OpenOffice.org V2.0に重大なセキュリティホール、だが… 46
ストーリー by mhatta
おっとろしいのう 部門より
おっとろしいのう 部門より
1月4日にSecuniaはOpenOffice WMF/EMF Integer Overflow Vulnerabilityという脆弱性についてアドバイザリを発表しました。これはOpenOffice.orgでバグとして報告されていたもの。攻撃WMF/EMFファイルを開こうとするとヒープオーバーフローを起こし、任意のコードを攻撃者に実行されてしまうそうな。脆弱性の緊急度は5段階の4(High Critical)で、「対策としてv2.1へアップデートしてください」とのことですが、OOo日本語版ユーザーの皆さんはどうされる予定ですか?
とはいえ Microsoft Word 向けの攻撃ファイルで OOo 2.1 Writer (Win32/Linux) がクラッシュしたそうなので、v2.1もマイナーアップデートしそうな予感がします。
主要N言語版を同時リリースできるまで英語版を遅らせる (スコア:3, 興味深い)
主要N言語版を同時リリースできるまで英語版を遅らせる、という戦法しか取りようがないと考えます。
後は、セキュリティフィックスに関する議論をいかに非公開としておくか、というような、いかにも
Mozilla プロジェクトが参考になりそうな課題があります。
3ヶ月前に修正した問題が、ニュースバリューを持つ形で今になって表沙汰になるというのは、
開発プロセスを改善すれば避けられるタイプの問題です、と言わざるを得ません。
Re:主要N言語版を同時リリースできるまで英語版を遅らせる (スコア:1)
いわゆる「フルディスクロージャー」の理念って最近は廃れているんでしょうか?
/K
Re:主要N言語版を同時リリースできるまで英語版を遅らせる (スコア:2)
主要言語の修正版のバイナリが公開されて、それから暫く経って、
大きな影響が出ないタイミングで脆弱性情報を開示するというのが理想的です。
ソースとバイナリの公開はたぶん同時になりますが、脆弱性の修正だけでなく
ソースには多数の変更点があって、どれが脆弱性に関わるのか容易には分からない
ようになっている、という状態を一時的には作り出す必要があります。
後日、完全に開示することとは矛盾しないと思いますが。
Re:主要N言語版を同時リリースできるまで英語版を遅らせる (スコア:2, 興味深い)
影響範囲やある程度複雑なものになるとやっぱり大変なのかも。
開発者とユーザーが近いとか影響範囲が軽微なら有る程度すぐオープンにしてもOKでしょう。
しかし相手が「自分で入れた」とか「更新」という概念が薄い普通の一般人が多数を占めるようになると、
複数のプロダクトを持っているはずなのに、1つのプロダクトで解決しただけで他の製品はまだまったく同一の問題が未解決という状況とか、
大半のユーザーがまだ更新していない状態でどのように攻略するかという方法を公開しちゃうのは開発元の対応としてはイケてないのではないですかね?
自分本位で客の事をまったく考えてないような印象が。
自分がメインの言語のプロダクト以外は知らないし、安全性関連の印象によるシェアなんて要らないって状況ならそれもアリでしょう。
完全開示したいなら全言語の対応が終わってからとか詳細を開示すれば有る程度問題ないわけですし。
Firefoxなんかがそんな対応してますよね。
# すぐ開示しても結構大丈夫だったのは古き良き牧歌的な時代だったなのかもと思うのでAC
Re:主要N言語版を同時リリースできるまで英語版を遅らせる (スコア:2, すばらしい洞察)
批判とかの意図は全然無いんですけど。ここは本人に聞いてみますかね…。
/K
Re:主要N言語版を同時リリースできるまで英語版を遅らせる (スコア:1, 興味深い)
> Mozilla プロジェクトが参考になりそうな課題があります。
Bugzillaでのやりとりは見られませんが、Bonsaiで修正コードはまる見え
しかもコメントから非公開バグに関する修正であることまでバレますので、
隠すことに関してはそれほど参考にならないかと。
# あそこのプロダクトを安全に使いたいなら、安定ブランチのナイトリー
# ビルドを追いかけるくらいは覚悟するのが吉。英語版になりますが。
隠すよりもリリースごとに修正バグを公表することや旧バージョンの
メンテナンスに反映させるやり方を参考にすべきでしょうけれど、
まず各国語版が揃いませんとしようがありませんわね。
Re:主要N言語版を同時リリースできるまで英語版を遅らせる (スコア:1, すばらしい洞察)
N=1であり、それが英語なだけで。
Nを増やしても「何で○○語が入ってないんだ」ともめるだけかと。
# 全部にする?
Re:主要N言語版を同時リリースできるまで英語版を遅らせる (スコア:0)
間違っても日本語は主要言語に含まれないと思います。
もし含まれたとしても、その理由は「日本人は英語が分からないから」
という、実に恥ずかしい理由だったりするから素直に喜べないな。
間違いなく日本語は主要言語です (スコア:1)
使用人口という、日本語にとって必ずしも有利でない尺度で比較するとこうなります。
- 中国官話 (Mandarin Chinese) 882M
- スペイン語 326M
- 英語 312M
- ヒンディー語 182M
- ポルトガル語 179M
- ベンガル語 173M
- ロシア語 146M
- 日本語 128M
- ドイツ語 96M
- 呉語 (Wu Chinese) 78M
但し "CIA World Factbook 2005" の孫引きです。一方で、経済活動にもとづいて言語を選択するということも重要です。
例えば Apple Computer は、必ずしも世界中でコンピュータを売っている訳ではありませんが、
通常は日本語を含む15言語に対応しています。さらに絞り込むときは、ドイツ語、英語、
フランス語、日本語という4言語にのみ対応しています。(さらに、開発ツールは英語でしか
使えないことが多々ありますが、日本語で使うソフトウェアの開発には支障ありません。)
無料のオフィススイートである OpenOffice.org の場合には、Apple ほど「お金持ちシフト」をしく
必要はないと思いますが、やはり、コンピュータを買える程度のお金持ちがたくさん使っている
言語に対応することが効果的です。
Re:主要N言語版を同時リリースできるまで英語版を遅らせる (スコア:0)
Re:主要N言語版を同時リリースできるまで英語版を遅らせる (スコア:0)
緊急度は5段階の4(High Critical)? (スコア:2, 興味深い)
単に(MS Officeに比べ)シェアが低いから、世界的な目で見ると影響が小さい、という程度のことなのでしょうか?
教えて、エロい人。
Re: エロくなくてごめん…… (スコア:5, 参考になる)
今回はそうでないので4がついたようですね。
Re:緊急度は5段階の4(High Critical)? (スコア:4, 参考になる)
Typically used for remotely exploitable vulnerabilities that can lead to system compromise.
Successful exploitation does not normally require any interaction and exploits are in the wild.
Highly Critical (4 of 5):
Typically used for remotely exploitable vulnerabilities that can lead to system compromise.
Successful exploitation does not normally require any interaction but there are no known exploits
available at the time of disclosure.
だそうです。
http://secunia.com/about_secunia_advisories/
Re:緊急度は5段階の4(High Critical)? (スコア:2, おもしろおかしい)
・パソコンから紫の煙が出る。
・原子力潜水艦から核ミサイルが発射される。
などです。
apt-get upgrade みたいなのは? (スコア:2, 興味深い)
「おまえら OOo だってそこそこ使えるから MS-Word でないといけないもの以外は OOwriter でいこうぜ」と言ったばかりなのです。
アップデートめんどくさいとか思われると普及させにくいです。
コマンドプロンプトから apt-get upgrade でもいいですし、ファイルメニューかヘルプメニューでもいいですから、一発でセキュリティフィックスかけられる仕組みがほしいです。
Windows ですから再起動かかってもいいです。
自動更新(ダウンロードは自動でインストールは手動とか、インストールまで自動でも可)でもいいですし。
Re:apt-get upgrade みたいなのは? (スコア:1, 参考になる)
ような自動更新は出来ないようです。
そのものズバリの以下のIssueがあがっています。
(課題 62948) auto-update feature for OpenOffice please [openoffice.org]
賛同する人が多ければ、優先順位もあがるのではないかと思います。
# 早速投票してみたのでAC
Re:apt-get upgrade みたいなのは? (スコア:0)
が、利用したことがないので、どの程度の使い心地かは知りません。
>自動更新(ダウンロードは自動でインストールは手動とか、
>インストールまで自動でも可)でもいいですし。
Firefoxのように自動で確認して、次回起動時に自動インストールって機能があったら一番いいかも。
「更新の確認」は・・・ (スコア:2, 参考になる)
OKか何か押すとダウンロードページ開いてくれるという・・・
Firefoxのアップデートは何も考えずに使いたい人にとっては秀逸ですね。
OpenOffice.org 2.1 日本語版リリース (スコア:2)
はえぇ。 (スコア:1)
バグっちゃあバグなんだが…… (スコア:1, 興味深い)
Re:バグっちゃあバグなんだが…… (スコア:1, おもしろおかしい)
許してあげなさい。
悪いのはWMFの仕様を決めたM(ry
Re:バグっちゃあバグなんだが…… (スコア:0)
あいやー (スコア:1)
入れてくれって無茶な要求してきたんでOO.o 2.0入れてきたのに。
お盆・・・じゃ遅いかな。
日本語版出てから考えようorz
Re:あいやー (スコア:1)
対策? 運用で回避でしょ。 (スコア:1, 興味深い)
渡しておかないとか、特定のソフト以外の実行を禁止しておくといった
あたりは今回の話以前に行っていて当然、とまでは言わないにしても
なるべくやっておくべきですよね。
その上で、WMF/EMF形式ファイルはわざわざOOoで開かないようにする。
一言で言えば運用で回避する、ですね。
#WMFだったら普通WMPあたりに関連付けしてるからOOoで自動実行
#みたいなことにはならんでしょ?
それで拡張子を偽装しているファイルはどう処理するのか分からないけど、
それを用心するなら、外部からもらってきたデータをOOoで
読み込む場合は中身をバイナリエディタで確認してから開くとか、
その程度の運用で何とか回避できるんじゃないですか?
バイナリエディタ云々は、あまりPCに詳しくない人にやらせるのは
無理でしょうけども。
Re:対策? 運用で回避でしょ。 (スコア:3, 参考になる)
WMFやEMFというのはベクタグラフィクスの画像フォーマットで、ファイル単体で使われることはまずなくてWord文書などに埋め込む形で使用されています。
ファイル単体ではイメージビューアに関連づけられているようですが、文書ファイル中に埋め込まれているWMF画像をOOoが描画しようとしたらコケるという話なので関連付けで回避しようというのは難しいです。
Re:対策? 運用で回避でしょ。 (スコア:1)
動画ファイルかと勘違いしていました(汗)
言われてみれば確かにそうで、前にもWindows自身で脆弱性ありとして
話になっていました。
埋め込みファイルとなると、確かに関連付け云々は無意味です。
Re:対策? 運用で回避でしょ。 (スコア:0)
タイトルが意味不明 (スコア:0)
だが、何なんだ? 誰か解説して。
Re:タイトルが意味不明 (スコア:2, 参考になる)
Re:タイトルが意味不明 (スコア:1)
#注目集めつつあるのに誰もしないって事が裏付けられてる?
だが (スコア:1, すばらしい洞察)
Re:だが (スコア:2, 参考になる)
最終版かどうかは不明ですが。
Re:だが (スコア:2, 参考になる)
http://journal.mycom.co.jp/news/2007/01/05/365.html [mycom.co.jp]
1月5日付けでリリースされたようです。
Re:タイトルが意味不明 (スコア:1, おもしろおかしい)
なんと答えたらいいのやら (スコア:0)
> OOo日本語版ユーザーの皆さんはどうされる予定ですか?
ここの部分、何を聞きたいんだろう? 「使えるのを待ってアップデートする」以外の答えを期待しているのでしょうか? 「いまのところ対策は見つかってません。みなさんはどうしますか?」ならさまざまな意見もでるでしょうけども。
Re:なんと答えたらいいのやら (スコア:2, 参考になる)
さっきメールチェックしたら「OpenOffice.org 2.1日本語版をリリースしました」ってアナウンスがありましたよ。
って、答えればいいのではないかしら。
あとはRingにミラーが行き渡るのを待ってからダウンロードするってことね。
でもメールに書いてあったダウンロードページ [openoffice.org]は、今のところページがあがってないらしいようで、見ることが出来なかったです。
OOO2.1RC2については課題 71978 [openoffice.org]にあるようですので、動作テストに協力したい方は眺めてみるといいかも。
大槻昌弥(♀) http://www.ne.jp/asahi/pursuits/ootsuki/
使うのをやめる (スコア:1, すばらしい洞察)
> 「使えるのを待ってアップデートする」以外の答えを期待しているのでしょうか?
MS Office で散々言われてきた「嫌味」などいかがでしょうか?
「OOoを使うのをやめる」
「代替品としてMS Officeを使う」
あと、英語版を使うというのもありです。
対策が取れない多言語版を使っているユーザを置き去りにして
重大脆弱性の詳細をばらしちゃう開発元のアプリって、使っていいの?
Re:なんと答えたらいいのやら (スコア:0)
以前も紹介されてたけど (スコア:0)
http://osdn.jp/projects/waooo/ [osdn.jp]
代替可能なソフトがない? (スコア:0)
「しばらく Firefox or Opera に切り替えるか」
とか一時的な代替手段もあるだろうけど、OOo の ODF の場合は
容易に入手可能な代替ソフトがない...?
Linux/*BSD なら KOffice とかあるけど、Windows だったら
有償製品+プラグインで読み込みとかになるような。
もっとも、OOo を毎日毎時間、信頼できないところから入手した
ODF なファイルを常に開かないとどうしようもないというケースは
あまり多くはないような気もするので
「修正版が出るまで利用しない」とか
「信頼できる所から受け取った文書だけに限る」とか
そういう事で現実的な程度に回避可能な気もする。
非英語版のリリースが遅いって騒いでいる人は OOo を毎日毎時間
使い続けて、しかも信頼できないところから入手した ODF な
ファイルを常に開かないとどうしようもない人なのだろうか。
管理者とか (スコア:0)
・ユーザーは何をするかわからない
・ユーザーは言っても聞かない
ひやかし (スコア:0)
これも互換性なんですね:p