かなり前から Swing Labs http://swinglabs.org/ に繋がらなくなっています。この記事を最初に投稿したのは 2009/10/02 で、Maximum Connections Reached: 4096 — Retry later
と出ていました。
現在私の環境からは swinglabs.org は完全につながりません。接続がタイムアウトします。(ただ、ググるとなぜか出てくるんですよね…。Google はキャッシュも取れているみたいですし)
ググって二番目に出てくる swinglabs.dev.java.net には、取り敢えず接続できます。
KDE SC 4.5 がリリースされました。
ちょっと訳がいい加減ではありますが、一応リリースアナウンスも少し訳しました。
仕事の遅い私にしては早い仕事だったのではないかとww
…ってしまった、’Spread the Word and See What Happens: Tag as “KDE”‘ が翻訳されてないΣ(-_-;
…
そして、早速 openSUSE はリポジトリに KDE 4.5 を入れてくれているので、インストールしてみたら、一部のパッケージを DL できず、KDM が起動しなくなりました。orz
どうしましょ。
It is a little too late to write on the blog, but there are no English information, so I’d like to write about it.
The developer of UnLha.dll is stopping to develop unlha.dll and s/he recommend not to use lha (lzh) format. The announcement is here. (Japanese)
Lha is one of compressed file format and it is very popular in Japan.
But many anti-virus software doesn’t check the contents in lha archive.
Some of you know that many of anti-virus software didn’t check contents of compressed files and security organizations complained about it. (Report of CERT.FI / CVE) Now, most of anti-virus software scan the content of most of compressed files, but still doesn’t scan lha compressed file contents.
And IPA, Japanese governmental organization for IT, and JPCERT/CC, Japanese local CERT, decided not to treat it as a vlunerability and security software vendors won’t address this problem.
KDE セキュリティアドバイザリ: KDM における権限昇格の脆弱性
原文発行日: 2010-04-13
URL: http://www.kde.org/info/security/advisory-20100413-1.txt
0. 参考情報
CVE-2010-0436
1. 影響を受けるシステム:
KDE SC 2.2.0 から 4.4.2 までに含まれるKDM
2. 概要:
KDM には、全ユーザが書き込みできるシステムにおいて、ローカル攻撃者が任意のファイルを作成する競合状態の脆弱性があります。これはユーザのログイン中に、KDM がそのコントロールソケットを作成しようとしている間に起こります。
この脆弱性は SUSE セキュリティチームの Sebastian Krahmer によって発見されました。
3. 影響:
有効なローカルアカウントを持ったローカル攻撃者は、特定の環境下でこの脆弱性を利用して、ルート権限で任意のコードを実行できます。
4. 解決策:
これらの脆弱性を修正した、ソースコードパッチが利用可能です。更新済みバイナリパッケージの入手方法については、使用している OS のベンダや、バイナリパッケージの提供者に問い合わせて下さい。
5. パッチ:
KDE 4.3.x-4.4.x のパッチは以下からダウンロードできます。
ftp://ftp.kde.org/pub/kde/security_patches :
68c1dfe76e80812e5e049bb599b3374e kdebase-workspace-4.3.5-CVE-2010-0436.diff
//////////
KDE アナウンス ML からセキュリティアドバイザリが出ましたので、訳してKDE ML に回してみました。せっかくなのでブログにも上げておきます。
三日も経ってからセキュリティアドバイザリを持ってきても意味ないだろうという意見もあるかと思いますが(^^;
あまり訳には自信がないので、責任ある立場の方は、英文も確認することをお勧めします。
誤訳があったら指摘してやって下さい。
「マイクロソフト セキュリティ アドバイザリ (981374) Internet Explorer の脆弱性により、リモートでコードが実行される」
# 追記: 修正パッチが公開されましたね。私の環境にも Windows Update 経由でパッチが送られてきましたので、影響を受けていた、ということなのでしょうか。
この問題、結局私の環境(Vista SP2 + IE8)は影響を受けるんでしょうか?
Internet Explorer 8 は、この脆弱性による影響を受けません。
と書いてありますし、「影響を受けないソフトウェア」の一覧にもWindows Vista、Windows Vista Service Pack 1、Windows Vista Service Pack 2、Windows Vista x64 Edition、Windows Vista x64 Edition Service Pack 1 および Windows Vista x64 Edition Service Pack 2 の Internet Explorer 8
とあります。
その一方で、「影響を受けるソフトウェア」の一覧にWindows Vista、Windows Vista Service Pack 1 および Windows Vista Service Pack 2
とありますので、一応私は回避策を取る必要があるのかな、とも思ったり。
ちなみに、二つある Fix it のうち、「iepeers.dll のピア ファクトリ用 Fix it ソリューション」の方は、実行してみたら対象外だと言われてしまいました。「データ実行防止用 Fix it ソリューション」の方は、最初から DEP を有効にしているので、適用する必要はありません。
多分私が取れる対処法はこれだけ…なのかな?
Adobe Reader などを get.adobe.com からインストールする時に用いられる Adobe Download Manager (NOS Microsystems Adobe getPlus Helper ActiveX とも) に脆弱性が見つかっていました(US-CERT の情報)が、これの更新が2010 年 2 月 23 日に行われたようです。(IT Media の記事) この日以前に getPlus を用いて Adobe Reader や Flash Player をダウンロードした場合、getPlus がコンピュータ上に残っていると、ソフトウェアが勝手にインストールされる可能性があります。
Adobe の公式資料によると、インストールされていないことを確認するには、
を確認します。
一応「プログラムの追加と削除」から削除できるようですが、 “C:\Program Files\NOS\” を削除し、サービスからも “getPlus(R) Helper” を削除することで脅威の回避ができるようです。
まぁ、タイトルの表現には色々と語弊もあるかもしれませんが、とにかく Firefox 3.6 以降と Java 6 update 10 未満の組み合わせだと、Java ベースのプログラムが動かなくなるらしいです。
Why do I need Java 6 Update 10 and above for Firefox 3.6 and later versions?
より。
とりあえず最新の Java Runtime Environment にアップデートすればOK。
以上、些事ながら。
