スラッシュドットのFacebookページのファンになりましょう。
Apache OpenOffice 3.4がリリースされました(SourceForege.JP Magazinze)。これは、Apache Software Foundation傘下となってから初の正式版です。
OpenOffice.orgはOracleが商標などの権利を所有していたが、2011年6月にApache Software Foundation(ASF)にプロジェクトが寄贈されている。本リリースはASF傘下となっって「Apache OpenOffice」という名称になってから初のリリースになる。
PHPをCGIとして使用する場合にリモートからコマンドライン引数を指定してPHP-CGIバイナリーを実行できるという脆弱性(CVE-2012-1823)が発見され、PHP開発チームはPHP 5.3.12とPHP 5.4.2を公開した。しかし、脆弱性が完全には修正されておらず、改めて脆弱性情報データベースにCVE-2012-2311として登録されたとのこと( threatpostの記事、 Die Eindbazenの記事、 Yet Another PHP Security Blogの記事、 徳丸浩氏のブログ記事)。
この脆弱性は2004年から発見されずに存在していたもので、Apache mod_cgiを使用している環境などが影響を受けるという。悪用されるとリモートからローカルディスク上のファイルを実行されたり、DoSを実行されたりする可能性がある。攻撃者がサーバーにファイルをアップロードできる場合、任意のコードを実行可能となる。広く使われているApache+mod_phpやnginx+php-fpmでは影響を受けないとのこと。
暫定的な回避方法については徳丸浩氏のブログやYet Another PHP Security Blogの記事を参照してほしい。Die Eindbazenの記事にはパッチも掲載されている。仕事やプライベートでPHPを利用されている方は急いで確認をしよう。
ある Anonymous Coward 曰く、
カリフォルニア州のベンチャー「Willow Garage」には、「PR2」と呼ばれる 40 万ドルのヒューマノイド型ロボットがある。PR2 は 2 本の腕を持ち、独立して歩き回るだけでなく、壁にあるコンセントに行って勝手に再充電するルンバ並みの知性がある (本家 /. 記事より) 。
この Willow Garage は次世代ロボットを作るためのオープンソースのハードウェアおよびソフトウェアを普及させている企業で、同社のロボット用の OS はすでに世界中で何百ものロボットに採用されているらしい。Willow Garage のエライ人である Brian Gerkey 氏は、ロボット開発のオープンソース化は「絶対に必要」と強く主張してる。Web アプリケーションの LAMP スタックのように基本ツールセットがロボット産業にも必要なのだという。すでに Apache ソフトウェア財団のようなオープンソースソフトウェア・コミュニティを作ろうという動きも出ているようだ。XCONOMY の記事によれば 5 月には関連したイベントもやるらしい。
米国ではオープンソースのロボットも特許や法律に制限が出てきているので (参考: /.J 記事) 、その辺を踏まえた発言なのかもしれない。
かつて、インターネットの中心技術として「Linux、Apache、MySQL、PHP/Perl/Python」を総称した「LAMP」という言葉が流行ったが、LAMPに代わり次にくるのは「GUNDAM」らしい。
GUNDAMとは「Github Ubuntu Node.js Dropbox AWS MongoDB」の略だそうだ(W3DDD:LAMPは死にGUNDAM (Github Ubuntu Node Dropbox AWS MongDB)の時代へ)。かつては「LAMP技術者募集」というものがあったが、今後「GUNDAM技術者募集」という言葉が求人サイトに並ぶ日が来るかもしれない。
headless 曰く、
今年 1 月、Anonymous の支持者をターゲットにしてトロイの木馬をインストールさせる攻撃が行われていたという (Symantec Connect Community の記事、本家 /. 記事) より。
攻撃が開始されたのは、Megaupload が閉鎖された 1 月 20 日のこと。Anonymous がデータの公開などに使用する Pastebin.com に、DoS ツール「Slowloris」の使い方がポストされた。内容は昨年 5 月に Anonymous が公開したものと同様だが、ダウンロードリンクが変更されており、リンク先の Slowloris には Zeus ボットネットのクライアントが組み込まれていたという。改変版 Slowloris では、DoS 攻撃の裏でオンラインバンキングや Web メールの認証情報および Cookie を C&C サーバーに送信する仕組みになっていたとのことだ。翌日には各種 DoS ツールのダウンロードリンクや使い方のまとめがポストされているが、前日のポストからコピーしたとみられる改変版 Slowloris のダウンロードリンクが含まれており、これが Twitter を通じて広まったらしい。
Apache Software Foundationは21日、Apache HTTP Serverの新たな安定版となる2.4系列初のGAリリース、2.4.1を公開した(公式blog、日本Apacheユーザ会の記事、SourceForge.JP Magazineの記事、Internet Watchの記事)。
Apacheのメジャーバージョンアップは、2005年12月の2.2系列の登場以来6年ぶり。2.4系列では、並行処理によるパフォーマンスの向上や、メモリ使用量の削減、非同期I/Oサポート、動的リバースプロキシ設定などが強化点として挙げている。
GPLおよびその派生ライセンスであるLGPLやAGPLの採用率が加速度的に減少しているそうだ(ITworld、本家/.)。
オープンソースソフトウェアのうち、GPLライセンスが採用されているのは約57%で、今年6月の61%から減少している。この傾向が継続した場合、2012年9月にはオープンソースソフトウェアのうちGPLを採用するのは50%以下になると予測されるという。
これはベンダーがGPLライセンスよりも自由なライセンスによるコミュニティアプローチを採用していることの現れとのことで、MITやApache(ASL)、BSD、またMs-PLといったライセンスが最近のトレンドであるそうだ。
この減少傾向はGPLv3が正式リリースされた2007年から始まっているとのこと。なお、元記事ではGPLv3の登場により「オープンソース支持者の好むGPLv2」と「フリーソフトウェア支持者の推奨するGPLv3」といった構図が生まれ、両者の溝が深まっていったこともGPL離れの一因となっている、との説を紹介している。
「GPL離れが進んでいる」というのは、Black Duck Softwareの調査から分かったとのこと。
CouchDBやMozillaなどに関わってきた開発者Mikeal Rogers氏が、「Apache(Apahce Software Foundation)は有害ではないか(Apache considered harmful」というブログエントリを記している(日本語要約を紹介する記事)。
数々のオープンソースソフトウェアを支援しているApache Software Foundation(ASF)であるが、設立から10年以上が過ぎてその存在意義は薄れているのでは、むしろ有害ではないか、という論調だ。さらに、現在ではGitHubの登場によりプロジェクトへの貢献が容易になっているとも述べている。さらにASFは傘下にSubversionがあることもあってか、gitをあまり好ましく思っていないのでは、という話もある。
個人的にはASFは単にリポジトリやMLといった開発支援環境を提供するだけでなく、さまざまなしがらみがある営利企業とオープンソースプロジェクトの橋渡しをうまく行える点が強みではあるとは思うので、ASF有害論についてはやあ否定的だ。一営利企業であるGitHubへの傾倒もどうかとは思う。そもそも、現在のオープンソース開発支援に必要なのは何だろうか?
sillywalk 曰く、
Apple は 10 月 27 日、可逆圧縮方式のオーディオコーデック「Apple Lossless Audio Codec (ALAC)」のソースコードを、オープンソースプロジェクトとして Mac OS forge で公開しました (Apple Lossless Audio Codec Project のページ)。
ALAC は iPhone、iPod、Mac、iTunes などで使用されている Apple が開発した Codecで、WAV や AIFF といった非圧縮ファイルの音質を劣化させずに 50 % 程度圧縮可能なため、デコードされた ALAC ストリームは、圧縮前のオリジナルデータとビット単位で同一になります。
なお公開されたソースコードは ALAC のエンコーダ・デコーダのほか、Apple の Core Audio Format (CAF) および WAVE ファイルを読み書きするための alacconvert と呼ばれるコマンドラインの実行例などを含んでおり、ライセンス条件は「Apache Licence 2.0」となっています。
Apache Software Foundation (ASF)は10 月18日、オープンソースの分散データベース管理システム「Apache Cassandra v1.0」を公開した(マイコミジャーナルの記事、日本語版Cassandraのページ、SourceForge.JP Magazineの記事)。
Apache Cassandraは元々、Facebook社が自社の大規模データを格納するために開発したNoSQL DB。Amazon の DynamoとGoogle Bigtableの双方の技術を採用しており、大きなものでは 400 台を超えるマシンで構成された 400TB 超の規模でも利用されているとのこと。
Facebook 社はこの技術を 2008 年 7 月に OSS として公開したが、2009年3月に Apache Incubator プロジェクトとなり、2010 年 2 月からは Apache top-level プロジェクトとなっていた。
今回 Apache Cassandra が v1.0 となったことで、これから採用事例が増えるかも知れません。さて、/.J 諸氏の中で採用を検討している方はいますか?
異議申し立ては米国などでPerlの商標を持っているYet Another Societyと、Japan Perl Associationによって行われており、その結果「Perl」はすでに周知・著名であり、また「ラリー・ウォールにより開発され申立人らが管理する著名な引用商標を連想・想起し、商標権者が提供する役務を申立人らと経済的若しくは組織的に何らかの関係を有する者の業務に係る役務であるかの如く誤認し、その役務の出所について混同するおそれがある」とのことから「商標法第4条第1項第15号に違反して登録された」と認定、テラ・インターナショナルによる商標登録が取り消されることとなった。
CentOS 5.7が出るまでのバグフィックスやセキュリティフィックスのためのリポジトリが公開されています。
CentOS-5をインストールしているユーザにはこのリポジトリを使用すること強く推奨しているようです。先日のApache Killerに対応したパッケージもこっちで公開されているようです。
SourceForge.JP Magazineの記事によると、Apache HTTP Serverに存在する脆弱性(CVE-2011-3192)を突いたDoS攻撃ツール「Apache Killer」が出回っているとのこと。
対象となるバージョンは、1.3系および2.x系の全バージョンで、Rangeヘッダの処理に問題があるために、多数のパラメータを持つRangeヘッダを受け取るとメモリを大量消費し、最悪の場合サーバがハングアップする。
徳丸浩氏のブログなどによると、この「Apache Killer」は
Range:bytes=0-,5-0,5-1,5-2,5-3,5-4,5-5,5-6,……,5-1298,5-1299
を含むHEADリクエストをターゲットに送信するという、極めてシンプルなものであるようだ。
Apache HTTPD Security ADVISORYに、暫定的な対策法が紹介されている。なお1.3系のサポートはすでに終了しているため、"Note that, while popular, Apache 1.3 is deprecated."と明記されている。
- Use SetEnvIfまたはmod_rewriteを導入して、多数のパラメータが記述されたRengeヘッダは無視。その際、レガシーなRequest-Rangeヘッダも無視するように設定。
- リクエストフィールドのサイズを小さくする。
- RangeおよびRequest-Rangeヘッダを無視するように設定。
- Rangeヘッダーカウントモジュールを導入
- 暫定パッチの適用
Apache HTTP Server 2.2.20がリリースされているので、2.2系を使用中の場合は更新すればよいようです。2.0系については、まだリリースされていないようですので、回避策を参照し対処が必要なようです。
Cf.) Apache HTTP Server のサービス運用妨害の脆弱性に関する注意喚起
cheez 曰く、
サイバー犯罪集団 LulzSec が今度は米上院のサーバに不正侵入したそうだ (本家 /. 記事より) 。
LulzSec はある意味自分たちの好みで標的を定め、セキュリティを意識させるべく攻撃を加えていた。今回は目標を大きく設定したのか、米上院の内部サーバに侵入して手に入れたデータを公表した (lulzsecurity.com で公開された senate.gov.txt) 。公開されたのは OS 情報、df -h、last、ls -lR の結果、Apache の設定ファイル。
ついこの間までは Anonymous ほどの知名度は全くなかった彼らだが、政府機関への侵入で注目度が上がったのではないだろうか。一種の愉快犯とはいえ、今回はいままでよりも厳しい追求が待っているかもしれない。
また、CNET Japan の記事によればゲーム会社 Bethsda Softworks に DDoS を加えた後に侵入し、全ソースコードとデータベースのパスワードを公開したとのこと。
gera 曰く、
Linuxの古参ディストリビューションSlackwareの最新版であるSlackware13.37がリリースされました(Slackware Release Announcement)。
今回のリリースではマイナーバージョン番号にカーネルのバージョンを使い、「$SLACKWARE_VERSION.$KERNEL_VERSION」という形式のバージョン番号になっています。
主な構成は以下の通りです。
- Linuxカーネル 2.6.37.6(2.6.38.4も同梱)
- GNU C Library 2.13
- gcc-4.5.2
- Apache 2.2.17
- Perl 5.12.3
- Python 2.6.6
- Ruby 1.9.1-p431
- Xfce 4.6.2
- KDE 4.5.5
- Firefox 4.0
- Thunderbird 3.1.9
リリースに先立ちRC(Release Candidate)版が5つ出ているのですが、最後の2つでは少し変わったバージョン番号になっています。SlackBlogsによると、最終のリリースが近づいたので特別な数値を使用したようです (Slackware 13.37 RC 3.14159265358979323846264338327950288419716、 Slackware 13.37 RC 4.6692)。
Stableって古いって意味だっけ? -- Debian初級