_ [orca] ghostscriptの脆弱性によるORCAへの影響

Debianセキュリティアドバイザリ DSA-1510-1にて、ghostscript(gs)の脆弱性が出ています。PS/PDFのインタプリタとして利用する場合、悪意のあるファイルを開いた場合に任意のコードを実行されてしまう危険性があります。

それはさておいても、Ricohのレーザープリンタを(psではなく)メーカ提供のgsドライバで利用している場合は、gs-espパッケージのアップデートによって、RicohのGhostscript用RPDLフィルタ付きのgsが上書きされてしまうため、印刷できなくなる可能性があります。

この問題に関しては、2008/4/9に、Ricohからセキュリティーアップデートに対応したgsがリリースされています。素早い対応に感謝。指示通りにインストールを行えばOKです。

また、Canonのプリンタをsarge環境かつメーカドライバで使用している場合は、Debian sarge標準のgsにopvpモジュールが含まれていないので、独自パッケージのgsをインストールすることになっています。そのため、現状ではアップデートすると、独自パッケージのgsが上書きされてしまい、印刷できなくなったり(正確には、"Unknown device :opvp"とだけ書かれた紙が印字される) 印刷速度が遅くなったりしてしまうようです(cupsの再起動を行ってない場合)。

"Unknown device :opvp"は、gsが吐いているエラーで、組み込まれていないドライバでの印刷をCUPSなどから指定された場合に、エラーを出します。対処方法としては、opvpドライバが組み込まれているgsを利用してください。(新しいgsパッケージを使う、gs-gplよりgs-espを使う、opvpドライバ組み込みのgsパッケージを追加でインストールするなど)

EtchでCanonのメーカドライバを利用している場合であれば、Debian標準のgsにopvpドライバが含まれているので、問題はありません。(2008/3/17に、Etch対応のドライバ ver1.6がリリースされています。こちらも素早い対応に感謝。)

#下記はあくまで事例であって、他社プリンタでもDebian標準のgsを置き換えて
#利用するようなドライバの場合、印刷できなくなる恐れがあります。
  
□ Debian Etchでのgsの状況
  
○ PostScript対応プリンタをpsで使用している場合
× Ricohのレーザプリンタをgsで使用している場合
○ Canonのレーザプリンタをgsで利用している場合
  
* Ricohのrpdl4ドライバが導入されている場合
$ gs-esp -h | grep rpdl
   r4081 rpdl rpdl4 samsunggdi sgirgb sj48 spotcmyk st800 stcolor sunhmono t4693d2
  
* セキュリティアップデートによってgsが上書きされてしまった場合
$ gs-esp -h | grep rpdl
   r4081 rpdl samsunggdi sgirgb sj48 spotcmyk st800 stcolor sunhmono t4693d2
  
-----------------------------------------
□ Debian Sargeでのgsの状況
  
○ PostScript対応プリンタをpsで使用している場合
× Ricohのレーザプリンタをgsで使用している場合
× Canonのレーザプリンタをgsで利用している場合
  
* Canonプリンタで利用するopvpドライバが導入されている場合
$ gs-esp -h | grep opvp
   ml600 necp6 npdl nullpage oce9050 oki182 oki4w okiibm omni oprp opvp
  
* セキュリティアップデートによってgsが上書きされてしまった場合
$ gs-esp -h | grep opvp
  (なし)
  
  
(余談)
Sarge環境で、Canonプリンタで印刷できなくなった場合は、gsのバージョンが上がってしまっているので
強引に元に戻す手法としては、パッケージキャッシュが残っている場合は
$ sudo dpkg -i /var/cache/apt/archives/gs-esp_7.07.1-9mtu5_i386.deb
して、念のためcupsの再起動を行って
$ sudo /etc/init.d/cupsys restart
で印刷が可能になります。
  
もし、パッケージキャッシュがみつからないようであれば
http://kmuto.jp/debian/mtu/pool/main/g/gs-esp/
より取得できます。
  
ただし、再インストールしてもそのままだと、アップグレードの際に
再度Debianのgs-espに置き換わってしまうので、
パッケージをholdしてアップグレードさせないようにする必要があります。
gsの独自パッケージが入っている状態で
# echo gs-esp hold | dpkg --set-selections 
を実行して、パッケージをホールドしておくといいでしょう。
  
ただし、将来的にgsの独自パッケージがセキュリティ対応で
アップデートされたのであれば
# echo gs-esp install | dpkg --set-selections 
でホールド解除して、アップデートしてやる必要があります。
  
もしくは、aptitudeしか使わないのであれば
# aptitude hold gs-esp　　　でホールド
# aptitude unhold gs-esp     でホールド解除
することもできます
  
□ 参考
Debian スレッドテンプレ - 特定のパッケージをアップグレードの対象から外したい
http://debian.fam.cx/index.php?AptGet#ma5c1389
OpenPrinting - ベクタープリンタドライバのインストール
http://opfc.sourceforge.jp/debian.html

_ [PC] VMwareでゲストOSからホストOSにアクセスできる脆弱性

対象となる製品は、Windowsホスト上のVMware Workstation/Player/ACEで、VMware Server/ESX Serverは含まれません。この脆弱性は、VMwareの機能のshared folder(共有フォルダ)に関するもので、共有フォルダが有効かつフォルダ指定を行っている場合に、影響があるようです。

また、VMware Workstation6やVmware Player 2では、デフォルトで共有フォルダが無効になっているので影響は少ないでしょうが、VMware Workstation5やVmware Player 1ではデフォルトで有効になっているようなので、フォルダ指定を行っている場合は要チェックです。回避策としては、下記を参照してください。

ITPro - VMwareにぜい弱性，ゲストOSからホストOSにアクセス可能に
http://itpro.nikkeibp.co.jp/article/NEWS/20080226/294827/
VMware - Critical VMware Security Alert for Windows-Hosted VMware Workstation, VMware Player, and VMware ACE
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1004034
  
□ 今回のVMwareの脆弱性の回避策
---------------------------------------------------------------------
共有フォルダを全般的に無効にする:
   1.メニューから「編集」→「環境設定」を選択。
   2.ワークスペースタブを開いて、「デフォルトですべての共有フォルダを有効にする」の
     チェックを外す。
  
仮想環境で個別に無効にする:
   1.メニューから「VM」→「設定」を選択。
   2.オプションタブを開いて、共有フォルダの設定を「無効」にする。
---------------------------------------------------------------------
  

_ [その他] コメントspamに気づかず

tdiary 2.2に移行して、従来のspamフィルタリング+特定語句方式から、spamフィルタにおまかせで試したままにしていたら、1個のみのURLを含んだコメントspamが投稿されてしまっていました。しかも、コメントメールの送信がうまくいってないので、しばらく気づかなかったし...orz。

対策として、hrefを含むコメントはすべて拒否することで、リンクを貼らせないようにしてみました。また、NGワードリストも復活。これでたいがい大丈夫だとは思います。日本語などの2バイト文字を含まない投稿をすべて拒否すれば、効果は高いんですが、過去に他の言語圏などから投稿できなかった可能性もあるので、今回は見送りに。

さて、ということでコメントを隠すだけなのはアレなので、tdiaryのデータフォルダから、2005/200503.tdcファイルを編集して、cache以下のファイルを削除してリロードで消しました。

追記:ついでにRSSの見直しで記事全文を含めずに、比較的短い形のエントリにしてみました。しかし、RSSリーダで全文読めて完結したほうがいい or RSSリーダはインデックス的に使っているので短いほうがいい、とでは、どっちを好む人が多いんでしょうか。