|
|||||||||||||||||||||||||||||||||||||||||||||||||||
例によって IPv6 patch を作成。
(6/21 9:50 追記) FTP が失敗する場合は こちらを参照してください。
(6/21 12:50 追記) apache 1.3.26 + IPv6 patch の FreeBSD 用 Port を追加。
ログに、私の自宅サーバに侵入可能かどうかスキャンしている様子が記録されていた。 SAINTのようなツールを使っていたみたい。 SAINT のドキュメントに
Legal problems with running SAINT Not only is it an unfriendly idea to run SAINT against a remote site without permission, it is probably illegal as well.
と書かれているように他人のサイトに連絡もなしに使うなよな。不正アクセス未遂 ということで該当アドレスを管理しているプロバイダ *1に連絡し、注意してもらうつもり。
今回のスキャンでは anonymous FTP のパスワード入力で -saint@ という fake なメールアドレスを使っていた。こういうのは嫌なので、 明らかに fake と判断できるメールアドレスは拒否するように設定しました。 mozilla や netscape communicator などの web ブラウザでアクセスできない場合は anonymous FTP アクセスの設定を確認してみてください。
mod_ssl2.8.10 for apache 1.3.26 が出たので apache + modssl + IPv6 パッチを更新。
20020620 は (mod_ssl 対応でない) IPv6 patch の作成日を意味します。
ここ数日 5-current 上で生活環境を作ろうと試行錯誤。 ports/x11/XFree86-4-librariesがうまく build できないことに対処するパッチを作成したと思ったら、 /usr/bin/sedが壊れていて libtool や gmake が作れなくなっていることを発見。
ここのところ、 5-current の userland 回りは本当に「current らしい」ね :-)
5-current を gcc -O2 で build すると libc が変になる。 perl の動作が変になって XFree86 のフォントが正常に生成できない。 ports/x11-fonts/XFree86-font* では
perl /usr/X11R6/bin/ucs2any.pl courB10.bdf /usr/X11R6/lib/X11/fonts/util/map-ISO8859-1 ISO8859-1
などとしてフォントを作成するのだが、正常ならば
Writing 192 characters into file 'courB10-ISO8859-1.bdf'.
となるはずが gcc -O2 で build した /usr/lib/libc.so.5 だと
No glyph for character U+0064 (0x64) available. No glyph for character U+0065 (0x65) available. [snip] No glyph for character U+007D (0x7d) available. No glyph for character U+007E (0x7e) available. Writing 165 characters into file 'courB10-ISO8859-1.bdf'.
となって一部のキャラクタが生成されない。しばらくは 5-current では -O2 以上は 使わない方がいいだろうな。
src/share/examples/etc/make.confに
# CFLAGS controls the compiler settings used when compiling C code. # Note that optimization settings above -O (-O2, ...) are not recommended # or supported for compiling the world or the kernel - please revert any # nonstandard optimization settings to "-O" before submitting bug reports # to the developers.
とあるように FreeBSD では -O2 以上は公式にはサポートされていないのだけどね。
回りの対応で騒動。 FreeBSD-security MLでの theo の発言があまりにもアレだ。 SSH のようなセキュリティの中枢部分に theo が中心になって開発しているものを使うのが不安になってくるよ。
ということで OpenSSH 祭り第一弾。数日中にまた入れ替えなきゃいけないってのが わかっているのは悲しい。
それにしても、ここ数日大物に対処しなきゃならないことが頻発してるな。
昨日に引き続き、 FreeBSD-security ML で騒動続く。読んでると theo への不信感が どんどん強くなっていくんですけど。とりあえず、 FreeBSD 側としては theo の 相手するのは止めて対処を進めるという暗黙の了解ができたみたい。
影響範囲についてさえ何の説明もないから、 OpenSSH 使っている全ての場所で 対処を行わなければならない現状は非常に行けてない。
Full Disclosure Like many readers of the BUGTRAQ mailing list, we believe in full disclosure of security problems. In the operating system arena, we were probably the first to embrace the concept. Many vendors, even of free software, still try to hide issues from their users.
って書いてるんだけど、今の theo の行動って明らかにこれに反してるよな。 WWW の記述を修正して「theo が公開しないと判断した場合を除く」って明記して 欲しいぞ。
これみる限り、「狼少年 theo」という結論になりそう。
Affected Versions: OpenBSD 3.0 OpenBSD 3.1 FreeBSD-Current OpenSSH 3.0-3.2.3
が正しいとすると、 OpenSSH 2.X 使っていた FreeBSD 4-stable ユーザは対処の 必要がなかったことになるんだよね。今後どういう情報が入ってくるか わからないけど、情報を秘匿して世界中を振り回した theo には怒りを感じるよ。