お山の石楠花 (2014)。

 昨日も大変にいい天気だったので,友人とシャクナゲを見に,英彦山花園を訪ねてきた。昨年より,少し遅めで,その分,花も咲きそろっていた。

 今年,初めてのトカゲを見た。ヘビよりはずっと素直にかわいいと思える(爆)。いつも通り,奉幣殿にお参りをし,お御籤をゲット。

 では,毎度ながら,お写真をば!!

図1 シャクナゲ

図1 シャクナゲ

図2 シャクナゲ

図2 シャクナゲ

図3 クマバチ仕事中

図3 クマバチ仕事中

図4 プリムラ

図4 プリムラ

図5 春紅葉

図5 春紅葉

図6 ツバキ

図6 ツバキ

図7 八重桜

図7 八重桜

図8 ニホントカゲ

図8 ニホントカゲ

図9 モクレン

図9 モクレン

図10 三の鳥居

図10 三の鳥居

図11 春紅葉に染まる山

図11 春紅葉に染まる山

図12 ドウダンツツジ

図12 ドウダンツツジ

Web-based DNS Randomness Test。

 「(緊急)キャッシュポイズニング攻撃の危険性増加に伴う DNSサーバーの設定再確認について」について記事を書いたときに, Web-based DNS Randomness Test についてギャンギャン言って,ギャンギャンいうだけじゃあまりにも無責任なので,サイトのアドミンにメールしてみたのだが,その返事が今日来た。

Hello!

Thank you for your note. The problem as you show is with the main website, but this isn’t replicated across the various websites that we have, including the DNS Randomness test, since that uses another website server with different versions of software. But in any case, I do really want to replace the certificate at least, besides updating a very old system that supports www.dns-oarc.net. Again thank you, we are working on this.

ということなので,私が送ったテスト結果はメインのサーバに関してのものだが,「DNS Randomness test は別の Web サーバでかつ別のバージョンのソフトで動いているから大丈夫ですよ」という返事だ。さらに,少なくとも証明書は置き換え,メインの www.dns-oarc.net が乗っかっているシステムも新しくするつもりだと付け加えてある。

 ということだと, Web-based DNS Randomness Test は,一応,大丈夫ということになるのかなと思うのだが,この返事を読んで別のことが心配になってしまった。彼が書いてきたことが本当だとすると, Heartbleed testHeartBleed Bug が,どういうチェックの仕方をしてくれているのかということだ。

 私のドメインで動いている Web サーバはたった1台の PC だが,通常は複数であるほうが当たり前だ。だから,当然,そのドメインでつながっているサーバをすべて調べて,1台でも変なのがあれば,警告を出してくれてるんだと思いたい。まさか,てっぺんに立っている代表だけを調べてるわけじゃないよな。

すっかり,葉桜。

投稿アップデート情報  追記(4/21)  追記2(4/22)

すっかり,葉桜

すっかり,葉桜

 3月26日に,「開花宣言。」というのを書いたのだが,本日,英語ブログのほうで,「庭のお花がきれいですね」というコメントをもらって,そういえば,すっかり葉桜だなあと,カメラに納めてきた。桜花と違い桜葉は1枚では何とも寂しいので,右のような画像と相成った。
 
 今回は,庭のほかの花たちのみならず果実たちも,表にて,お供させておきます(爆)。

図1 チョウセンヤマツツジ

図1 チョウセンヤマツツジ

図2 チョウセンヤマツツジ

図2 チョウセンヤマツツジ

図3 エゾヤマツツジ

図3 エゾヤマツツジ

図4 イキシア

図4 イキシア

図5 アイリス?

図5 アイリス?

図6 ヒナゲシ

図6 ヒナゲシ

図7 ムスカリ

図7 ムスカリ

図8 オオマツユキソウ(スズランズイセン)

図8 オオマツユキソウ(スズランズイセン)

図9 シャガ

図9 シャガ

図10 セイヨウオダマキ

図10 セイヨウオダマキ

図11 杏

図11 杏

図12 梅

図12 梅

追記(4/21):
 図7 の名称,ムスカリ。図8の名称,オオマツユキソウ(スズランズイセン)。
 FHさんに教えていただきました。FHさん,ありがとうございました。

追記2(4/22):
 図10は,葉を見ましたら,セイヨウオダマキでした。育ちが悪くて,花がチョー情けなくて,花の苦手な私には,全くの別物に見えました(汗)。

ただいま日本語版待ち,WordPress 3.9。

投稿アップデート情報  追記

 WordPress 3.9 が出た。ただし,我が家は,日本語版待ち。皆さんはいかがですか。

追記:
 さっき,20:20ごろ, WordPress 3.9 日本語版にアップグレードした。機能は,特に問題なく働いているのだが, 3.8.3 のとき同様,またもや Warning! Problem updating https://SITENAME. Your server may not be able to connect to sites running on it. Error message: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure が出た。なんでだろう。少し,真剣に調べてみないといけないかな。

 WordPress 3.9 関係の資料。 Codex(日本語), Blog(日本語), Changelog.

(緊急)キャッシュポイズニング攻撃の危険性増加に伴う DNSサーバーの設定再確認について。

投稿アップデート情報  追記  追記2(4/16)  追記3(4/16)  追記4(4/19)

 JPRS 様のおっしゃるところによれば,「(緊急)キャッシュポイズニング攻撃の危険性増加に伴う DNS サーバーの設定再確認について」なんだそうで,ございまする。

 DNS サーバーの設定についてのナンチャラカンチャラは,去年もイッパイあったが,先日の CVE-2014-0160 と手に手を取って,パーティやるっち,考えるだに恐ろしい。

 Web-based DNS Randomness Test てのがあるみたいなんだが。何の脈絡もなく,フッと,そのサーバ www.dns-oarc.net を Heartbleed test でチェックしてみたんよ。ほしたら, VULNERABLE かつ Please take immediate action! になったよぉ。えーーーっ。

 この世は,どうなっとんじゃ。

追記:
 テスト結果が 100% 正しいと言えないのは,百も承知だが, heartbleed test でのテストでも, www.dns-oarc.net は Server is vulnerable to all attacks tested, please upgrade software ASAP. という結果になった。どうすんのー?

追記2(4/16):
 www.dns-oarc.net で, DNS Randomness チェックするときにさ,何にも入力するわけではない。だから,個人情報なんかを抜かれるとは思わないが,しかし,これだけ HeartBleed Bug について大騒ぎしてるのに,こういうたぐいのサイトのアドミンが今まで対処していないことに,ガックリ来て,信頼できなくなっちまうわけよ。カミンスキー祭りなんかあって,みーんなが www.dns-oarc.net でチェックしたりすると,このサイトの脆弱性が巡り巡ってどこに影響するかわからないのが,ネットの世界だからなぁ。
 このガックリは,先のスラドのリンク先で見た,「なぜ Theo de Raadt は IETF に激怒しているのか」の Theo de RaadtIETF への怒りにも通じるところがあるような気がする。
 こーんだけ, HeartBleed Bug で大騒ぎしている最中に,警告を出した JPRS がその警告ページに www.dns-oarc.net へのリンクを貼るなら,直接関係はないにしても, HeartBleed Bug の対応が済んでるかくらい,チェックしてから貼んなよということだ。

 しかし,この件はどこにコンタクトをとったらいいんだろう。 admin at dns-oarc.net にメールしてみるかな。

追記3(4/16):
 「強烈なDNSキャッシュポイズニング手法が公開される」。
 「もうなんか,ついていけない」って,素人のつぶやき。上記のページやその中のリンクを見に行くと,どうすりゃいいんだという気になる。難しすぎてよくわからないところも多いが,一般の人も多大な影響を受けるということはよくわかる(出るのは溜息ばかり)。

追記4(4/19):
 上の追記2についてだが,今日,

Hello!

Thank you for your note. The problem as you show is with the main website, but this isn’t replicated across the various websites that we have, including the DNS Randomness test, since that uses another website server with different versions of software. But in any case, I do really want to replace the certificate at least, besides updating a very old system that supports www.dns-oarc.net. Again thank you, we are working on this.

という返事をもらった。私が送ったテスト結果は,「メインのサーバに関してのものだが, DNS Randomness test は別の Web サーバでかつ別のバージョンのソフトで動いているから大丈夫ですよ」という返事だ。さらに,少なくとも証明書は置き換え,メインの www.dns-oarc.net が乗っかっているシステムも新しくするつもりだと付け加えてある。

 ということなんだけどさ。だから, DNS Randomness test については,それなりに大丈夫ということになるのかな。

引き続きまして,WordPress 3.8.3。

投稿アップデート情報  追記

 えーっと,先日,くりくりさんへのコメントで,「マイナーアップデートは自動に任せていい」と書いたばかりなのだが,今回みたいに,ローカライズ関係のファイルが入ってるのに,自動でアップデートされるとまずいかもしれない。

 今回のアップデートファイルには,

wp-admin/includes/upgrade.php
wp-admin/includes/post.php
wp-admin/about.php
wp-includes/version.php
readme.html

と, version.php が入っているが,実は, version.php には, $wp_local_package がある。自動アップデートで,ここがなくなると,不具合が起こる可能性もある。日本語版が出る前に自動アップデートされてしまった場合は, version.php を開けて最終行に
     $wp_local_package = ‘ja’;
を追記してやろう。

 ところで, Oiram の回避策を使っているにもかかわらず,今回また,
Warning! Problem updating https://SITENAME. Your server may not be able to connect to sites running on it.
が出ている。ただ,エラーメッセージは前と違い, Error message: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure なんだが,どうしたら直るのか,まだわからない。でもって,今回もエラーは一つのサイトについてだけなんだ。そのサイトは,前と同じ。なんでなんだろう?

追記:
 うーん,「朝起きたら,WordPress 3.8.2 だった。」で書いていることと,矛盾してるな(苦)。 3.8.2 の version.php には $wp_local_package = ‘ja’; が入っていなかったけど,何の問題もなかった(アワワワ)。困ったちゃんねぇ(⇒私)。

本家のお世話-#100。(MariaDB10へアップグレード)

 3月31日に, MariaDB10 初の正式版が出たので,本日,自鯖上 (Windows7HP+SP1(x86)) の MariaDB を 10 にアップグレードしてみた。アップグレードなんだが,元が MariaDB5.5 なので,手順は前回のアップデートと変わらない。

 何はともあれ,バックアップ。特に, MariaDB と MyDB

 で,アップグレード。

  1. mariadb-10.0.10-win32.zip をダウンロード。
  2. Zip を展開。
  3. コントロールパネル >> 管理ツール >> サービス
    と行って, MyDB のサービスを停止。
  4. MariaDB の中身をすべて削除。その後, bin,include,lib,share の4つとライセンス関係のファイルを MariaDB の中にコピーする。
  5. コントロールパネル >> 管理ツール >> サービス
    と行って, MyDB のサービスを開始。

 以上。

CVE-2014-0160関連で調べてみた。

投稿アップデート情報  追記(4/11)  追記2(4/16)  追記3(4/22)

 通常取引のある https 関係を Heartbleed test で調べてみた。
  All good, yourCheck.domain seems fixed or unaffected!
と出れば,一応OKという扱いで。 100% の保証はないし,対処がいつだったかもわからないし,証明書関係を作り直しているかどうかもわからないし。と,いろいろ問題はあるが,本日,私が使った銀行,電話,ホスティング関係は,みんな「All good, yourCheck.domain seems fixed or unaffected!」が出た。とはいっても,いつから fixed or unaffected なのかはわからないから,心配は尽きない。 SSL のバージョンが古ければ逆に大丈夫なのだが,その辺は,一般人には調べようがない。

 それから, FFFTP についてなのだが,川本優さん(@s_kawamoto)のツイートで「脆弱性対応済みのFFFTP新バージョンを公開するにはまだしばらく時間がかかるため、可能であれば直ちにFileZilla(OpenSSLではなくGnuTLSによる実装)への移行をおすすめします」ということだったが,一応,暫定版は出ている。

 ものすごく,基本的なことがわかっていない自分に驚きなんだが, SSL 証明書の中には,もちろん, OpenSSL ベースじゃないものもあるわけで,どこの SSL 証明書が何を使っているかというのは,一般消費者側で確認可能なのだろうか。

追記(4/11):
 考えたら,証明書の期限は簡単に調べられるよね。現時点のわが取引先銀行,電話,ホスティング関係の期限をチェックしてみた。
  銀行  2013/06/04 – 2014/08/02
  電話  2013/11/12 – 2015/12/04
  ホスティング  2013/04/05 – 2016/06/04
 で,これは,どうなんだろう。正式の認証局が再発行する場合,新しくなっても期限は変わらないものですか。それとも,期限が上記の場合は,古いままだと思っていいんですかね。常識的に考えると,発行日は新しくなるべきだと思うんですが。もっとも,もともと OpenSSL での実装でない可能性も大きいわけだが……

 OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見されるの皆の書き込みが,興味深い。クライアントの PC の ssleay32.dll も関係あるんだろうか。

追記2(4/16):
 脆弱性確認サイトのメッセージだけれども, heartbleed test のほうは,こんな感じ。
—– NG の場合 —————————————————————————————-
Looking for TLS extensions on https://YourCheckSite

ext 00015 (heartbeat, length=1) <-- Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check.
Actively checking if CVE-2014-0160 works: Server is vulnerable to all attacks tested, please upgrade software ASAP.
----- Heartbeat の有効/無効の確認後, CVE-2014-0160 に対する脆弱性の判定,警告。-----

----- OK の場合 1 --------------------------------------------------------------------------------------
Looking for TLS extensions on https://YourCheckSite

TLS extension 15 (heartbeat) seems disabled, so your server is probably unaffected.
----- Heartbeat の機能が無効なので,多分,大丈夫だろうという判定。---------------------

----- OK の場合 2 --------------------------------------------------------------------------------------
Looking for TLS extensions on https://YourCheckSite

ext 00015 (heartbeat, length=1) <-- Your server supports heartbeat. Bug is possible when linking against OpenSSL 1.0.1f or older. Let me check.
Actively checking if CVE-2014-0160 works: Your server appears to be patched against this bug.

Checking your certificate
Certificate has been reissued since the 0day. Good. <-- Have you changed the passwords?
----- Heartbeat は有効だが,パッチ済の判定。証明書も再発行済,パスワードは変えた?の確認。----

でもって, Heartbleed test のほうは,こんな感じ。
—– NG の場合—————————————————————————————–
YourCheckSite IS VULNERABLE.

Here is some data we pulled from the server memory:
(we put YELLOW SUBMARINE there, and it should not have come back)

([]uint8) {
00000000 02 00 51 68 65 61 72 74 62 6C 65 65 64 2E 66 69 |..Qheartbleed.fi|
00000010 6C 69 70 70 6F 2E 69 6F 20 59 45 4C 4C 4F 57 20 |lippo.io YELLOW |
00000020 53 55 42 4D 41 52 49 4E 45 20 59 6F 75 72 43 68 |SUBMARINE YourCh|
00000030 65 63 6B 53 69 74 65 3A 34 34 33 F7 96 BF F3 35 |eckSite:443....5|
00000040 87 38 54 6A 02 66 02 4E AF 02 B5 1A 32 A6 61 08 |.8Tj.f.N....2.a.|
00000050 2C CF 2E 0C 4C F3 B7 92 C0 86 E7 86 B0 94 88 A7 |,...L...........|
00000060 0A |.|
}

Please take immediate action!
—– 脆弱性あり。当該サーバメモリから filippo.io が置いたデータを引き出し可能。これは,まずい。—–

—– OK の場合 ————————————————————————————–
All good, YourCheckSite fixed or unaffected!
—– チェック結果は全部 OK だったので,多分,大丈夫だろうという判定。——————————————–

追記3(4/22):
 昨日付で,「国内でもOpenSSL「心臓出血」が悪用、三菱UFJニコスから894人の情報流出か」が出てた。三菱UFJニコス自体のニュースとしては,12日18日の発表である。私のカードも関連があるので気になったのだが,今のところは,大丈夫そう。

今回問題になっているheartbeat機能によるやり取りは、通常、Webサーバーのログには残らない。このため、悪用した攻撃を受けているかどうかが分からないことが、今回の脆弱性の特徴の一つ。三菱UFJニコスでは、今回の攻撃は「心臓出血」脆弱性を悪用したものであることを特定したとしているが、特定した方法についてはコメントできないとしている。

 ITpro の記事内に上記の引用の表現があるのだが,特定の手段があるなら,教えてほしいもんだよな。公表しても,一般ピーポーにはつかえない特別なシステムがいるのだろうか。または,知られたらすぐに対策されちまうレベルの方法とか???

朝起きたら,WordPress 3.8.2 だった。

投稿アップデート情報  追記(4/10)  追記2(4/15)

 朝起きたら,WordPress 3.8.2 だった。て,言うか,もちろん,ログインしてみたらという話だが。

 夕べ, SSL 関係を作り直して, ca-bundle.crt に改めて Oiram の回避策を施したところだったので,アップデートがどうなるか気になっていたのだが,大丈夫だった。ホッ。

追記(4/10):
 今回のマイナーアップデート対象ファイルは,以下の15個。言語関係は含まれていない。本日の検索ワードに「wordpress 3.8.2 日本語化」があったので,蛇足ながら,追記。

readme.html
wp-admin/about.php
wp-admin/includes/class-wp-posts-list-table.php
wp-admin/includes/class-wp-upgrader.php
wp-admin/includes/post.php
wp-admin/includes/update-core.php
wp-admin/themes.php
wp-includes/bookmark.php
wp-includes/class-wp-xmlrpc-server.php
wp-includes/js/plupload\plupload.silverlight.xap
wp-includes/pluggable.php
wp-includes/post-template.php
wp-includes/query.php
wp-includes/update.php
wp-includes/version.php

 つまり, wordpress 3.8.1 + 上記15ファイルで問題ないから,マイナーアップデートは自動で十分,と思う。

追記2(4/15):
 うーん,「引き続きまして,WordPress 3.8.3。」で書いていることと,矛盾してるな(苦)。 version.php には $wp_local_package = ‘ja’; が入っていなかったけど,何の問題もなかった(アワワワ)。困ったちゃんねぇ(⇒私)。

本家のお世話-#99。(CVE-2014-0160 に対処のため Apache のアップデート)

投稿アップデート情報  追記(4/9)

CVE-2014-0160って?」で,どうしたらいいのと書いたばかりなのだが,素早い対処で Steffen が早速 Apache 2.4.9 available :: Updated を出してくれた。

 IPv6 Crypto apr-1.5.0 apr-util-1.5.3 apr-iconv-1.2.1 openssl-1.0.1g zlib-1.2.8 pcre-8.34 libxml2-2.9.1 lua-5.1.5 expat-2.1.0 と, openssl-1.0.1g でのビルドとなっている。

 アップデートのやり方自体はいつもと同じ。そんでもって,Changelog

 アップデート後, SSL 関係のキーとかも作り直したほうがいいという意見もあるようだから,それもあとでやっておくかな。

追記(4/9):
 SSL 関係のキーとかは夕べのうちに作り直した。