半導体工業会(SIA)の技術ロードマップによると、CPUに集積されるトランジスター数は、現在の10億個から2年後には倍の20億個、4年後にはなんと40億個になるという。SIAのロードマップは、チップの小型化と集積度増大が2020年まで続くと予測している。

 インテル社とAMD社は、ギガヘルツで計測しているCPUのクロック速度について、消費電力と発熱の制約があるため、今後は過去のようなペースでは向上しないと述べている。それでも両社は、さらなる集積度増大により、チップ上に複数のコアを搭載して性能の飛躍を図るはずだ。インテル社によると、10年以内には1個のプロセッサー上に100個ものコアが搭載されるようになるかもしれないという。

100個もコアが乗らなくても、1つのCPUに10も20ものコアが乗るようになるだけで別次元のアプリケーションの可能性が出てきます。システムレベルのS/W開発者はもちろんアプリケーション開発者もこのような状況を見据えて開発する必要がありますね。