カテゴリー
everyday life

夏みかんのマーマレード。

夏みかんのマーマレード 今年のホークス,今のところ,そこそこ勝っている。つまり,負ける回数のほうが今のところ少ない訳だが,どういうわけか,時間があって見ているときに,負ける。

 今日はデーゲームで,幸か不幸か,ユックリ見る時間があった。昨日も,負けたことだし,今日は勝ってほしいのに,なんとも間が悪い。
 でも,見たい。そこで,験担ぎをするのがファンである(笑)。
 チラチラ見る分にはよかろうと,途中から夏みかんのマーマレードを作りながら見ることにした。これ,結構時間かかるし,煮詰めるところに行くまでは,なかなか手があかない。まぁ,煮詰めるときも焦がさないためには,用心は必要だが,私の作り方は,割と焦げないものなんだ。他のみなさんもそうなんだろか。

 薄皮をむいて種を取ったり,外皮を切ったりと手を取るので,台所で作っていると,茶の間のテレビに映っている試合は,否応なくチラ見になる。そんなこんなで,わりかし試合の進行が速かったせいもあって,煮詰めに入るころには,試合も終わりに近づいていた。

 なんと,勝っちゃったよ。1-0。えーーーっ。勝ったのは嬉しいが,これからますます見れなくなってしまうじゃないか(爆)。

 でもって,ホークスのせいで出来てしまったマーマレードの写真を掲載(滝汗)。鍋のままだと,さすがにみっともないので,一応,ホンの一部分だけ空き瓶に入れてみた。

 蛇足だが,レシピ(というには,あまりにいい加減です)掲載。

  1. 材料
    夏みかん:5個くらい(重さにして,処理前で,多分1.2~1.3kg。別に,何個でもいいんだ。が,鍋の大きさおよび薄皮むきの大変さを考慮のこと。)
    砂糖:適量(目安としては,鍋に入れたミカンの真ん中に山ができるくらい,あとは好み。)
  2. 夏みかんは,自宅の庭のものなので,水洗いのみ。ただし,たわしでこすって汚れはしっかり落とす。
  3. 外皮をむく。これが結構面倒なので,包丁で夏みかんの上下を切り落とし,縦に8等分してからむく。5個ともむいて,外皮は細く千切りにする(といいつつ,私の場合,長さ3センチ幅5ミリくらいもある)。実の処理は,後回し。
  4. むいた外皮を鍋でゆでる。沸騰させてゆでこぼすを,3回か4回やる。今日は,3回やった。
  5. 4.の作業の間に,さっき後回しにした実から,薄皮と種を取って,実だけにする。包丁で問答無用にぶった切ってるので,実は哀れな状態だが,無視して処理(笑^2)。
  6. 外皮をゆでた湯はしっかり切って,実と一緒に鍋に入れ,中火(かな?)で,気長に煮詰める。
  7. あとは,冷ますだけ。
    以上。

 まっ,かなりほろ苦い,大人の味になります。でも,市販のものより,好き(自分の口に合わせるんだから,当ったり前か)。

カテゴリー
everyday life

「.do が時節柄気になる~」にふいちゃった。

 くりくりさんのコメントに,「おなかいっぱいです」と書きつつも, Gigazine の「IEに重大な脆弱性、サポート終了のWindows XPは修正パッチの予定なし」内の「IEのFlashプラグインを無効にすることが有効な対策」という表現にふいちゃった件も書き添えたが,も1個,セキュリティネタでふいた件を書いておこう。

 例によって,徳丸さんとこを見に行ったら,「三井住友VISAカードのフィッシングサイト」って話で,よくあるフィッシングメールの検証をやってくれていた。

 まっ,ためになる話ではあるんだがよくある話だし,私としては,検証結果より,彼が使っている検証環境が,どんなものかのほうを教わりたいなと思う,今日この頃,ナンチャッテ。「中身を見てやろうと検証環境を起動しました。閲覧しただけでマルウェアに感染するかもしれませんので…」と書かれてあるもんで,ハハハ。

 で,最後の一文でふいちゃった。
   「拡張子の .do が時節柄気になるところではありますね。」
だってさ。だよねー。もしかして,これが書きたいばっかりに,このネタで記事を書いたのではないかと,勘ぐったりして(爆)。

カテゴリー
everyday life

関係ないと思っていたんだが, Apache Struts の脆弱性。

投稿アップデート情報  追記(4/28) ~ 追記8(2017/9/6)

 関係ないと思っていたんだが,大いに関係あるらしいワ, Apache Struts の脆弱性!! 発端は,「Struts 2」でって話だったんだが,「Struts 1」にも同様の脆弱性があるらしいという話になった。

 そんでもって,なんと,[「e-Taxソフト(WEB版)」、「確定申告書等作成コーナー」、「NISA(日本版ISA)コーナー」 サービス停止のお知らせ(重要)平成26年4月25日(4月30日,復旧のお知らせがリリースされ,サービス停止のお知らせは消えた。アーカイブ版として,うちに保存していた分にリンクを貼っておく。こんなのだった。)]は,「Struts 1」を使っていたせいなんだと。私も利用させてもらってるよと,「確定申告,済みました?」に書いた「確定申告書等作成コーナー」もしっかり含まれている。使っていた当時は,問題なかったのでありましょうか?そう思いたい。提出のため国税庁に送信,ってことをしなければ,大丈夫なんだろか。どっかにわが経済事情が飛んでってないよね,もしもし,国税庁様っ!!

 まあ,「Struts」の今回の脆弱性は,「Struts 2」にもあるから,どうしようもないが,天下の国家機関がいつまでもサポートが終わってるもんを使うなよなぁ。せめて,こういう事態が発生したら,すぐに「Struts 2」に切り替えられる地点には達しておいてほしいよなぁ。とはいえ,前記のごとく,今回は「Struts 2」にしても問題は全く解決しない。

 「Struts」の件,本当にどうなるのかネ。「Struts」って,種類としては,Webアプリケーションフレームワークってことらしいが,外部からではインストールされているかどうかの診断は,なかなか難しいらしいことを読んだ。デフォルトでのインストールの場合,strutsって名前のディレクトリなりファイルなりができるようだから,サーバ内をローカルで調べてみるといいらしいよ。でもって,見つかった場合は,どうするかっていうと,こんなところ

 出来るもんなら,関連サービス停止してアンインストしてしまったほうがいいんだろうが……。

追記(4/28):
 出ましたよ。 S2-021Struts 2.3.16.2 へ,緊急にアップグレードしてくれになっている。といいつつ,同ページに,一応,それができない場合の回避策も,書かれているけど。

 しかしなあ,今度は大丈夫かね。前回も, S2-020 の直後に, exploit が出回ったみたいだからなあ。

 それと,「Struts 1」についてはどうなるんだろ。きっちりしたサポートのあるメーカーのミドルウェアとして使っている場合以外,自分で exploit に対応できる実力がないなら,サクッと使用をあきらめたほうがいいかもよ。

追記2(5/7):
 えっと,さらに S2-022 が出た。もぐらたたき状態になってるように感じるが……

追記3(2016/4/28):
 アクセス数は正直だねぇ。 Apache Struts 2 の脆弱性 (S2-032) に関する注意喚起が出たら,ピンと跳ね上がりましてん。でも, DMI(Dynamic Method Invocation) って,今どき,デフォでオフでないの?って思ったけど,本記事を書いたときも,古いの使っているところが多くて驚いたからなぁ。今回もいっぱいあるんだろ。ありがたくないワァ!!

追記4(2017/3/14):

 昨年末より,さぼり気味の我がブログ。この件もうっちゃらかしにしてたんだが,アクセスログを見ると,この古い記事に結構あちらこちらから訪問者がいらっしゃる。で,本日重い腰を上げてこの追記。まぁ, twitter ではつぶやきもしたんですがね。こんなの☟。

 今回の脆弱性は, CVE-2017-5638 というやつで, Apache Struts 2 の Jakarta マルチパートパーサーに元があるらしい。したがってマルチパートパーサーとして Jakarta は無効になってて,別のを使っているよということなら,回避できてることになる。
 あるいはすでに Fix 済みの新バージョンが出ているので,それにアップデートする。 2.3 系なら 2.3.32 に, 2.5 系なら 2.5.10.1 に更新すればよいということらしい。

 最近は,新しいのが出たら早いとこ更新したほうが身のためですよ。例の WordPress 4.7.2 の件もあったし。

追記5(3/17):
 「JakartaStreamMultiPartRequest についても、本脆弱性の影響を受け、攻撃が 実行可能な場合があるとの情報を受け取りました。」だそうです。
情報 URL: Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起

追記6(3/21):
 S2-046PoC が GitHub に出てます。

追記7(3/24):
 Apache Struts 2 Exploit Analysis の記事を見たので,それも含めて,ツイートをリンク。

追記8(9/6):
 また出てましたね。「Apache Struts 2」に深刻な脆弱性の話。主として S2-052 の話で CVE-2017-9805 の関連ですね。

カテゴリー
everyday life

お山の石楠花 (2014)。

The same article in English

 昨日も大変にいい天気だったので,友人とシャクナゲを見に,英彦山花園を訪ねてきた。昨年より,少し遅めで,その分,花も咲きそろっていた。

 今年,初めてのトカゲを見た。ヘビよりはずっと素直にかわいいと思える(爆)。いつも通り,奉幣殿にお参りをし,お御籤をゲット。

 では,毎度ながら,お写真をば!!

図1 シャクナゲとヤマブキ
図1 シャクナゲとヤマブキ
図2 シャクナゲ
図2 シャクナゲ
図3 クマバチ仕事中
図3 クマバチ仕事中
図4 プリムラ
図4 プリムラ
図5 春紅葉
図5 春紅葉
図6 ツバキ
図6 ツバキ
図7 八重桜
図7 八重桜
図8 ニホントカゲ
図8 ニホントカゲ
図9 モクレン
図9 モクレン
図10 三の鳥居
図10 三の鳥居
図11 春紅葉に染まる山
図11 春紅葉に染まる山
図12 ドウダンツツジ
図12 ドウダンツツジ
カテゴリー
Vulnerability

Web-based DNS Randomness Test。

 「(緊急)キャッシュポイズニング攻撃の危険性増加に伴う DNSサーバーの設定再確認について」について記事を書いたときに, Web-based DNS Randomness Test についてギャンギャン言って,ギャンギャンいうだけじゃあまりにも無責任なので,サイトのアドミンにメールしてみたのだが,その返事が今日来た。

Hello!

Thank you for your note. The problem as you show is with the main website, but this isn’t replicated across the various websites that we have, including the DNS Randomness test, since that uses another website server with different versions of software. But in any case, I do really want to replace the certificate at least, besides updating a very old system that supports www.dns-oarc.net. Again thank you, we are working on this.

ということなので,私が送ったテスト結果はメインのサーバに関してのものだが,「DNS Randomness test は別の Web サーバでかつ別のバージョンのソフトで動いているから大丈夫ですよ」という返事だ。さらに,少なくとも証明書は置き換え,メインの www.dns-oarc.net が乗っかっているシステムも新しくするつもりだと付け加えてある。

 ということだと, Web-based DNS Randomness Test は,一応,大丈夫ということになるのかなと思うのだが,この返事を読んで別のことが心配になってしまった。彼が書いてきたことが本当だとすると, Heartbleed testHeartBleed Bug が,どういうチェックの仕方をしてくれているのかということだ。

 私のドメインで動いている Web サーバはたった1台の PC だが,通常は複数であるほうが当たり前だ。だから,当然,そのドメインでつながっているサーバをすべて調べて,1台でも変なのがあれば,警告を出してくれてるんだと思いたい。まさか,てっぺんに立っている代表だけを調べてるわけじゃないよな。

カテゴリー
everyday life

すっかり,葉桜。

The same article in English
投稿アップデート情報  追記(4/21)  追記2(4/22)

すっかり,葉桜
すっかり,葉桜
 3月26日に,「開花宣言。」というのを書いたのだが,本日,英語ブログのほうで,「庭のお花がきれいですね」というコメントをもらって,そういえば,すっかり葉桜だなあと,カメラに納めてきた。桜花と違い桜葉は1枚では何とも寂しいので,右のような画像と相成った。
 
 今回は,庭のほかの花たちのみならず果実たちも,表にて,お供させておきます(爆)。

図1 チョウセンヤマツツジ
図1 チョウセンヤマツツジ
図2 チョウセンヤマツツジ
図2 チョウセンヤマツツジ
図3 エゾヤマツツジ
図3 エゾヤマツツジ
図4 イキシア
図4 イキシア
図5 アイリス?
図5 アイリス?
図6 ヒナゲシ
図6 ヒナゲシ
図7 ムスカリ
図7 ムスカリ
図8 オオマツユキソウ(スズランズイセン)
図8 オオマツユキソウ(スズランズイセン)
図9 シャガ
図9 シャガ
図10 セイヨウオダマキ
図10 セイヨウオダマキ
図11 杏
図11 杏
図12 梅
図12 梅

追記(4/21):
 図7 の名称,ムスカリ。図8の名称,オオマツユキソウ(スズランズイセン)。
 FHさんに教えていただきました。FHさん,ありがとうございました。

追記2(4/22):
 図10は,葉を見ましたら,セイヨウオダマキでした。育ちが悪くて,花がチョー情けなくて,花の苦手な私には,全くの別物に見えました(汗)。

カテゴリー
WordPress

ただいま日本語版待ち,WordPress 3.9。

The same article in English
投稿アップデート情報  追記  追記2(6/22)

 WordPress 3.9 が出た。ただし,我が家は,日本語版待ち。皆さんはいかがですか。

追記:
 さっき,20:20ごろ, WordPress 3.9 日本語版にアップグレードした。機能は,特に問題なく働いているのだが, 3.8.3 のとき同様,またもや Warning! Problem updating https://SITENAME. Your server may not be able to connect to sites running on it. Error message: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure が出た。なんでだろう。少し,真剣に調べてみないといけないかな。

 WordPress 3.9 関係の資料。 Codex(日本語), Blog(日本語), Changelog.

追記2(6/22):
 WordPressでの「SSL3_READ_BYTES:sslv3 alert handshake failure」を解決というのを書いた。

カテゴリー
Vulnerability

(緊急)キャッシュポイズニング攻撃の危険性増加に伴う DNSサーバーの設定再確認について。

投稿アップデート情報  追記  追記2(4/16)  追記3(4/16)  追記4(4/19)

 JPRS 様のおっしゃるところによれば,「(緊急)キャッシュポイズニング攻撃の危険性増加に伴う DNS サーバーの設定再確認について」なんだそうで,ございまする。

 DNS サーバーの設定についてのナンチャラカンチャラは,去年もイッパイあったが,先日の CVE-2014-0160 と手に手を取って,パーティやるっち,考えるだに恐ろしい。

 Web-based DNS Randomness Test てのがあるみたいなんだが。何の脈絡もなく,フッと,そのサーバ www.dns-oarc.net を Heartbleed test でチェックしてみたんよ。ほしたら, VULNERABLE かつ Please take immediate action! になったよぉ。えーーーっ。

 この世は,どうなっとんじゃ。

追記:
 テスト結果が 100% 正しいと言えないのは,百も承知だが, heartbleed test でのテストでも, www.dns-oarc.net は Server is vulnerable to all attacks tested, please upgrade software ASAP. という結果になった。どうすんのー?

追記2(4/16):
 www.dns-oarc.net で, DNS Randomness チェックするときにさ,何にも入力するわけではない。だから,個人情報なんかを抜かれるとは思わないが,しかし,これだけ HeartBleed Bug について大騒ぎしてるのに,こういうたぐいのサイトのアドミンが今まで対処していないことに,ガックリ来て,信頼できなくなっちまうわけよ。カミンスキー祭りなんかあって,みーんなが www.dns-oarc.net でチェックしたりすると,このサイトの脆弱性が巡り巡ってどこに影響するかわからないのが,ネットの世界だからなぁ。
 このガックリは,先のスラドのリンク先で見た,「なぜ Theo de Raadt は IETF に激怒しているのか」の Theo de RaadtIETF への怒りにも通じるところがあるような気がする。
 こーんだけ, HeartBleed Bug で大騒ぎしている最中に,警告を出した JPRS がその警告ページに www.dns-oarc.net へのリンクを貼るなら,直接関係はないにしても, HeartBleed Bug の対応が済んでるかくらい,チェックしてから貼んなよということだ。

 しかし,この件はどこにコンタクトをとったらいいんだろう。 admin at dns-oarc.net にメールしてみるかな。

追記3(4/16):
 「強烈なDNSキャッシュポイズニング手法が公開される」。
 「もうなんか,ついていけない」って,素人のつぶやき。上記のページやその中のリンクを見に行くと,どうすりゃいいんだという気になる。難しすぎてよくわからないところも多いが,一般の人も多大な影響を受けるということはよくわかる(出るのは溜息ばかり)。

追記4(4/19):
 上の追記2についてだが,今日,

Hello!

Thank you for your note. The problem as you show is with the main website, but this isn’t replicated across the various websites that we have, including the DNS Randomness test, since that uses another website server with different versions of software. But in any case, I do really want to replace the certificate at least, besides updating a very old system that supports www.dns-oarc.net. Again thank you, we are working on this.

という返事をもらった。私が送ったテスト結果は,「メインのサーバに関してのものだが, DNS Randomness test は別の Web サーバでかつ別のバージョンのソフトで動いているから大丈夫ですよ」という返事だ。さらに,少なくとも証明書は置き換え,メインの www.dns-oarc.net が乗っかっているシステムも新しくするつもりだと付け加えてある。

 ということなんだけどさ。だから, DNS Randomness test については,それなりに大丈夫ということになるのかな。

カテゴリー
WordPress

引き続きまして,WordPress 3.8.3。

The same article in English
投稿アップデート情報  追記  追記2(6/22)

 えーっと,先日,くりくりさんへのコメントで,「マイナーアップデートは自動に任せていい」と書いたばかりなのだが,今回みたいに,ローカライズ関係のファイルが入ってるのに,自動でアップデートされるとまずいかもしれない。

 今回のアップデートファイルには,

wp-admin/includes/upgrade.php
wp-admin/includes/post.php
wp-admin/about.php
wp-includes/version.php
readme.html

と, version.php が入っているが,実は, version.php には, $wp_local_package がある。自動アップデートで,ここがなくなると,不具合が起こる可能性もある。日本語版が出る前に自動アップデートされてしまった場合は, version.php を開けて最終行に
     $wp_local_package = ‘ja’;
を追記してやろう。

 ところで, Oiram回避策を使っているにもかかわらず,今回また,
Warning! Problem updating https://SITENAME. Your server may not be able to connect to sites running on it.
が出ている。ただ,エラーメッセージは前と違い, Error message: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure なんだが,どうしたら直るのか,まだわからない。でもって,今回もエラーは一つのサイトについてだけなんだ。そのサイトは,前と同じ。なんでなんだろう?

追記:
 うーん,「朝起きたら,WordPress 3.8.2 だった。」で書いていることと,矛盾してるな(苦)。 3.8.2 の version.php には $wp_local_package = ‘ja’; が入っていなかったけど,何の問題もなかった(アワワワ)。困ったちゃんねぇ(⇒私)。

追記2(6/22):
 WordPressでの「SSL3_READ_BYTES:sslv3 alert handshake failure」を解決というのを書いた。

カテゴリー
Windows

本家のお世話-#100。(MariaDB10へアップグレード)

The same article in English
投稿アップデート情報  追記(6/30)

 3月31日に, MariaDB10 初の正式版が出たので,本日,自鯖上 (Windows7HP+SP1(x86)) の MariaDB を 10 にアップグレードしてみた。アップグレードなんだが,元が MariaDB5.5 なので,手順は前回のアップデートと変わらない。

 何はともあれ,バックアップ。特に, MariaDB と MyDB

 で,アップグレード。

  1. mariadb-10.0.10-win32.zip をダウンロード。
  2. Zip を展開。
  3. コントロールパネル >> 管理ツール >> サービス
    と行って, MyDB のサービスを停止。
  4. MariaDB の中身をすべて削除。その後, bin,include,lib,share の4つとライセンス関係のファイルを MariaDB の中にコピーする。
  5. コントロールパネル >> 管理ツール >> サービス
    と行って, MyDB のサービスを開始。

 以上。

追記(6/30):
 書き忘れていたが,アップグレード後,エラーログを見たら “Please use mysql_upgrade to fix this error.” が出ていると思うので, mysql_upgrade やること。