マイクロソフトも穴だらけだった 127
ストーリー by Oliver
パッチは大切に 部門より
パッチは大切に 部門より
KAMUI 曰く、 "ITProニュースの記事に依ると先日,世界中を巻き込んだSQL Slammer騒動だが他ならぬマイクロソフト自身がパッチの適用を怠って被害を被っていた事が伝えられている。
MS のスポークスパーソン Rick Miller 氏によれば,MS社内の多数のサーバも被害を被り,その中には先週末に利用不能になったMSNのシステムも含まれていたと言う。
Miller 氏は「我々自身も多くの企業と同様,パッチ管理で今苦しんでいる」と語ったが,従来のパッチは「ファイルを手作業でコピーする必要がある」など適用が難しかった。流石に今回の事態は堪えたのか?実行形式で適用が比較的容易なパッチを作成して公開している。(英語サイト(MS02-061, 日本語サイト(MS02-061))
「パッチの効率的な管理は,取り組まなければならない重要な課題として,これまでになく強く認識するに至った」という氏の言葉で,逆に今までそれ程軽く見てたのかという印象を強めてしまうのはやはりマイクロソフト故でしょうか?"
皆さん,色々仰いますが… (スコア:5, おもしろおかしい)
あくまでわざとです。故意に感染させてデータを取っているのです。
繰り返しますけど、今回の感染はわざとです。
元記事のようなコメントは、ウィルスやワームにわざと感染させていると言うのを気づかれないようにするためなのです。
----------------------------------------
You can't always get what you want...
どこから入ったか (スコア:4, すばらしい洞察)
Re:どこから入ったか (スコア:2, 興味深い)
Re:どこから入ったか (スコア:1)
# ずっと電源入れっぱなしで持ち運ぶ?
(´д`;)
Re:どこから入ったか (スコア:1)
なんていうことはありそうです。元々がテスト用だったりしたらセキュリティにもそれほど気を払わないと思いますし。そんなものを持ち出すなというのは正論ですが、実際には急に必要になって手元にあったものを持ち出してしまうというのはありがちな話なのではないでしょうか?
こういう感染経路をきちんと特定して、その感染経路で二度と感染しないようなシステムをきちんと作り上げていくというのが必要だと思うのですが、そこにきちんとお金と時間をかけている組織は実際のところ少ないのではないでしょうか?
Re:どこから入ったか (スコア:1)
Re:どこから入ったか (スコア:1)
#つまり、社内にクラッカーがいて、そのワームがM$内のSQLに感染し、それが外に出て……。
ひょっとして (スコア:3, すばらしい洞察)
加害者の面は? (スコア:2, すばらしい洞察)
| MicrosoftのスポークスパーソンであるRick Miller氏は,
| Microsoft社内のサーバー・マシンの多くもSQL Slammerの
| 被害に遭ったことを認めた。
加害者にはなってないのか?
言い訳用? (スコア:2, おもしろおかしい)
嘲笑ってる場合じゃない。 (スコア:2, すばらしい洞察)
あくまでユーザー視点で語ってる点は見習うべき所なんだぞ。
ついでにセキュアなOSとは、穴が空きにくいのではなく、
穴を塞ぎやすいOSである、という観点からすれば
M$が決めた方針は大正解と言えるはず。
…もっとも、パッチ強制化を目指しているのなら大間違いだと思うが。
Re:嘲笑ってる場合じゃない。 (スコア:2, すばらしい洞察)
ゲイツ自らパッチを推奨した二日後に自分も被害を受けたのが外にばれて
「...いやあ、やっぱりパッチはあてなきゃねえ」とマヌケきわまりないコメントをしただけのこと。
この状況で他に何が言えるっていうんだ?
Re:嘲笑ってる場合じゃない。 (スコア:2, すばらしい洞察)
>穴を塞ぎやすいOSである、という観点からすれば
ソースを見れても改変も出来ないOSのどこが穴を塞ぎやすいのでしょうか?
Re:嘲笑ってる場合じゃない。 (スコア:1)
それもそうだけど、俺はソース見れなくてもいいからきちんと
したパッチを・迅速にリリースしてくれればそれでもいいんで
すけどね。今はそれすらもないので。。
(I can't get no) satisfaction
Re:嘲笑ってる場合じゃない。 (スコア:1)
もかけてる、世界最大扱の企業の発言だって視点も、ユ
ーザーは持つべきだよ。
Re:嘲笑ってる場合じゃない。 (スコア:1)
からであって、その額が膨大であるからといって立派だとはいえない。
むしろ、それだけお金をかけていながら、他のソフトウェアと比べて
必ずしもセキュリティが高くないことは問題だと思う。
Re:嘲笑ってる場合じゃない。 (スコア:1)
>からであって、その額が膨大であるからといって立派だとはいえない。
>むしろ、それだけお金をかけていながら、他のソフトウェアと比べて
>必ずしもセキュリティが高くないことは問題だと思う。
そうだよね…。
私もそう感じました。
マイクロソフトは莫大な金があるから、優秀な技術者も集まるだ
ろうし、必要な人数を取ることも難しくないだろうし、社会的な
権力は絶大だし、組織化されているし、開発環境も整ってるはず。
なのに、なんか足りないような気がする…。
Re:嘲笑ってる場合じゃない。 (スコア:1, すばらしい洞察)
> ろうし、必要な人数を取ることも難しくないだろうし、社会的な
> 権力は絶大だし、組織化されているし、開発環境も整ってるはず。
真に優秀な技術者は・・・
1)金で動かない
2)権力に惹かれない
3)環境は自ずとついてくる
というコトではないか?
田中 耕一氏を見てるとそんな気がするので AC
Re:嘲笑ってる場合じゃない。 (スコア:1)
>2)権力に惹かれない
>3)環境は自ずとついてくる
>
>というコトではないか?
うん。ほんとに、そうかもしれない。
環境は自ずとついてくるかあ…。
Re:うーん (スコア:1)
いずれにせよコマンド一発で穴塞ぎという時点で「自分ではない誰か」を信じて穴を塞いでいるわけですよね。
だとしたらそれがオープンソースかどうかは関係なくて、パッチを作った相手を信用するかどうかでしかないと思います。
#ソースを確認してからapt-getやup2dateをされているんでしたらこの意見は的外れですが。
今年の目標考え中
そういえば... (スコア:1)
その昔、www.msn.co.jpからNimdaが大量ダウンロードされた事もあったような。
そして今回もMSNのようですが。
# 国が違うから関係ないって事すか。
しかし、冷静に考えれば (スコア:1, 興味深い)
同じ結果になっただろうなと思うのと恐いですね。
たぶん、MySQLやPostgreSQLのシェアって販売数で表にでにくいけど
インターネットサーバとしての Windows+MS-SQLなんかより大量に
使われてるでしょうし、数が多いだけに、セキュリティ対策されてないものも
多いだろうし、設定が甘いのも多いのでは?
PC-UNIXだから安心って事はありません、
今回の教訓を活かして設定を見直しましょう。
と自分に言い聞かせてみる。(^^;
# MySQL/Postgresで今回のようなウイルスが出たら
# MSのことだから先10年はネタに使うでしょうね。(^^
最近多いですね (スコア:1)
# 策士、策に溺る?
あえて言わせてもらいます (スコア:1)
どういう新しいネタが含まれているの。
投稿内容読んでも何ら新しい発見は在りません。
ベンダーが自分の所でパッチ当て忘れて、恥掻いたってだけじゃないか。
SUNとかIBMがやった場合も、たれ込むのですか?
ここまで書いて、荒らしとか、フレームの元とかモデレートされるようなら、スラドもそれまで。
MSは好きじゃないので敢えてアカウント。
Re:あえて言わせてもらいます (スコア:1)
#モデレートにたいしては私も疑問はあるし、このコメントは明らかにフレームだと自覚しているのでID
nobuo * Who's gonna die first? *
皆さんはどうしてます ? (スコア:1)
皆さんはどうしてます ?
Windows Update ?
SUS ?
News サイトの情報
# MS のサイトは情報が多すぎて溺れてます。
# しかも mozilla だと表示崩れること多いし。
Re:皆さんはどうしてます ? (スコア:2, 参考になる)
TechNet [microsoft.com]
Web ページからだと溺れてしまう人は、TechNet Flash [microsoft.com] (ニュースレター) も取っておいたほうがいいかと。
ZDに記事が上がってますね。 (スコア:1, 参考になる)
問題点が書かれてますね。
一般レベルで信用されてないのは周知のようです。
パッチする度におかしくなっていくためパッチしない。結局悪循環...
M$の社内サーバ感染にも触れられてますが、詳細は不明
#M$が何を言ってももはやシェア低下は避けられい状況かと。
#マクロソフト発のアタリショックが散らつく...
MSがこんなことを言うなんて変だな。 (スコア:0)
Re:MSがこんなことを言うなんて変だな。 (スコア:2, おもしろおかしい)
かの会社は従業員一丸となってやっている、とは限らないわけで、足の引っぱりあいがあるのかもしれない。
MS社内でも最新のパッチは信用できないから人柱がたってから適用しよう、と思っていたら被害にあった?
Re:MSがこんなことを言うなんて変だな。 (スコア:1, 興味深い)
#ちょっと期待
隠している所ってばれた時に信頼が失います。
M$は標準状態で信頼がありませんから信頼されるように方向転換でも考えているのでしょうね。
他情報
世界規模ネット障害、自治体などのコンピュータも感染 [yomiuri.co.jp]
対策するかIISを捨てるか迫らえているような気がするね。
インターネット保安措置しなければ「処罰」 [chosun.com]
原因となった韓国政府対策です。危ない物には蓋をしろって事です。
半数はコピー品らしいですが…安全性の点で考えてもM$製品は激減するでしょうね。
何はともあれ対策の早さは日本も見習うべきでしょう。
今後は、経済状態を考えてもM$関連は激減するでしょうね。
供給過剰でパソコンは売れてないといってもまだM$が続きそうですが
日本のメーカの1つでも採用を止めれば10~20%のシェアは簡単に落ちますからね。
Re:MSがこんなことを言うなんて変だな。 (スコア:1, 参考になる)
だそうですよ。(某中村氏が、成毛氏と比べるネタにしそうですね。)
相変わらずおバカさん (スコア:1)
しかし.NET Framework SDK標準インストするとMSDEのインストール用バイナリも一緒に入ってくるのは事実だけどな。
それだってインストール時に外せるわけだからデフォルト危険な側に倒れているわけじゃないし。
あ、でも.NET Framework SDKに添付されるMSDEは普通のSPじゃ直らないんだっけ。これ [microsoft.com]使わないと。
Re:相変わらずおバカさん (スコア:1, 参考になる)
MSDE2000が既定でインストールされるモノ
Microsoft Windows XP Embedded #1
Microsoft Windows XP Embedded with Service Pack 1#1
Microsoft Server Appliance Kit 2.0 Add-On Pack
Microsoft Visio Enterprise Network Tools
Microsoft Project Server 2002
Microsoft Application Center 2000
既定ではインストールされないが、選択次第でMSDE2000がインストールされるモノ
Microsoft SQL Server 2000 Enterprise Edition
Microsoft SQL Server 2000 Standard Edition
Microsoft SQL Server 2000 Personal Edition
Microsoft SQL Server 2000 Developer Edition
Microsoft Small Business Server 2000
Microsoft Visual Studio .NET Enterprise Architect (および同 MSDN Deluxe Edition)
Microsoft Visual Studio .NET Enterprise Developer (および同 MSDN Deluxe Edition)
Microsoft Visual Studio .NET Professional (および同 MSDN Deluxe Edition)
Microsoft Visual Studio .NET Academic
Microsoft Visual C++ .NET Standard
Microsoft Visual Basic .NET Standard
Microsoft Visual C# .NET Standard
Microsoft Visual J#
Microsoft Office XP Developer
Microsoft .NET Framework SDK
Microsoft Access 2002
Microsoft Visio Enterprise Network Tools (VENT)
Microsoft Office XP
Microsoft Biztalk Server 2002 Partner Edition
Microsoft Host Integration Server 2000
情報元 [microsoft.com]
# MSDEがなくてもSQL Serverだったら同じなんじゃねえかと思う俄知識AC
Re:相変わらずおバカさん (スコア:1)
書き間違えたんじゃなく元ACの日本語読解能力がないだけだと思う。
「インストール用バイナリ」とただの「バイナリ」は違うんだって。
ユーザが故意に(割に)深いフォルダ階層に沈んでるsetup.exe叩かなきゃインストールプロセスは始まらないんだって。
白状すると実はおれもVS .NETしかインストールしたことない、つまりSDK単体のみでインストールしたことはないんだけど、SDKは通常VS .NETのインストール前、Component Updateの段階でインストールされるから、勝手にMSDEがインストールされるんだったらその時点でインストールされるはずなんだなこれが。
Re:MSがこんなことを言うなんて変だな。 (スコア:2, 参考になる)
先日告知されたのは、バイナリが変わってなかったと聞きましたし。
(こんな類いのものが強制で入れられたら嫌だなぁ…)
はっ! これはもしや、旧OSユーザにバージョンアップさせようとする、MSの新たな陰謀…?<妄想です(笑)
来るべき未曾有の事態に備え。。。。 (スコア:1, おもしろおかしい)
かような事態に備えてシステムは複式、復々式にすべきであります!
そしてさらなる信頼性のためには、それぞれ系は別種のシステムで構成されるべきであります!
いえ、小官の趣味というわけでは決して。。。。
#ぢつは完璧に趣味なのでAC
Re:MSがこんなことを言うなんて変だな。 (スコア:1)
WindowsじゃないPCも用意しておけばいいのでは?
(携帯電話で書き込めると便利なんだが、ここは出来ないのかな?
試したことないけど。auの携帯からできたら良いな)。
(´д`;)
パッチの管理 (スコア:0, 余計なもの)
これからの新機能が大切なんだ。」
とでも言って、M$の支持率ダウン。
PCにECC Registeredメモリの利用を推奨します。
何だかなぁ (スコア:0)
Re:何だかなぁ (スコア:2, 参考になる)
WindowsUpdateでもapt-getでも、なんでもいいので効率よく修正
することが肝要かと。
Re:何だかなぁ (スコア:1, すばらしい洞察)
これくらいは出来るでしょ。
Re:何だかなぁ (スコア:1)
これ。変数毎に新しいセグメントを確保するって事ですかね。
LDT には 8k だか 16k だかのエントリしかなかったと思います。ちう事は「本コンパイラでは 8k 回以上の malloc は使えません」とかになるんでしょうか。それはそれで使い辛いかも。
IA32 ではデータセグメントでのコードを実行不可能に設定するのも可能ではあったと思います。そうすると Linux なんかでは動的ライブラリ(共有オブジェクトだっけ?とにかく Windows で謂うところの DLL)を再実装する必要があるんじゃないかと。当の Windows がどうかは知らんのですが。
Re:データセグメントでの実行禁止 (スコア:1)
Re:何だかなぁ (スコア:1)
なんかOSそっくり入れ替えになりそうな気がするのは気のせいなのか?
Re:何だかなぁ (スコア:1, すばらしい洞察)
いや、笑いたくなる気分はわかるんだけど、普通の製造業の友人と話してて、何で欠陥ある製品を平気で出荷できる訳?理解できんって言われて、苦笑いしかできなかった自分が悲しかった…。
Re:ソフト業界っていいなー(激しくオフとぴ) (スコア:1)
>(機械じゃなくて)きみが郵パックで送られてくりゃ良いじゃないか!
郵パックは20kg以下の重量しか送れません。
#20kg以下なら人でもええんか?(ぉ
#明確に人はだめとは書いてないな [yusei.go.jp]
Re:ソフト業界っていいなー(激しくオフとぴ) (スコア:1)
(´д`;)
Re:何だかなぁ (スコア:0, フレームのもと)
Re:パッチをあてる手間よりも (スコア:1)
パッチを当てたあとに「無事に動くか」検証する手間が大変だか
らパッチを当てるのに躊躇する。
パッチを当てた結果、業務アプリケーションの動作がおかしく
なってトラブったらシステム管理者/開発担当者が怒られる
けどパッチを当てずに放置しておけば、何かあってもクラッカー/
マイクロソフトに責任転嫁できる(いいわけできる)のだ!
どうだろう?
Don't ask me why!