Linuxに関する翻訳をしていくスレ

Linuxに関する翻訳をしていくスレ (183ﾚｽ)
上下前次 1-新

101(1): 2021/12/07(火)08:58 ID:MErHqQ4k(3/8) AAS
>>100
この数週間は、デスクトップLinuxコミュニティを揺るがす出来事がありました。

人気の技術系YouTuberであるLinus（TorvaldsではなくSebastian）は、1ヶ月間デスクトップでLinuxを使うことを決めました。Linus Sebastianは、Linuxが技術系オタクでも手に取って実行できるほどユーザーフレンドリーなものになっているかどうかを確認したかったのです。PCゲームはSebastianがよく取り上げる分野なので、彼はLinuxでのゲームにも注目しました。

これは面白いコンセプトで、Linuxコミュニティの多くは、より多くの技術者にLinuxデスクトップを無料で宣伝できると興奮していました。

しかし、Linux Daily Driver Challengeの最初の部分で、それはひどく失敗してしまいました。

102(1): 2021/12/07(火)09:09 ID:MErHqQ4k(4/8) AAS
>>101
Linus Sebastianの有名なPop!OSの瞬間

Linus Sebastian氏は、ゲーム用のメインストリーム・ディストリビューションとして優れているとよく言われるPop!_OSをインストールすることにしました。そして、ソフトウェアセンターからSteamをインストールしようとしましたが、ソフトウェアセンターはインストールに失敗しました。

グラフィカルに動作しなかったので、彼は他のLinuxユーザーがするであろうことをしました。彼は端末を開いて、魔法のようなsudo apt-get installコマンドを実行しました。

グラフィカルな方法でも端末での方法でも、Pop!_OSは、ユーザーがいくつかの基本パッケージを削除する寸前であるという警告を表示しました。

103(1): 2021/12/07(火)09:16 ID:MErHqQ4k(5/8) AAS
>>102
コマンドライン方式では、「あなたは潜在的に有害なことをしようとしています」とはっきりと警告されました。続行するには "その通り実行しろ "と入力してください。

多くのLinuxユーザーにとって、これは立ち止まって考えるべきポイントだったかもしれません。出力結果を見ると、gdm3、pop-desktop、その他多くのデスクトップ環境エレメントを削除しようとしていることがよくわかります。

しかし、人々はしばしば警告を気にしません。リーナス・セバスチャンはそれを実行し、結局、グラフィカルにログインできない壊れたシステムになってしてしまいました。

104: 2021/12/07(火)09:24 ID:MErHqQ4k(6/8) AAS
>>103
デスクトップLinux開発者への教訓

ここには、開発者にとっての教訓が2つあります。

Steamやその他の通常のソフトウェアをインストールすることで、重要なグラフィックエレメントが削除されることがあってはならなりません。
ユーザーは、通常のメインストリームのディストリビューションから重要なソフトウェアを削除することができてはなりません。

ポップ！_OSは、Steamのバグをすぐに修正し、さらにデスクトップの重要なエレメントの削除を無効にする防御的なメカニズムを追加しました。

　　何らかの理由で、i386 版のパッケージが Launchpad に公開されなかったことがありました。Steam が i386 パッケージであるため、インストールしようとすると、依存関係を解決するためにそのパッケージを Ubuntu バージョンにダウングレードしなければならず、Pop!_OS パッケージが削除されてしまいました。
　　- Jeremy Soller (@jeremy_soller) 2021年10月26日

105(2): 2021/12/07(火)09:29 ID:MErHqQ4k(7/8) AAS
>>105
今後、このような事態を防ぐために、POP!_OSはAPTパッケージマネージャーにパッチを当てました。これで、POP!_OSは「はい、私の言うとおりにしてください」と入力することができなくなりました。その代わり、（誰かが本当にパッケージを削除したいと思ったら）それを有効にするために特別なファイルを追加しなければならないでしょう。

これはPop!_OSが取った良い動きです。しかし、これはPop!_OSにとってだけの教訓ではありません。ほとんどの Linux ディストリビューションが同様の状況に遭遇し、デスクトップ環境やディスプレイサーバ自体を削除してしまう可能性があります。

KDEはメモを取って、次期Plasma 5.24リリースではPlasmaデスクトップの削除を無効にする機能を追加しました。

106: 2021/12/07(火)09:35 ID:MErHqQ4k(8/8) AAS
>>105
明確な警告があったにもかかわらず、災難に合ってしまったリーナス・セバスチャンを非難する声も多くありました。しかし、ここで問題なのは、どんなに技術的に優れていても、多くのユーザーは「警告」を気にしないということです。Yボタンを押すことやそれに類することは、じっくりと考えずに手順の一部だと思い込んでしまうのです。他のLinuxユーザーの中にも、過去に遭遇した人がいますし、今後も遭遇する人は多いでしょう。

だからこそ、フェイルセーフを追加することは賢明なステップなのです。これは、すべての主要なディストリビューションが採用すべきことです。

107: 2021/12/07(火)11:35 ID:KDl3+fgD(1) AAS
ID:MErHqQ4k ＝ tsfoss.comの許可を得ずに機械翻訳を5chにコピペする糞志賀擁護

108(1): 2021/12/25(土)20:50 ID:xy41Jf5n(1/9) AAS
外部ﾘﾝｸ:news.itsfoss.com
Log4j Open Source Vulnerability Puts the Entire Internet at Risk: What You Need to Know

Log4j is probably the nastiest open-source security vulnerability in years, where cybersecurity professionals race to patch systems before attackers can inject malware.

Log4jのオープンソース脆弱性により、インターネット全体が危険にさらされる：知っておくべきこと

Log4jは、おそらくここ数年で最も厄介なオープンソースのセキュリティ脆弱性であり、サイバーセキュリティの専門家は、攻撃者がマルウェアを注入する前にシステムにパッチを当てようと懸命に取り組んでいます。

109: 2021/12/25(土)20:55 ID:eOSwSTiR(1) AAS
ID:xy41Jf5n ＝ itsfoss.comの許可を得ずに機械翻訳を5chにコピペする糞志賀擁護

110(1): 2021/12/25(土)20:59 ID:xy41Jf5n(2/9) AAS
>>108
Log4Shell is a Remote Code Execution Class vulnerability denoted as CVE-2021-44228 disclosed as an exploit that affects millions of servers that run Java applications, or particularly the open-source Apache Log4j library.

If you are curious, a wide range of applications/servers and digital systems across the internet use Log4j for logging purposes. Even the back-end systems used by Steam, Minecraft, Cloudflare, and iCloud were found vulnerable.

Why is it one of the most significant vulnerabilities in recent times? Let me tell you more about it.

111(1): 2021/12/25(土)21:01 ID:xy41Jf5n(3/9) AAS
>>110
Log4Shellは、CVE-2021-44228と表記されるリモートコード実行クラスの脆弱性で、Javaアプリケーション、特にオープンソースのApache Log4jライブラリを実行している数百万のサーバーに影響を及ぼすことになるとして開示されました。

インターネット上の様々なアプリケーション/サーバーやデジタルシステムが、ログ取得のためにLog4jを使用しています。Steam、Minecraft、Cloudflare、iCloudで使用されているバックエンドシステムでさえ、脆弱性が発見されました。

なぜ、ここ最近で最も重要な脆弱性の一つなのでしょうか？詳しく説明しましょう。

112(2): 2021/12/25(土)22:53 ID:xy41Jf5n(4/9) AAS
>>111
またもやの脆弱性で、何が大問題なのですか？

攻撃者に悪用されると、この脆弱性を利用して、遠隔操作でサーバーにマルウェアを追加される可能性があります。この脆弱性の深刻度は10分の10で、最も高いレベルです。

他の多くの脆弱性とは異なり、これは設計上のバグ（機能の結果）です。つまり、最初の時からLog4jのロギングに欠陥があったということです。

そう、これはJavaアプリケーションがエラーメッセージを記録するために使用するApache Log4jライブラリと同じ無害なものでもあります。

この脆弱性は、Alibaba Cloud セキュリティチームのChen ZhaojunがApacheで発見したものです。その後、Minecraftのサーバーがこの脆弱性を受けていることが判明し、ゼロデイ脆弱性として世間の注目を浴びるようになりました。

113(1): 2021/12/25(土)23:03 ID:xy41Jf5n(5/9) AAS
>>112
Mad props to Chen Zhaojun of Alibaba Cloud Security for responsibly disclosing the #log4j vulnerability in private directly to the log4j developers, so that a patch to log4j was released by December 6th, several days before the vulnerability went public.
— Talia Ringer (@TaliaRinger) December 12, 2021

Alibaba Cloud セキュリティチームの専門家 Chen Zhaojunが、責任を持って#log4jの脆弱性をlog4jの開発者に直接非公開で開示したので、脆弱性が公開される数日前の12月6日までにlog4jへのパッチをリリースすることができました。
- Talia Ringer (@TaliaRinger) 2021年12月12日

114(1): 2021/12/25(土)23:23 ID:xy41Jf5n(6/9) AAS
>>113
これは、経験の浅いハッカーでも真似することができ、それほど苦労せずに何百ものアプリケーションに影響を与えることができる、非常に危険な不具合です。

さらに悪いことに、あなたのシステムが脆弱であるかどうかを検出するのは簡単ではありません。

この脆弱性は、コードがネットワーク側につながっていない場合でも、サーバーのどこにでも潜んでいる可能性があります。例えば、ログが保存されている場所などです。

したがって、多くのアプリケーションがLog4jを使ってログを生成・保存していることを考えると、この脆弱性を検出するのは簡単ではありません。たとえサーバーが100％Javaでなくても、Log4jが使われている小さなインスタンスはあり得ます。

要するに、非常に危険で、悪用が容易で、検知に時間がかかる脆弱性は、サーバー管理者にとっては、なんとやっかいなことではありませんか？

115: 2021/12/25(土)23:32 ID:xy41Jf5n(7/9) AAS
>>114
Log4Shellはセキュリティの悪夢

今現在、Log4Shellの脆弱性はインターネット上で話題になっています。もちろん、大手インターネット企業には、パッチを適用して問題を迅速に解決するリソースがあります。

しかし、すでにGitHubで概念実証（PoC）が公開されていることを考えると、攻撃者はサービスを妨害するために脆弱なシステムを見つけるために奔走しています。LinuxかWindowsかには関係なく、ほとんどすべてのサーバーが影響を受けています。

残念ながら、何億台ものデバイスが危険にさらされています。つまり、これは1日や2日で直るようなセキュリティ上の欠陥ではないのです。CyberScoopのレポートによると、脆弱なLog4jライブラリを含むすべてのデバイスを特定するには、数ヶ月から数年かかるとしています。

忘れてはならないのは、私たちは年始の長期休暇を迎えようとしていることです。そのため、いくつかの管理者や開発者は、自分のシステムの脆弱性を見つけ、できるだけ早く修正する必要があります。

116(2): 2021/12/25(土)23:42 ID:xy41Jf5n(8/9) AAS
>>116
セキュリティ脆弱性を防ぐには？

公式発表によると、Apacheは、Log4j v2.15.0で初期パッチをリリースし、攻撃者による任意のコードの実行を防止しています。

　『設定、ログメッセージ、パラメータで使用されるJNDI機能は、攻撃者が制御するLDAPや他のJNDI関連エンドポイントから保護されていません。ログメッセージやログメッセージパラメータを制御できる攻撃者は、メッセージの検索置換が有効な場合、LDAP サーバから読み込んだ任意のコードを実行することができます。log4j 2.15.0 からは、この動作はデフォルトで無効化されています。』

また、Sophosのようなサイバーセキュリティ企業が、サーバー（LinuxとWindows上）でこの脆弱性をテストしたり、検出や緩和、パッチするためのブログ記事をアップしているのを見つけることができます。

最近、Apache は Log4j の更新を行い、この脆弱性の原因となる動作を無効にし、リモートの攻撃者があなたのサーバーでコードを実行できないようにしました。

117: 2021/12/25(土)23:59 ID:xy41Jf5n(9/9) AAS
>>116
Apache Log4j 2.16.0がリリースされました。Apache Logging Services Project Management Committee (PMC)の皆さん、24時間体制での迅速なリリースの提供に感謝します！
— Apache – The ASF (@TheASF) 2021年12月13日

したがって、Apache Log4j 2.15.0 または 2.16.0 リリースにアップグレードすることによってのみ、アプリケーションおよびサーバに対しての、この不具合から守ることができると考えてよいでしょう。いずれの場合も、すぐにアップグレードするのが難しい場合は、Sophosなどのサイバーセキュリティ企業によるいくつかの緩和ガイドを参照することができます。

主要なIT企業は、この問題を解決するために、24時間体制で取り組んでいます。しかしこれは、モバイル機器のアプリをアップデートするほど簡単ではありません。

現在のところ、攻撃者はこのセキュリティ上の欠陥を利用して、デバイスを危険にさらし始めています。正確な数字はわかりませんが、サイバーセキュリティの専門家にとっては、穏やかな年末年始の休暇とはならないでしょう。

118(1): 2022/06/19(日)11:39 ID:LocB48RY(1/9) AAS
Linuxの翻訳専門スレがあるので、次の記事を翻訳してみましょう。

Ubuntu Spyware: What to do?
by Richard Stallman — Published on 07/12/2012 01:52
外部ﾘﾝｸ:www.fsf.org

*This work is licensed under a Creative Commons Attribution-No Derivative Works 3.0 license (or later version)

119(1): 2022/06/19(日)11:40 ID:LocB48RY(2/9) AAS
One of the major advantages of free software is that the community protects users from malicious software. Now Ubuntu GNU/Linux has become a counterexample. What should we do?

Proprietary software is associated with malicious treatment of the user: surveillance code, digital handcuffs (DRM or Digital Restrictions Management) to restrict users, and back doors that can do nasty things under remote control. Programs that do any of these things are malware and should be treated as such. Widely used examples include Windows, the iThings, and the Amazon "Kindle" product for virtual book burning, which do all three; Macintosh and the Playstation III which impose DRM; most portable phones, which do spying and have back doors; Adobe Flash Player, which does spying and enforces DRM; and plenty of apps for iThings and Android, which are guilty of one or more of these nasty practices.

120: 2022/06/19(日)11:57 ID:LocB48RY(3/9) AAS
>>119
フリーソフトウェアの大きな利点の1つは、コミュニティが悪意のあるソフトウェアからユーザを守ることです。今、Ubuntu GNU/Linuxはその反例となりました。私たちはどうしたらいいのでしょうか?

プロプライエタリなソフトウェアは、ユーザに対する次のような悪意のある扱いと関連しています。すなわり、監視コード、ユーザを制限するデジタル手錠 (DRM もしくは Digital Restrictions Managementというもの)、そして遠隔操作で厄介なことをするバックドアなどです。これらのいずれかを行うプログラムはマルウェアであり、そのように扱われるべきです。広く使われている例としては、Windows、iThings、Amazonの "Kindle "製品（仮想ブック作成用）、MacintoshとPlaystation IIIについてはDRM、ほとんどの携帯電話ではスパイ行為とバックドアがあり、Adobe Flash Playerはスパイ行為とDRM、iThingsとAndroid用の多くのアプリケーションではこれらのうち一つまたは複数の不正行為を行う、というようにその例を挙げることができます。

上下前次 1-新書関写板覧索設栞歴

あと 63 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.011s