カテゴリー
Windows

本家のお世話-#99。(CVE-2014-0160 に対処のため Apache のアップデート)

The same article in English
投稿アップデート情報  追記(4/9)

CVE-2014-0160って?」で,どうしたらいいのと書いたばかりなのだが,素早い対処で Steffen が早速 Apache 2.4.9 available :: Updated を出してくれた。

 IPv6 Crypto apr-1.5.0 apr-util-1.5.3 apr-iconv-1.2.1 openssl-1.0.1g zlib-1.2.8 pcre-8.34 libxml2-2.9.1 lua-5.1.5 expat-2.1.0 と, openssl-1.0.1g でのビルドとなっている。

 アップデートのやり方自体はいつもと同じ。そんでもって,Changelog

 アップデート後, SSL 関係のキーとかも作り直したほうがいいという意見もあるようだから,それもあとでやっておくかな。

追記(4/9):
 SSL 関係のキーとかは夕べのうちに作り直した。

カテゴリー
Windows

本家のお世話-#97。(Apache 2.4.9へアップデート)

The same article in English

 Apache HTTP Server 2.4.9 が出たので,アップデート。 OpenSSL 関連で問題があったとかで, 2.4.8 はリリースされなかったので, 2.4.9 は 2.4.8 の変更も内包していることになる。

 VC11 用の httpd-2.4.9-win32-VC11.zip (16 Mar) を我が家用 ( Windows7 x86 ) にダウンロード。 Apache 2.4.x conf 情報が必要な方は,「Windows7上にWamp系WebServerを建てる-#1。」を見てください。

カテゴリー
Windows

本家のお世話-#93。(AWStats7.3へのアップデート)

The same article in English

 AWStats を 7.2 から 7.3 にした。変更点については, ChangeLog と 最新 features を!!

  1. 自鯖(Windows7HP + SP1 (x86))用に awstats-7.3.zip を落とす。
  2. Zip を展開。
  3. 次の4つのフォルダを新規の分で置き換える。 (Location:Drive_DC:awstatswwwroot)
         classes
         css
         icon
         js
  4. 次の3つのフォルダを新規の分で置き換える。 (Location:Drive_DC:awstatswwwrootcgi-bin)
         lang
         lib
         plugins
  5. 新しい awdownloadcsv.pl, awredir.pl and awstats.pl の1行目のパスを自鯖に合わせる。 (Location:Drive_DC:awstatswwwrootcgi-bin).
         #!/usr/bin/perl  —>  #!Drive_SV:/perl/bin/perl
    3ファイルを古いものと置き換える。
  6. awstats.MyDomain.com.conf は旧分から変更なし。

 新規導入の場合は, AWStats のドキュメントに, AWStats Installation, Configuration and Reporting というのがある。

 ついでに,以下もアップデートした。 ActivePerl は 12/26 にやった作業だが,書き忘れてたのでここに入れておく。 AWStats7.3 は PERL スクリプトだから, PERL のバージョン書いておかないとね。

  • ActivePerl-5.16.3.1603 —> ActivePerl-5.18.1.1800
  • phpMyAdmin-4.1.0 —> phpMyAdmin-4.1.6
  • mariadb-5.5.34 —> mariadb-5.5.35
カテゴリー
WordPress

本家のお世話-#92。(WordPress3.8.1 Background Updates)

The same article in English

 今朝, WordPress3.8.1 のアップデート通知が来た。 ChangeLog を見たところ単なるメンテナンスリリースのようなので, WordPress3.7 からできた Background Updates を試してみた。

 WordPress.org 製の Background Update Tester というプラグインがあるのだが,これによるテストだと,
————————————————————————————————————————————-
Automatic background updates require a number of conditions to be met.

  PASS: Your WordPress install can communicate with WordPress.org securely.
  PASS: No version control systems were detected.
  PASS: Your installation of WordPress doesn’t require FTP credentials to perform updates.
  PASS: All of your WordPress files are writable.

This site is able to apply these updates automatically. Cool!
————————————————————————————————————————————-
となっているので大丈夫ではないかと思って待った。

 結果,先ほど,管理者宛に,下記のメールがやってきた。
————————————————————————————————————————————-
件名 : Your site has updated to WordPress 3.8.1 (2014.1.24 20:13)
メッセージ :
  Howdy! Your site at http://MySite has been updated automatically to WordPress 3.8.1.

  No further action is needed on your part. For more on version 3.8.1, see the About WordPress screen:
  https://MySite/wp-admin/about.php

  If you experience any issues or need support, the volunteers in the WordPress.org support forums may be able to help.
  http://wordpress.org/support/

  The WordPress Team
————————————————————————————————————————————-
 成功ですナ。パチパチ。

 しかし,こういうことが可能だから,逆にいうと相手方が悪者だと,あるいは悪い奴に乗っ取られたりしていると,変なものを仕込まれる恐れがあるので,十分な用心が必要なんだよね。

カテゴリー
WordPress

本家のお世話-#88。(WordPress3.8へアップグレード)

The same article in English
投稿アップデート情報  追記(2014/6/22)

 WordPress 3.8 “Parker” の本家版が 12 月 12 日に出たので,日本語版を待っていたのだが,先ほど出た。コアな部分の変更もあるが,ダッシュボードのデザインがかなり変わっている。詳しいことは, WordPress Codex 日本語版 Version 3.8 を見てほしい。

 いつものことだが,マルチサイトの親の言語のせいか日本語版のアップデート情報が表示されない。 wordpress-3.7-ja.zip をマニュアルダウンロードして,アップグレード。

 今回もまた, 3.7 と同様, ca-bundle.crt 関連で下記の注意が出た。

  注意: https://MySiteName の更新の際、問題が発生しました。サーバーがサイトに接続できない
  かもしれません。エラーメッセージ: SSL certificate problem: self signed certificate in certificate chain

 この機会に, Oiram の回避策 PDF版をやることにした。これで,この件済み。

 xrea の s370 と @pages の www39 でもアップグレードした。両方とも,全く問題なし。

追記(2014/6/22):
 WordPressでの「SSL3_READ_BYTES:sslv3 alert handshake failure」を解決というのを書いた。

カテゴリー
Windows

本家のお世話-#85。(Apache 2.4.7へアップデート)

The same article in English

 Apache HTTP Server 2.4.7 が出たので,アップデート。チェンジログ,いっぱい。 Steffen のところの「 Apache 2.4.7 available 」を見ると, Windows 関連でもいい話もあるみたいだ。

 VC11 用の httpd-2.4.7-win32-VC11.zip (22 Nov) を我が家用 ( Windows7 x86 ) にダウンロード。 Apache 2.4.x conf 情報が必要な方は,「Windows7上にWamp系WebServerを建てる-#1。」を見てください。

カテゴリー
WordPress

本家のお世話-#81。(WordPress3.7へアップグレード)

The same article in English
投稿アップデート情報  追記  追記2(10/28)  追記3(11/5)  追記4(2014/6/6)

 WordPress 3.7 “Basie” の本家版が 10 月 24 日に出たので、日本語版を待っていたのだが,先ほど出た。アップグレードということで, WordPress Codex 日本語版 Version 3.7 ももう出ている。

 いつものことだが,マルチサイトの親の言語のせいか日本語版のアップデート情報が表示されない。 wordpress-3.7-ja.zip をマニュアルダウンロードして,アップグレード。

 wp-includes フォルダに certificates フォルダが増えていた。中には, ca-bundle.crt が一枚だけ。中をのぞいてみたら, Mozilla からのようだ。以下のようなことらしい。
————————————————————————————————————————–
  ##
  ## ca-bundle.crt — Bundle of CA Root Certificates
  ##
  ## Certificate data from Mozilla as of: Sat Dec 29 20:03:40 2012
  ##
  ## This is a bundle of X.509 certificates of public Certificate Authorities
  ## (CA). These were automatically extracted from Mozilla’s root certificates
  ## file (certdata.txt). This file can be found in the mozilla source tree:
  ## http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt?raw=1
  ##
  ## It contains the certificates in PEM format and therefore
  ## can be directly used with curl / libcurl / php_curl, or with
  ## an Apache+mod_ssl webserver for SSL client authentication.
  ## Just configure this file as the SSLCACertificateFile.
  ##
————————————————————————————————————————–

 今回のアップグレードにおいて,エラーはなかったが, “o6asan’s netradi” について,以下のような注意が出た。

  注意: https://MySiteName の更新の際、問題が発生しました。サーバーがサイトに接続できない
  かもしれません。エラーメッセージ: SSL certificate problem: self signed certificate in certificate chain

 しかし,アクセスできるし。 “SSL certificate: self signed certificate in certificate chain” ということでは,全サイト同じなんだが, o6asan’s netradi では streaming server を使っているせいだろうか。新バージョンの WordPress には,上記のように, “Bundle of CA Root Certificates” がついた。ということは,これを使って証明書を作り直すべきかなあ。今のところ,未着手。詳しい方がいらっしゃったら,ご教示ください。

 まっ,とにかく完了。

追記:
 少し気になっている version3.7 の新機能がある。自動アップデートのことだ。しかし,まあ大丈夫かなとも思っている。自動アップデートはメンテナンス&セキュリティリリース用だから,そんなマイナーアップデートでは,日本語版とグローバル版とで違いはないから自動更新されても,多分無問題だろう。

追記2(10/28):
 書き忘れ。 xrea の s370 と @pages の www39 でもアップグレードした。両方とも,全く問題なし。 @pages の www39 は前回あたりから,早くなったよ。

追記3(11/5):
 ca-bundle.crt について新記事を書いた。

 ところで,もし, “注意: https://MySiteName の更新の際、問題が発生しました。サーバーがサイトに接続できないかもしれません。エラーメッセージ: SSL certificate problem: self signed certificate in certificate chain” という注意の出る方がいたら, Oiram の回避策 PDF版を試してみてください。英語ブログのほうで,彼に情報をもらいました。

追記4(2014/6/6):
 WordPressでの「SSL3_READ_BYTES:sslv3 alert handshake failure」を解決というのを書いた。

カテゴリー
Windows

本家のお世話-#79。(MySQL5.6.14へアップデート)

The same article in English
投稿アップデート情報  追記(9/25)

 自鯖の (Windows7HP+SP1(x86)) の MySQL を 5.6.12 から 5.6.14 にアップデートした。

  1. mysql-5.6.14-win32.zip をダウンロードする。
  2. Zip を展開する。
  3. MySQL のサービスを停止。
    cmd.exe を管理者として起動。
    >net stop mysql
  4. 用心のために, Drive_SV (自鯖のサーバウェア用パーティション) 内の ‘MySQL’ と ‘MyDATA’ をバックアップする。
    注: 通常の ‘MySQL’ の場所は C:mysql , ‘MyDATA’ の場所は C:mysqldata である。
  5. 使用中の ‘MySQL’ 内の同名のものを,以下の4つのディレクトリと1つのファイルで上書きする。 my.ini は残ったままになる。
    • ディレクトリ
        bin
        include
        lib
        share
    • ファイル
        COPYING
  6. 使用中の ‘MyDATA’ 内の同名のものを,以下の2つのディレクトリと3つのファイルで上書きする。ただし, ‘MyDATA’ の mysql にあるdb.MYD, db.MYI, user.MYD, user.MYI の4ファイルは上書きしない。これを上書きすると,ユーザとパスワードを再設定する羽目になる。 auto.cnf は残ったままになる。
    • ディレクトリ
        mysql
        performance_schema
    • ファイル
        ib_logfile0
        ib_logfile1
        ibdata1
  7. MySQL のサービスを開始。
    cmd.exe を管理者として起動。
    >net start mysql

 以上。

追記(9/25):
 このアップデートと関係あるのかどうかは定かでないんだが,一昨日から WordPress のデータベースのひとつについてエラーが頻発していた。よくわからないので, WordPress 関連のデータベースをそっくりドロップし,バックアップと入れ替えてみた。今のところよくなったように見えるんだが,何が原因だったんだろう。

カテゴリー
WordPress

本家のお世話-#77。(WordPress3.6.1へアップデート)

 2・3日前に, WordPress 3.6.1 メンテナンスとセキュリティのリリースが来てたんでアップデートをやったんだが,ついでに, xrea の s370 と @pages の www39 でもアップデートしたら, @pages の www39 のほうで少し様子が変わっていた。

 しょっぱな,アクセスしたら,「データベース接続確立エラー」が表示されて,えっ。
 考えてみたら,この間うちから,【@PAGES】【お詫び】ユーザ情報流失に関するお知らせ 2013.08.28【@PAGES】【お詫び】ユーザ情報流出に関するお知らせ【第2報】2013.08.29 ナンチャラがあったときに,「データベースのパスワードも変えておいたほうがいいですよ」と言われて,パスワード変更したのに, wp-config.php の中の記述を変えてなかったんだった。テヘヘッ。
 それを直したら,当然ながらあっさり,O.K.

 ダッシュボードに入ったら,上部に「WordPress の自動更新に失敗しました。再度、更新を行ってみてください。」メッセージが出ていて,「なんだろう」と思ったが,まずは溜まっていたプラグインの更新を先に行った。いつも失敗する Jetpack の更新もスンナリ。ホーッと,思ったので, WordPress3.6.1 の自動更新をやってみたら,データベースアクセスのための設定がいらなくなっていた。しかも,あっさり,更新完了。

 ここにいたって,「なるほどな」と思った。  @pages の www39 においては,今後, WordPress 本体の更新はサーバ側がやってくれるということなんだろう。今回は,「データベース接続確立エラー」が出るような状態だったので,「WordPress の自動更新に失敗しました。再度、更新を行ってみてください。」が出たわけだ。この推測,間違っていないよね。

 ロリさんのことなんかも関係あるんだろうか。それとも,以前から計画済みだったのか。セキュリティ面からいうといい話だが,ブログが動かなくなっちゃったりするユーザがいたりして,サポートが大変だろうな。でもまぁ,その辺をきっちりやっていくのは,今後の生き残りのためには,大事なことなんだろう。一ユーザとして,陰ながら,ご健闘をお祈りいたします。

カテゴリー
Windows

起きてびっくり,サイト改竄? at よそ様-続々々報。

 ウウウッ,こんなに続けるなら,初めから番号にしときゃよかったと,悔やむ表題。続々々報って,踊り字が何個になるんだよぉー。

 あれから, Symlink Attacks について調べてみた。つまり,ロリさんとこのクラックに使われたかもしれないって方法だよね。まぁ,いろいろ見つかる時代だね。いいというか,悪いというか,なんともはや表現に困る。

 ところで,
> LINUX を使ったときにシンボリックリンクとは便利なものだと思ったが,元来は UNIX 由来のものだろうと思う。
と書いたように,やはりシンボリックリンクというのは UNIX 由来のものだ。ということで, Symlink Attacks そのものも,ものすごく昔からあるようだ。 Symlink Attacks を google.co.jp で引用符付きで検索してみたら, 1997 年まではヒットした。引用符なしで内容的なものを調べてみるともっと昔からある。要するに,きちんと設定しないと狙われやすいところなわけだ。

 Apache の場合,ドキュメントルートの Options にはデフォルトで FollowSymLinks が入っているから,私のような素人の自鯖運営者でなければ,共有サーバの場合はこうしなきゃいけないよというのをちゃんと知っているだろうし,確立されていると思う。しかし,今回, “R.I.P lolipop” と名指しで攻撃されたということは,ロリさんところがそうなってなかったということなのだろう。大穴があいていたもので,個別の穴狙いでチョコチョコ出入りしていたクラッカーが,図に乗っちゃったということになるのか。

 TODOS でりりさんが「そういうプログラムが最期までできなかった」みたいなことを,相当,昔に書いていたから,そういう面で狙われやすい属性ができてしまっていたのかもしれないとも思う。

 シンボリックリンクについて, Windows の「ショートカット」のようなもんだという説明を,昔,されたことがあるが, LINUX を齧りだして使ってみた感じだとかなり違う。むしろ, Apache の「エイリアス」のほうが近い気がする。シンボリックリンクというのは,参照先のものを実体として使える。これは, Windows の「ショートカット」には無理だ。そのうえ,今回知ったわけだが,つけ方によっては,ファイルの性質さえ変えられるわけだ。バイナリをテキストとして参照するなんてのは論外だろうが, php を txt として見ることはできるわけだからね。

 まぁ,一般的には, WordPress 使いは,最新の環境を素早く安全に提供してくれるホスティングサービスを選ぶことを,念頭に置いておけばいいと思うよ。私の場合は,他人には提供してはいないが,自宅にサーバがある環境だから,一般的な場合より,いろいろ気にかけているだけの話だ。

 しかしねぇ,「最新の環境を素早く安全に提供してくれるホスティングサービスを選ぶことを,念頭に置いておけばいい」といっても,これが結構難しいのは確かだし,「安価」でというのが入ってくると,一層大変だよね。

 どの辺まで,自分で管理するのかは難しいところだけど,せめてすごく簡単なパスワードとか,更新されていない古いバージョンを,パッチあてなしで使うことは,やめようよ。そして,自分が新しいバージョンで行きたいと思っても,サーバのソフトを刷新してくれないホスティング会社を使っている場合は,乗り換えを考えたほうがいい。趣味で,乗っ取られても実害のないサイトなら,無理をしなくてもいいけど,小さくても,営業がらみだと,怪我の小さいうちに考えることをお勧めします。これ,ホント!!