o6asan's soliloquy-part2 – ページ 25

CVE-2014-0160関連で調べてみた。

投稿アップデート情報　　追記(4/11)　　追記２(4/16)　　追記３(4/22)　　追記４(5/13)

　通常取引のある https 関係を Heartbleed test で調べてみた。
　　All good, yourCheck.domain seems fixed or unaffected!
と出れば，一応OKという扱いで。 100% の保証はないし，対処がいつだったかもわからないし，証明書関係を作り直しているかどうかもわからないし。と，いろいろ問題はあるが，本日，私が使った銀行，電話，ホスティング関係は，みんな「All good, yourCheck.domain seems fixed or unaffected!」が出た。とはいっても，いつから fixed or unaffected なのかはわからないから，心配は尽きない。 SSL のバージョンが古ければ逆に大丈夫なのだが，その辺は，一般人には調べようがない。

　それから， FFFTP についてなのだが，川本優さん(@s_kawamoto)のツイートで「脆弱性対応済みのFFFTP新バージョンを公開するにはまだしばらく時間がかかるため、可能であれば直ちにFileZilla（OpenSSLではなくGnuTLSによる実装）への移行をおすすめします」ということだったが，一応，暫定版は出ている。

　ものすごく，基本的なことがわかっていない自分に驚きなんだが， SSL 証明書の中には，もちろん， OpenSSL ベースじゃないものもあるわけで，どこの SSL 証明書が何を使っているかというのは，一般消費者側で確認可能なのだろうか。

追記(4/11)：
　考えたら，証明書の期限は簡単に調べられるよね。現時点のわが取引先銀行，電話，ホスティング関係の期限をチェックしてみた。
　　銀行　　2013/06/04 – 2014/08/02
　　電話　　2013/11/12 – 2015/12/04
　　ホスティング　　2013/04/05 – 2016/06/04
　で，これは，どうなんだろう。正式の認証局が再発行する場合，新しくなっても期限は変わらないものですか。それとも，期限が上記の場合は，古いままだと思っていいんですかね。常識的に考えると，発行日は新しくなるべきだと思うんですが。もっとも，もともと OpenSSL での実装でない可能性も大きいわけだが……

　OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見されるの皆の書き込みが，興味深い。クライアントの PC の ssleay32.dll も関係あるんだろうか。

追記２(4/16)：
　脆弱性確認サイトのメッセージだけれども， heartbleed test のほうは，こんな感じ。
—– NG の場合 —————————————————————————————-
Looking for TLS extensions on https://YourCheckSite

ext 00015 (heartbeat, length=1) <-- Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check. Actively checking if CVE-2014-0160 works: Server is vulnerable to all attacks tested, please upgrade software ASAP. ----- Heartbeat の有効/無効の確認後， CVE-2014-0160 に対する脆弱性の判定，警告。----- ----- OK の場合 1 -------------------------------------------------------------------------------------- Looking for TLS extensions on https://YourCheckSite TLS extension 15 (heartbeat) seems disabled, so your server is probably unaffected. ----- Heartbeat の機能が無効なので，多分，大丈夫だろうという判定。--------------------- ----- OK の場合 2 -------------------------------------------------------------------------------------- Looking for TLS extensions on https://YourCheckSite ext 00015 (heartbeat, length=1) <-- Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check. Actively checking if CVE-2014-0160 works: Your server appears to be patched against this bug. Checking your certificate Certificate has been reissued since the 0day. Good. <-- Have you changed the passwords? ----- Heartbeat は有効だが，パッチ済の判定。証明書も再発行済，パスワードは変えた？の確認。---- でもって， Heartbleed test のほうは，こんな感じ。
—– NG の場合—————————————————————————————–
YourCheckSite IS VULNERABLE.

Here is some data we pulled from the server memory:
(we put YELLOW SUBMARINE there, and it should not have come back)

([]uint8) { 00000000 02 00 51 68 65 61 72 74 62 6C 65 65 64 2E 66 69 |..Qheartbleed.fi| 00000010 6C 69 70 70 6F 2E 69 6F 20 59 45 4C 4C 4F 57 20 |lippo.io YELLOW | 00000020 53 55 42 4D 41 52 49 4E 45 20 59 6F 75 72 43 68 |SUBMARINE YourCh| 00000030 65 63 6B 53 69 74 65 3A 34 34 33 F7 96 BF F3 35 |eckSite:443....5| 00000040 87 38 54 6A 02 66 02 4E AF 02 B5 1A 32 A6 61 08 |.8Tj.f.N....2.a.| 00000050 2C CF 2E 0C 4C F3 B7 92 C0 86 E7 86 B0 94 88 A7 |,...L...........| 00000060 0A |.| }

Please take immediate action!
—– 脆弱性あり。当該サーバメモリから filippo.io が置いたデータを引き出し可能。これは，まずい。—–

—– OK の場合 ————————————————————————————–
All good, YourCheckSite fixed or unaffected!
—– チェック結果は全部 OK だったので，多分，大丈夫だろうという判定。——————————————–

追記３(4/22)：
　昨日付で，「国内でもOpenSSL「心臓出血」が悪用、三菱UFJニコスから894人の情報流出か」が出てた。三菱UFJニコス自体のニュースとしては，12日・18日の発表である。私のカードも関連があるので気になったのだが，今のところは，大丈夫そう。

今回問題になっているheartbeat機能によるやり取りは、通常、Webサーバーのログには残らない。このため、悪用した攻撃を受けているかどうかが分からないことが、今回の脆弱性の特徴の一つ。三菱UFJニコスでは、今回の攻撃は「心臓出血」脆弱性を悪用したものであることを特定したとしているが、特定した方法についてはコメントできないとしている。

　ITpro の記事内に上記の引用の表現があるのだが，特定の手段があるなら，教えてほしいもんだよな。公表しても，一般ピーポーにはつかえない特別なシステムがいるのだろうか。または，知られたらすぐに対策されちまうレベルの方法とか？？？

追記４(5/13)：
　まだまだ，後を引きそうだねぇ。セキュリティホールmemoさんも，昨日スマホに関しての追記を書かれていた。

　The list of Android phones vulnerable to Heartbleed bug というのもあったんだが，日本語サイトでは，あまり一覧というのがない気がする。 GALAXY のサイトなんかでも，更新ファイルはあるがその辺の情報にはそれほど触れていない。更新開始日が，4/17とかになってるから間違いなく， HeartBleed 関連だと思うんだけどな。もっとも，スマホ利用の一般ユーザにとっては，スマホ本体にどれだけはっきり，この手の要アップデート情報が届くかのほうが，大事だろう。自分がいまだにスマホを使っていないので，その辺がどうなっているのか不明。身近の Amdroid 使いはあまり何も言っていないけどな。実際のとこ，どうなんだろう。

　Google App としては，だいぶ前から， Heartbleed Detector があるが，本人が調べる気になるかどうかが問題だからなぁ。

　再度， PC でのチェックサイトを掲載しておく。
　　　　　Heartbleed test
　　　　　heartbleed test
　　　　　Trend Micro Heartbleed Detector (無くなっちゃったみたいだ)

タグ SSL, Vulnerability, セキュリティ

WordPress

朝起きたら，WordPress 3.8.2 だった。

The same article in English

投稿アップデート情報　　追記(4/10)　　追記２(4/15)

　朝起きたら，WordPress 3.8.2 だった。て，言うか，もちろん，ログインしてみたらという話だが。

　夕べ， SSL 関係を作り直して， ca-bundle.crt に改めて Oiram の回避策を施したところだったので，アップデートがどうなるか気になっていたのだが，大丈夫だった。ホッ。

追記(4/10)：
　今回のマイナーアップデート対象ファイルは，以下の15個。言語関係は含まれていない。本日の検索ワードに「wordpress 3.8.2 日本語化」があったので，蛇足ながら，追記。

readme.html
wp-admin/about.php
wp-admin/includes/class-wp-posts-list-table.php
wp-admin/includes/class-wp-upgrader.php
wp-admin/includes/post.php
wp-admin/includes/update-core.php
wp-admin/themes.php
wp-includes/bookmark.php
wp-includes/class-wp-xmlrpc-server.php
wp-includes/js/pluploadplupload.silverlight.xap
wp-includes/pluggable.php
wp-includes/post-template.php
wp-includes/query.php
wp-includes/update.php
wp-includes/version.php

　つまり， wordpress 3.8.1 ＋上記15ファイルで問題ないから，マイナーアップデートは自動で十分，と思う。

追記２(4/15)：
　うーん，「引き続きまして，WordPress 3.8.3。」で書いていることと，矛盾してるな（苦）。 version.php には $wp_local_package = ‘ja’; が入っていなかったけど，何の問題もなかった（アワワワ）。困ったちゃんねぇ（⇒私）。

タグ Update

Windows

本家のお世話-#99。（CVE-2014-0160 に対処のため Apache のアップデート）

投稿者作成者: o6asan
投稿日 2014年4月8日
本家のお世話-#99。（CVE-2014-0160 に対処のため Apache のアップデート）へのコメントはまだありません

The same article in English

投稿アップデート情報　　追記(4/9)

「CVE-2014-0160って？」で，どうしたらいいのと書いたばかりなのだが，素早い対処で Steffen が早速 Apache 2.4.9 available :: Updated を出してくれた。

　IPv6 Crypto apr-1.5.0 apr-util-1.5.3 apr-iconv-1.2.1 openssl-1.0.1g zlib-1.2.8 pcre-8.34 libxml2-2.9.1 lua-5.1.5 expat-2.1.0 と， openssl-1.0.1g でのビルドとなっている。

　アップデートのやり方自体はいつもと同じ。そんでもって，Changelog

　アップデート後， SSL 関係のキーとかも作り直したほうがいいという意見もあるようだから，それもあとでやっておくかな。

追記(4/9)：
　SSL 関係のキーとかは夕べのうちに作り直した。

タグ Apache, SSL, Update, WEBサーバの構築

Vulnerability

CVE-2014-0160って？

投稿アップデート情報　　追記３(4/16)

　CVE-2014-0160 ってことで，対処としては， secadv_20140407.txt ということらしいんだが， ApacheLounge 版の場合，もとが IPv6 Crypto apr-1.5.0 apr-util-1.5.3 apr-iconv-1.2.1 openssl-1.0.1f zlib-1.2.8 pcre-8.34 libxml2-2.9.1 lua-5.1.5 expat-2.1.0 になってるんでどうすりゃいいんだと思って， News & Hangout にお願いを書こうと思っていったら，もうあった。
　　　　　Critical Security Vulnerabilty: Upgrade to OpenSSL 1.0.1g

　すぐに，出るかな？ openssl-1.0.1g のやつ。 The Heartbleed Bug を見ると，かなりヤバそうなんだが。パッチが出るまでの対処方法がわからないよぉ。

　チェットサイトが作られてた。　Heartbleed test
　同じくテストサイト。　heartbleed test

　当面，ポートを閉じておくことにした。うちの場合は，ユーザは私だけだから，私が不自由に耐えれば，無問題（爆）。@19:00

追記：
　「本家のお世話-#99。（CVE-2014-0160 に対処のため Apache のアップデート）」をやりやした（爆）。当然，ポートも元に戻したヨ。
　うちは，これでいいとして，「母さん、私達のあの証明書、どうするんでせうね？ええ、ずっと前からから世界中にばらまかれている、 SSL のあの証明書ですよ。」ナンチャッテ。とっても，心配。

　証明書自体は大丈夫なのかな？いまんとこ，情報は錯綜しているようだが……

追記２：
　 The Heartbleed Bug を読み直してみた。やはり，証明書は作り直しておこう。

追記３(4/16)：
　SSL Server Test というのもある。 CVE-2014-0160 だけではなく，証明書の全体的レベルを調べてくれる。このサイトは Heartbleed Bug への対応はできている。ただし，証明書の 0day 後の再発行はされていないようだ。

タグ Apache, SSL, Vulnerability, WEBサーバの構築, セキュリティ

everyday life

KeyPaso のグラボが壊れた。

The same article in English

　「富士通 30 ピンディスプレイコネクタ —>> DVI-D。」の後日談です。
　
　３月14日の早朝にケーブルが完成して，メチャ喜んで KeyPaso の富士通 30 ピンディスプレイで動画を見まくっていたのだが，２日後，つまり16日の昼に KeyPaso からプツッと変な音がして，突然画面にノイズが入るようになった。エッ，何が起こったんだ？ (≧o≦)
　
　だいぶ調べたのち，グラボがいかれていることが判明。｡ﾟ･(≧o≦)･ﾟ｡
｡ﾟ･(≧o≦)･ﾟ｡
　
　再度， FHさんとこに相談に行った。今回は， juneさんにも助けていただいた。実のところ，図１の画像を見たお二人は最初から「コンデンサが膨らんでないですか」と言っておられたのだが，コンデンサを見慣れていない私が，膨らんでないと言ってしまったもので，えらく遠回りをすることになってしまった。 Grrrrr。
　
　で，しょっぱなやったのは，ヤフオクで GX-6200 を落札すること（汗）。これが 18日で，実際に物を手にしたのは， 22日だった。

　GX-6200 を待ってる間に，うちのグラボには，ヒートシンクがついてなかったことに気づいた。 Radeon 9200 SE PCI にはそういう製品もあったようだ。 GX-6200 にはしっかりしたヒートシンクがついていたので，付け替えるときには，外さないと仕方ないなと思ったが，実際に， GX-6200 を手にして FHさんとこでいろいろ話した後で，問題はヒートシンクだけではないことを認めざるを得なかった。 KeyPaso のシャーシは狭くて，ヒートシンクを外した状態でも，コンデンサやインダクタ（コイル）がつかえるのだ。思うに，古い Radeon 9200 SE PCI は KeyPaso 用の OEM 製品なのだろう。ネット上のヒートシンクレスの 9200 SE の画像をみても，そのまま KeyPaso に入るとはとても思えないから。

　FHさんは，問題のコンデンサやインダクタ（コイル）を外して，グラボの裏側に付け替えるように勧めてくれたのだが，私はためらっていた。何しろ，腕に全く覚えがないもので（汗）。ためらいつつのネットサーフで，いやというくらいコンデンサの画像を見て，「コンデンサが膨らんでないですか」というお二人のお話が正しいことを，ここに至って認識した。確かに膨らんでいる。でもって，ここから古いほうのグラボのコンデンサを換えることを考え始めた。３つとも， 1000μF， 6.3V だった。

　もし失敗しても練習にはなるから， Radeon 9200 SE PCI のコンデンサの取り換えをやってみようと思ったのだが，大問題がひとつ。自宅近くの店のどこにも，電解コンデンサを扱っているところがない。この点は，私の子供のころのほうがましだったナ。こんな練習用に，通販で送料払って購入するのも，あほらしいし。どうしたもんか。散々悩んで，ようやく方法を思いついたときは夜も更けていた。例の壊れた FMVH70K7V を，物置から引っ張り出して，ばらしてみた。あったぁー。交換して， Radeon 9200 SE PCI を KeyPaso につけて，動かしてみた。おーーっ，ちゃんと見える。

　
　ところで，古いコンデンサはこんな感じだった(図３)。
　

　もう一つの問題は，ヒートシンクである。もともと，古いほうの 9200 SE には，ヒートシンクはついてなかったわけだが，何とかしなければならない。さもないと， KeyPaso は近い将来同じ不具合を起こしかねない。しかし，手持ちのまともなシンクはどれも使えなかった。何しろ，KeyPaso の中は狭いのだ。 FHさんが，アルミ板で自作したらどうかと勧めてくれたので， 300 x 100 x 1.5mm のアルミの薄板を買って来て，加工してみた（図４）。すっごい，不ッ細工（苦）。

　
　この放熱板を Radeon 9200 SE に装着。もちろんグリスを塗り，用心のためにスペーサーとして，４か所に絶縁両面テープを入れた。で，一応 before and after でデータをとってみたんだが（図５），このデータ，どのくらい信用できるのかどうか，よくわからん。
　ほかのパソコンでも，このソフト（HWMonitor）を試してみたが， juneさんは，センサーの位置の判別ができてないようだと言っていた。とはいっても，全く関係ない値を引っ張ってきているというほど，ひどいものではないようだ (^_^;)。 KeyPaso がデスクトップ型なら，じかに触って温度確認も可能なのだが。ということで，ちょっとウヤムヤ（爆）。juneさんから簡易版のヒートシンクをいただいたので，これも Radeon 9200 SE に装着した(図６)。

　
　KeyPaso の中がとにかく狭いので，エアーフローが心配で，開けられるところは開けた。一番大きなのは，CD ドライブのベゼルが出てくる穴で，拡張 PCI ボードを使うときはカバーをはめることになっているのだが，ここも蓋を外したままにした。ほこりは，ちょっと心配。まっ，いずれにしても気休め (^_^;)。
　ほこりについては， FHさんから網戸のネットはどうかと教えていただいたが，今のところ，うまいことつけられないでいる。
　
　今回も，FHさんとこの関連部分を載せさせていただく。　⇒　「FHの掲示板」
　
　何とか，任務完了。今回は，本当かな？今のとこ，ちゃんと見えているんだが。
　
　そういえば， GX-6200 はどうしよう。

タグ DIY

Windows

本家のお世話-#98。（PHP5.5.11へアップデート）

投稿者作成者: o6asan
投稿日 2014年4月6日
本家のお世話-#98。（PHP5.5.11へアップデート）へのコメントはまだありません

The same article in English

　PHP5.5.11 が Apr-03 06:21:19UTC に出たので，アップデートした。

　ChangeLog によれば， CVE-2013-7345 のパッチが入っている模様。

　php.ini-production には，変更点なし。php5apache2_4.dll はオフィシャルバイナリに含まれているので，新旧のファイルを入れ替えて php.ini を放り込み， Apache をrestartするだけ。

　新規に導入する方は，必要なら「Windows7上にWamp系WebServerを建てる-#2。」を参考にしてください。

タグ WEBサーバの構築, Windows7

everyday life

えーーっ，蟹江さん死んじゃったの？

　蟹江敬三がなくなった。
　蟹江さん，まだ若いのに。ショックという言葉では，いい表せない。

　40年くらい前に，電車で前に立って吊革につかまっている彼に，気づいたことがある。それだけだが。サインを求めたわけでも，歓声を上げたわけでもない。色が白かったのが，奇妙に印象に残っている。映像では，色白というイメージはなかったから，意外の念で印象が強かったのだろう。

　ご冥福をお祈りする。合掌。

everyday life

花子とアン。

　今日から，連続テレビ小説「花子とアン」が始まった。村岡さんの半生記ということで，誰が出ていようと，興味をひかれる。で，楽しみにしていたわけだが，美輪さんの語りになれない（泣）。そのうちなじむだろうか。

　語りに拒否感を覚えるというのは，登場人物の配役以上に，大ごとだなあ。なじめないと，見るのが苦痛になるのは目に見えている。参った。

everyday life

分葱はお好き？

　ご存知，分葱。お好きですか。基本，味噌仕立ての和え物にすると思いますが，うちでは，超簡単にまげ葱というものを作ります。ネットで見たら，あまり出てこないので，郷土料理なのかもしれません。で，超簡単なのは，料理法ですが，手間は結構かかります。

　まず，きれいに掃除して洗い―当たり前か（笑）―根元からサッと塩茹でにします。茹で過ぎは禁物。香りが飛んでしまいます。湯から上げてからも手早く冷まさないと，台無しになります。冷ますのは一応水をくぐらせますが，多量の冷たい水をくぐらし瞬時で上げます。これも，長くつけると味が損なわれますねぇ。色味が損なわれてもいいなら，水はくぐらせたくないくらいです。根切りは，私の場合，茹でてからです。先に根を切ったほうが掃除は楽ですが，どうも，切り口から香りが逃げる気がして，もったいないので（爆）。

　茹で上がったものを適宜小分けして，ぐるぐると巻いていきます。おでんの糸こんにゃくみたいな感じ。このせいで，まげ葱というんでしょう。これでおしまい。あとは，酢味噌なんかで食べます。

　しかーし，私はこれを何もつけずに食べるのが，大好きなんですよ。分葱の甘みと弾力ある歯ごたえ・舌触りが何とも言えません。

　旬のナスで作る焼きナスもなにもかけずに食べるのが好きなんですが，どちらも，店で買ってきた素材では，ダメ。やはり，畑から台所に直行でないと。もっとも，最近は，地産池消の時代なので，自宅産ほどでなくとも，何とか調味料なしでも賞味に耐える素材にあえるかもしれません。

　焼きナスなんて，スクスクと育ったのでないとおいしくないです。でもって，やけどするほど熱いうちに皮をむいて，竹串でサッとほぐし，何もかけずに食べると，これがとろっと甘い!! ああ，書いてて，生唾が出てきました。これも，新しくないとダメです。食べるほうも，日頃から，濃い味付けに慣れてる人はだめでしょうね。

　でも，素材がいいときに，シンプルな料理は最高ですよ。いい材料が入手できたら，一度お試しあれ。

タグ食べ物

everyday life

開花宣言。

The same article in English

投稿アップデート情報　　追記(3/30)

　開花宣言!! なんのって，我が家の桜です – ヘヘッ。１輪お見せいたします。右のとおり。本日，雨模様なので，色がよくないですが。
　
　ついでに，庭のほかの花たちも，表にて，お供させておきます（爆）。

No.1　ミツマタ	No.2　クリスマスローズ	No.3　？？？スイセン
No.4　ヒメキンギョソウ	No.5　ハナニラ	No.6　ボケ
No.7　シクラメン	No.8　ヤエツバキ	No.9　ナノハナ

追記(3/30)：
　No.5 の名称追加，ハナニラ。
　FHさんに教えていただきました。FHさん，ありがとうございました。