Mac OS X v10.2.8以前の3つの脆弱性公表 74
ストーリー by yourCat
放置プレイは勘弁 部門より
放置プレイは勘弁 部門より
foryoolife曰く、"@Stakeが米AppleのMac OS X 10.2.8以前に存在していた脆弱性を公表した。内容は、1) コマンド引き数 (argv[]) のバッファーオーバーフロー、2) ファイルおよびディレクトリへのパーミッション (アクセス許可) の扱いの欠陥、3) 対話シェル経由でrootプロセス所有コア・ファイルへのアクセス可能、の3つ。未だにAppleからはパッチがリリースされていないため、もっとも有効な策はPantherにアップグレードするしかないようだ。"
確かにApple Security Updatesには、Pantherにて修正されたとの記述がある。更に、@Stake報告分以外の脆弱性も掲載されている。/.Jに10.2.8用パッチも出るとの情報が寄せられているものの、出るまでの間が気持ち悪い。10.2.8はごたごたしたが、その影響で遅れているのだろうか?
[Update: 2003年11月1日 06:00 JST] MacCentral宛に、この件に関するAppleの見解が送られた。曰く、"Appleは、重大な脆弱性に関しては、過去にリリースしたMac OS Xに対しても速やかに対応する方針であり、それはPanther発売後も変わらない。" 速やかではないから、これだけ大騒ぎになったのだが……。
Appleユーザー的にはこういうのもありなの? (スコア:2, 興味深い)
Mac OS Xの脆弱性、Panther以外にパッチはなし? [zdnet.co.jp]
iBook G4欲しかったんですけど、これくらいで萎える自分は資格なしなんでしょうね、きっと。
セキュリティホール対策 (スコア:1)
本当はユーザがもっと声を上げて改善を求めることが大切なんでしょうけど、肝心のユーザが増えないことにはどうしようもないですね。今回の件にはかなりガッカリしましたが、Panther の開発と並行してできるほどのマンパワーはないと思います。
ちなみに、Intel の四半期ごとの売り上げの増減 = Apple の市場シェア x 2 [zdnet.co.jp] だそうです。
-- cooper
Re:セキュリティホール対策 (スコア:1)
>けれど、技術者の立場として見ると、その手間とコストがかかるのは十分わかるので、今の対応で限界なのかな、という諦めもあります。
技術者としての立場としても、一個前のバージョンにセキュリティパッチを提供しないにはどうかと思いますが…
ま、アップルは小さい会社だから仕方ないとあきらめるか、それとも別なOSに乗り換えるかはユーザー次第だからユーザー以外がどういっても仕方ないことだけど、これを機にサポートポリシーを明確にするべきでしょうね。
Re:セキュリティホール対策 (スコア:0)
だとしたらOSメーカーとしては史上最悪ですね。
今新品として売っているプロダクト [sofmap.com]ですらサポート外な訳でしょ。
OS選択の自由がほぼ無い所にこれは、いくら宗教だとしても酷すぎやしませんか....
Re:セキュリティホール対策 (スコア:1)
ま、1-2週間待っても動きが無かったらその時こそ出してはどうか。
Re:セキュリティホール対策 (スコア:0)
隠蔽希望。
Re:セキュリティホール対策 (スコア:1)
今回のもフレーム覚悟で再度トップに上げ直したほうがいいのかなあ。はて・・・。
・・・もっとも、WinXPのインストール条件を見ると、なんか似たよーなもんを感じるのもありますが。でもまだ98買おうと思えば買えるんだよなあ。ビッグブルージーパン禿CEOにはもう少し考えて欲しいのは事実じゃ。
AirMac(AirBase)もG3パワブーも、機械的なことで、ここらへん日本国内メーカーだと考えにくいってのがねえ。
Re:セキュリティホール対策 (スコア:1)
脆弱性への対応を迅速に行うことや、過去の製品をあっさり切り捨てないで欲しいというのは、製品を購入しているユーザとして当然の権利要求です。しかし企業もボランティアでない以上、そのための原資が必要です。
そして、限られた原資のうち、新規開発にどれだけ割り振り、サポートにどれくらいまわすかの匙加減には、企業の経営方針が如実に反映されて当然です。
現在の Apple にとっては、eMac や iBook に Panther を搭載して戦略的な価格で販売することのほうが、サポートの充実よりも勝っているように見えます。こういったキャンペーンの結果、シェア拡大を実現すれば、手厚いサポートに繋がるかもしれないわけです。
一方で、そういった基礎体力もないような企業が OS を作るべきではない、という意見もあるでしょう。これ以上被害者を増やす前に店をたたむべきだ、と。しかし、そうやって切り捨ててしまうには惜しいぐらいに、将来性のある OS だと、個人的には思うのです。
# こう書くとやっぱり信者に見えてしまうのかなぁ...
-- cooper
Re:セキュリティホール対策 (スコア:1)
セキュリティホール memo [ryukoku.ac.jp]では相当辛辣にやられてますね。
「OS屋としては失格だよね」の「失格」をわざわざ赤くしてるし。
で、卵が先か鶏が先かって話になっちゃうんだけど、言ってみれば
「賞味期限の記載がない食品」を売ってるのを問題に
されちゃってるんですね。
「賞味期限」を捏造する方がもっと悪質ではあるのだけど、今回は
それ以前の問題だと見なされたと。
*BSDベースのOSとWindowsのどっちが「悪くなりにくいか」までは
一般消費者は知識も関心も無いし。
んで、プロの料理人も賞味期限の書いてない鯖は食材として使えないなと。
今回の失点は結構大きいかもしれません。
-- All is need your love.
Re:セキュリティホール対策 (スコア:1)
まずはサポート期間を明示するよう、強く求めていくべきですね。
なんにせよ、ステートメントが遅すぎます。実際の対応が遅くなることはある程度仕方がないかもしれませんが、正式発表なり見解なりは ASAP で出して欲しいものです。
-- cooper
Re:セキュリティホール対策 (スコア:1)
時間の経過とともに論点が変わってきたというのもあるんだけど、
1.Panther出荷。(セキュリティ「強化」)
2.Jaguar以前ではFix出来てない穴をAppleが公表。
3.でも、修正パッチ公開は謎。(下手すりゃ放置プレイか?)
4.それ以前にJaguar以前のver.はいつまでサポートするんだ?
(まだ使ってるヤツも多いんだぞ)
・・・で、大騒ぎになったわけで。
賞味期限=サポート期間の明示はもちろんですが、この場合、
いたずらな情報開示が逆に不安を引き起こした感もあるので、
情報を出すなら「穴への対処もちゃんとしろ」。
対処が遅くなるなら「~すればひとまず危険は回避できる」と
いう、きめ細かな対応が必要かと。
-- All is need your love.
Re:セキュリティホール対策 (スコア:1)
> 格で販売することのほうが、サポートの充実よりも勝っているように見えます。
> こういったキャンペーンの結果、シェア拡大を実現すれば、手厚いサポートに
> 繋がるかもしれないわけです。
これは仮定でしょうけど、少しでもこの考えがあるなら企業として成り立っていません。
これでついていく人達がいるなら、それは企業の形をした実質インチキ宗教か詐欺師でしょう。
# 計画もその気も無いのに「必ず返すから金貸して…」みたいな。
http://srad.jp/comments.pl?sid=130316&cid=424541 に書きましたが、
そもそもMSでいうライフサイクルサポートのような方針・考えがアップルにないのが驚き。
これじゃ企業や官公庁・学校・団体では使えないでしょう。そこでは導入・維
持の計画がたてれないんですから。これでも使っている企業、官公庁・学校・
団体があるのが不思議ですが。個人でも私は使えません。個人でも使えないと
いう人も多いのでは? だってiBook G4 の発表の少し前にアップルストアで
Jaguarがのったハードを買った人がいたとしたら、それはサポートしないと
いうことですよね。実際にいるかしれませんけど。
これじゃ個人の何が何でもアップルについていくという *盲目的*なファン
じゃないと使えませんよ。アップルもそこを対象に商売してください。お願い
します。事前の断りとして以下の周知を徹底をお願いしたいです。
「アップルはOSについてサポート対象の方針・計画がありあません。
その時々で判断します。またいついかなるときにもサポートを放棄
することもあります」と。
方針が無い中で売りっぱなし。甘えるなアップル。世界規模の企業ながら世間
知らずなアップル、哀れ。
えっ (スコア:2, 興味深い)
みんつ
Re:えっ (スコア:2, 興味深い)
今回の脆弱性は新しく発表された訳ではなく、Apple自らが既に発表していたものです。それはそれで大問題ですが (t_traceさんの#424433 [srad.jp]参照)。SU-2003-10-28の際 [srad.jp]に、Panther未満への対応を望む声があがっていました。
既に話は出尽くしている感がありましたが、タレコミがありましたので敢えて記事に立てたものです。このため、ローカルが適当だと判断しました。
Re:えっ (スコア:1)
ローカルの様子見 (スコア:1)
なにしろ既に424388みたく出ちゃってるように、否定発言だけならまだしも如何にも煽りを意図している書き方がでたり、
それに反応してしまうのが居たりと、此の手の話には大抵邪魔なモノが入り込む癖がある為慎重なほうが良いかと。
否定コメントが「荒らし」モデレートされているというのは目立つだけにこっちも気分が複雑。ただまあ如何にも「困りそうな」ネタに発言する以上、ネタ関連以外で怒りを買いそうな言葉は抜いたほうが無難でしょうが。
多分、数週間待っても動きが無いようだったらフレーム解禁かという気はする。
ジョブスは値段が安いんだから、ということで強気なのかもしれないが、10.3をMDD以上のマシンに放り込むとPDFの「画像」スクロールが最大50パーセント速度ダウン(なんとG5マシンで。Mac Fan記事より)というほうが気になる。
Re:ローカルの様子見 (スコア:1)
やはり、G5出したしここらでやっちまえ、な良くないもくろみがしつこく残ってるんでしょうが、パッチの話があいまいな状態で出したAppleも?なんで、もう少し経ってもいまいちな対応だった場合はその時こそたたきましょ。
サーバー版10.2*は買えるようだ。ただ、サーバー版だけパッチ出して逃げるとかだとこれまたなあ。
Re:えっ (スコア:0, 荒らし)
否定的なコメントは全部「荒らし」になってるし。
今回の対応を見るとMSってまともな会社だったんだなと思う。
Re:えっ (スコア:1)
会社のほぼ全部がWindowsユーザーの環境でMac使い続けている
俺なわけだが、なんでこういう広域なクライアントPCの脆弱性話
題がセクションローカルなのか、不思議でならない。
みんつ
Re:えっ (スコア:0, すばらしい洞察)
いくつもあって、ずっと問題になってるけど?
Re:えっ (スコア:0)
Re:えっ (スコア:0)
Re:えっ (スコア:0)
それはMSがまともな会社であることを保証しない。
目くそ鼻くそを笑う・・・
体質的 (スコア:1)
OS7.5.3時代からの伝統と言えば伝統なんだけど・・・。
セキュリティ云々で此のやり方が不味くなったと言うのもUNIXパワアのなせる技??
記事をトップに持って来いと言う声があるが、たとえ否定意見として傾聴に値するものが有ったとしても、案の定既に見られるように発言にもコメントにも煽りに取られるような文句が付け加わってたりするので、セキュリティネタとしてトップに持ってくるのは辛そうだ。
10.2系の今後のサポート (スコア:1, 参考になる)
その時のビデオも撮られてましたよね?>スタッフの方々。
Re:10.2系の今後のサポート (スコア:0)
言ってました。
あとは、公式な発表が欲しいですね。
Re:10.2系の今後のサポート (スコア:1, 興味深い)
すぐ思いつくだけでも、Security Update 2002-11-21 [apple.co.jp]の10.1用のは出てないし、Mac OS X 10.2.2 Update [apple.co.jp]でApacheがアップデートされてるのに、10.1用のこれに相当する物も出てません。
# 金がなくてアップグレードできない知り合いのMac OS X Server10.1が、今確認したらまだBIND 8.2.3とApache 1.3.26で動いてるよ…。
不要なプロセス (スコア:1)
だめか。
(blaster みたいに、無関係なこっちにまで影響が及んだらいやだし)
なお、デフォルト状態では Apache とか sshd とか、
よそから接続できるようなものは動いていなかったん
じゃないかと。
Re:不要なプロセス (スコア:1)
>よそから接続できるようなものは動いていなかったん
>じゃないかと。
Apacheもsshdも、今回の脆弱性で問題になっているパーソナルファイル共有も、マウスを3回クリックするだけで起動します。
初期状態でオフになっているからといって安心できる性質のものではありません。
Microsoft プロダクト サポート ライフサイクル (スコア:1)
プロダクト サポート ライフサイクル [microsoft.com]
Windows デスクトップ製品のライフサイクル
[microsoft.com]
プロダクト サポート ライフサイクルを製品毎に探す [microsoft.com]
Internet Explorer ライフサイクル ウィザード: 選択(Internet Explorerにチェックを入れてクエリの実行) [microsoft.com]
Appleを知らなかったんですが、こういうのってAppleにはないんですか?
もしそうなら企業では使いにくそうなんですけど。使用者の想定がMSとAppleではもともと違うのかな? 企業には売る気無い?
OS のサポートポリシー (スコア:1)
いつも思うんだけど、 (スコア:1, すばらしい洞察)
Appleに対して否定的な発言には「荒らし」
しかもモデがすげー速い。
windowsユーザってOSを道具でしか見てない部分があるので
ここまで強烈にされると軽い嫌悪感。
Re:いつも思うんだけど、 (スコア:1)
マカーですが、賛成。でも、
>windowsユーザってOSを道具でしか見てない部分があるので
十把一絡げに言い切っていいの?ここについては同意できない。
nobuo * Who's gonna die first? *
MSセクション希望 (スコア:1, すばらしい洞察)
オリバたんよろしくお願いします。
率直な感想. (スコア:0, 荒らし)
MSの二の舞を踏まない努力はしないのだろうか?
今回の件に関しては、Microsoftこそ見習うべき (スコア:1)
Microsoftを見習っていればこの脆弱性はこのような問題にならなかったことでしょう。
Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:0)
Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:0)
Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:0)
どのOSでも脆弱性はいつでも問題になり、アップデートをどうするかは
OS提供者とユーザ次第。提供されなければどうしようもないと言う人も
いるだろうけど、提供してもアッ
Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:3, すばらしい洞察)
今回発表された脆弱性は、既にAppleによって発表されています。
http://lists.apple.com/mhonarc/security-announce/msg00038.html
Apple当人が発表しているので発見者も追従しただけでしょう。
無責任なのはパッチが存在しないのに脆弱性を公開したAppleです。
>アップデートが出るというのに勝手に決めつけてMS見習えってのは変だよ。
BSDconで日本の総代理店がリップサービスしたという上記の事例以外に、アップデータが出るというソースがあれば教えていただきたい。
オープンレビューに耐えないソースをもとに、出る、出ないのはなしをしても無意味でしょ。
現在の状況はパッチが出るかどうかはわからない、という状態です。
OSのサポートポリシー [ryukoku.ac.jp]でライフサイクルが指定されていないMac OS Xがいかに異常かわかります。
品質はともかく、ポリシーとして自らを律する努力に関して、Microsoftはよくやっていると思います。
Appleにはこれがない。それが問題だといっているのです。
Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:0)
アップルってそれが不評の1つですが、全くリップサービスなんてしない組織ですね。
決まっていることすら事前に一般に発表しない一貫した方針なのは、周知のこと。
10.2向けセキュリティアップデートを発表しないとどこかで発表もしくは発言が
あったのならソースがあれば教えていただきたい。
一
Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:2)
親コメントにリンクを張ったんですが、読んでいただけなかったようですね。
APPLE-SA-2003-10-28 Mac OS X 10.3 Panther [apple.com]でJaguarでのセキュリティ「強化」についてのレポートが掲載されています。
半分ほどは確かにセキュリティ強化といってもいい内容だと思いますが、今回@Stakeが発表した3つの脆弱性の修正も含まれています。
CAN-2003-0876がSystemic Insecure File Permissions [atstake.com]
CAN-2003-0877がArbitrary File Overwrite via Core Files [atstake.com]
CAN-2003-0895がLong argv[] Buffer Overflow [atstake.com]
ちょっと読めばわかることですけど。
>一般的に自らを律する努力を一番やっていないMicrosoftがよくやっているなんて思ってるの?
「製品をいつまでサポートします」と外部に公表すら行っていないAppleと、出しているMicrosoftを比較したときに、
Microsoftは少なくとも、守れないときに受けるユーザや社会からの不信感のリスクを踏まえて、ライフサイクルを公表しています。
変更に次ぐ変更があってユーザが不信感を持っているなら自業自得でしょう。
Appleはそれすらやっていないということです。
サーバを含む製品を販売している企業としては異常ではないですか?
#私は、個人的にこの異常な企業の出すOSに、これを超えるだけのメリットを
#感じているからマカをやっているわけです。ま、いわゆる信者ですな(w
>10.2向けセキュリティアップデートを発表しないとどこかで発表もしくは発言があったのならソースがあれば教えていただきたい。
私は「現在の状況はパッチが出るかどうかはわからない、という状態です。 [srad.jp]」と書いています。
出るとも出ないとも言っていません。
Jaguarの脆弱性をAppleみずからが発表し、Jaguarを使っているユーザを危険な状態に陥れたことも、親コメントで語っていないもう一つの問題です。
もしパッチが公開されるならば、Jaguarのパッチが公開されてから上記のSAを出せば、誰も問題にはしなかったでしょう。
Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:0)
Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:0)
米アップル、旧OS X用のパッチはなし--対応に批判の声も [cnet.com]
Apple patches Panther but not older OS [com.com]
問題扱いされているようですが。
Re:今回の件に関しては、Microsoftこそ見習うべき (スコア:0)
Re:率直な感想. (スコア:1, すばらしい洞察)
○MSの二の舞いにならない
○MSと同じ轍を踏まない
ていうか意味が全然通らないでしょ(笑
Re:率直な感想. (スコア:0)
○MSの二の舞いは演じない
率直な感想. (スコア:0, 荒らし)
二の舞っていうか、MS以下。
パッチ欲しければOS買え (スコア:0)
Re:2日じゃ無理でしょ (スコア:1)
(公表するまでの「猶予」を与えているわけです)
詳細 [atstake.com]を見ても分かる通り、ベンダーの返答を待って公表
されています。Apple の返答は「Panther で修正された」ですので、
この時点では Apple は、 Panther 未満では修正する気がなかった、
と読み取る事も出来ます。