Linuxに関する翻訳をしていくスレ

Linuxに関する翻訳をしていくスレ (183ﾚｽ)
上下前次 1-新

104: 2021/12/07(火)09:24 ID:MErHqQ4k(6/8) AAS
>>103
デスクトップLinux開発者への教訓

ここには、開発者にとっての教訓が2つあります。

Steamやその他の通常のソフトウェアをインストールすることで、重要なグラフィックエレメントが削除されることがあってはならなりません。
ユーザーは、通常のメインストリームのディストリビューションから重要なソフトウェアを削除することができてはなりません。

ポップ！_OSは、Steamのバグをすぐに修正し、さらにデスクトップの重要なエレメントの削除を無効にする防御的なメカニズムを追加しました。

　　何らかの理由で、i386 版のパッケージが Launchpad に公開されなかったことがありました。Steam が i386 パッケージであるため、インストールしようとすると、依存関係を解決するためにそのパッケージを Ubuntu バージョンにダウングレードしなければならず、Pop!_OS パッケージが削除されてしまいました。
　　- Jeremy Soller (@jeremy_soller) 2021年10月26日

105(2): 2021/12/07(火)09:29 ID:MErHqQ4k(7/8) AAS
>>105
今後、このような事態を防ぐために、POP!_OSはAPTパッケージマネージャーにパッチを当てました。これで、POP!_OSは「はい、私の言うとおりにしてください」と入力することができなくなりました。その代わり、（誰かが本当にパッケージを削除したいと思ったら）それを有効にするために特別なファイルを追加しなければならないでしょう。

これはPop!_OSが取った良い動きです。しかし、これはPop!_OSにとってだけの教訓ではありません。ほとんどの Linux ディストリビューションが同様の状況に遭遇し、デスクトップ環境やディスプレイサーバ自体を削除してしまう可能性があります。

KDEはメモを取って、次期Plasma 5.24リリースではPlasmaデスクトップの削除を無効にする機能を追加しました。

106: 2021/12/07(火)09:35 ID:MErHqQ4k(8/8) AAS
>>105
明確な警告があったにもかかわらず、災難に合ってしまったリーナス・セバスチャンを非難する声も多くありました。しかし、ここで問題なのは、どんなに技術的に優れていても、多くのユーザーは「警告」を気にしないということです。Yボタンを押すことやそれに類することは、じっくりと考えずに手順の一部だと思い込んでしまうのです。他のLinuxユーザーの中にも、過去に遭遇した人がいますし、今後も遭遇する人は多いでしょう。

だからこそ、フェイルセーフを追加することは賢明なステップなのです。これは、すべての主要なディストリビューションが採用すべきことです。

107: 2021/12/07(火)11:35 ID:KDl3+fgD(1) AAS
ID:MErHqQ4k ＝ tsfoss.comの許可を得ずに機械翻訳を5chにコピペする糞志賀擁護

108(1): 2021/12/25(土)20:50 ID:xy41Jf5n(1/9) AAS
外部ﾘﾝｸ:news.itsfoss.com
Log4j Open Source Vulnerability Puts the Entire Internet at Risk: What You Need to Know

Log4j is probably the nastiest open-source security vulnerability in years, where cybersecurity professionals race to patch systems before attackers can inject malware.

Log4jのオープンソース脆弱性により、インターネット全体が危険にさらされる：知っておくべきこと

Log4jは、おそらくここ数年で最も厄介なオープンソースのセキュリティ脆弱性であり、サイバーセキュリティの専門家は、攻撃者がマルウェアを注入する前にシステムにパッチを当てようと懸命に取り組んでいます。

109: 2021/12/25(土)20:55 ID:eOSwSTiR(1) AAS
ID:xy41Jf5n ＝ itsfoss.comの許可を得ずに機械翻訳を5chにコピペする糞志賀擁護

110(1): 2021/12/25(土)20:59 ID:xy41Jf5n(2/9) AAS
>>108
Log4Shell is a Remote Code Execution Class vulnerability denoted as CVE-2021-44228 disclosed as an exploit that affects millions of servers that run Java applications, or particularly the open-source Apache Log4j library.

If you are curious, a wide range of applications/servers and digital systems across the internet use Log4j for logging purposes. Even the back-end systems used by Steam, Minecraft, Cloudflare, and iCloud were found vulnerable.

Why is it one of the most significant vulnerabilities in recent times? Let me tell you more about it.

111(1): 2021/12/25(土)21:01 ID:xy41Jf5n(3/9) AAS
>>110
Log4Shellは、CVE-2021-44228と表記されるリモートコード実行クラスの脆弱性で、Javaアプリケーション、特にオープンソースのApache Log4jライブラリを実行している数百万のサーバーに影響を及ぼすことになるとして開示されました。

インターネット上の様々なアプリケーション/サーバーやデジタルシステムが、ログ取得のためにLog4jを使用しています。Steam、Minecraft、Cloudflare、iCloudで使用されているバックエンドシステムでさえ、脆弱性が発見されました。

なぜ、ここ最近で最も重要な脆弱性の一つなのでしょうか？詳しく説明しましょう。

112(2): 2021/12/25(土)22:53 ID:xy41Jf5n(4/9) AAS
>>111
またもやの脆弱性で、何が大問題なのですか？

攻撃者に悪用されると、この脆弱性を利用して、遠隔操作でサーバーにマルウェアを追加される可能性があります。この脆弱性の深刻度は10分の10で、最も高いレベルです。

他の多くの脆弱性とは異なり、これは設計上のバグ（機能の結果）です。つまり、最初の時からLog4jのロギングに欠陥があったということです。

そう、これはJavaアプリケーションがエラーメッセージを記録するために使用するApache Log4jライブラリと同じ無害なものでもあります。

この脆弱性は、Alibaba Cloud セキュリティチームのChen ZhaojunがApacheで発見したものです。その後、Minecraftのサーバーがこの脆弱性を受けていることが判明し、ゼロデイ脆弱性として世間の注目を浴びるようになりました。

113(1): 2021/12/25(土)23:03 ID:xy41Jf5n(5/9) AAS
>>112
Mad props to Chen Zhaojun of Alibaba Cloud Security for responsibly disclosing the #log4j vulnerability in private directly to the log4j developers, so that a patch to log4j was released by December 6th, several days before the vulnerability went public.
— Talia Ringer (@TaliaRinger) December 12, 2021

Alibaba Cloud セキュリティチームの専門家 Chen Zhaojunが、責任を持って#log4jの脆弱性をlog4jの開発者に直接非公開で開示したので、脆弱性が公開される数日前の12月6日までにlog4jへのパッチをリリースすることができました。
- Talia Ringer (@TaliaRinger) 2021年12月12日

114(1): 2021/12/25(土)23:23 ID:xy41Jf5n(6/9) AAS
>>113
これは、経験の浅いハッカーでも真似することができ、それほど苦労せずに何百ものアプリケーションに影響を与えることができる、非常に危険な不具合です。

さらに悪いことに、あなたのシステムが脆弱であるかどうかを検出するのは簡単ではありません。

この脆弱性は、コードがネットワーク側につながっていない場合でも、サーバーのどこにでも潜んでいる可能性があります。例えば、ログが保存されている場所などです。

したがって、多くのアプリケーションがLog4jを使ってログを生成・保存していることを考えると、この脆弱性を検出するのは簡単ではありません。たとえサーバーが100％Javaでなくても、Log4jが使われている小さなインスタンスはあり得ます。

要するに、非常に危険で、悪用が容易で、検知に時間がかかる脆弱性は、サーバー管理者にとっては、なんとやっかいなことではありませんか？

115: 2021/12/25(土)23:32 ID:xy41Jf5n(7/9) AAS
>>114
Log4Shellはセキュリティの悪夢

今現在、Log4Shellの脆弱性はインターネット上で話題になっています。もちろん、大手インターネット企業には、パッチを適用して問題を迅速に解決するリソースがあります。

しかし、すでにGitHubで概念実証（PoC）が公開されていることを考えると、攻撃者はサービスを妨害するために脆弱なシステムを見つけるために奔走しています。LinuxかWindowsかには関係なく、ほとんどすべてのサーバーが影響を受けています。

残念ながら、何億台ものデバイスが危険にさらされています。つまり、これは1日や2日で直るようなセキュリティ上の欠陥ではないのです。CyberScoopのレポートによると、脆弱なLog4jライブラリを含むすべてのデバイスを特定するには、数ヶ月から数年かかるとしています。

忘れてはならないのは、私たちは年始の長期休暇を迎えようとしていることです。そのため、いくつかの管理者や開発者は、自分のシステムの脆弱性を見つけ、できるだけ早く修正する必要があります。

116(2): 2021/12/25(土)23:42 ID:xy41Jf5n(8/9) AAS
>>116
セキュリティ脆弱性を防ぐには？

公式発表によると、Apacheは、Log4j v2.15.0で初期パッチをリリースし、攻撃者による任意のコードの実行を防止しています。

　『設定、ログメッセージ、パラメータで使用されるJNDI機能は、攻撃者が制御するLDAPや他のJNDI関連エンドポイントから保護されていません。ログメッセージやログメッセージパラメータを制御できる攻撃者は、メッセージの検索置換が有効な場合、LDAP サーバから読み込んだ任意のコードを実行することができます。log4j 2.15.0 からは、この動作はデフォルトで無効化されています。』

また、Sophosのようなサイバーセキュリティ企業が、サーバー（LinuxとWindows上）でこの脆弱性をテストしたり、検出や緩和、パッチするためのブログ記事をアップしているのを見つけることができます。

最近、Apache は Log4j の更新を行い、この脆弱性の原因となる動作を無効にし、リモートの攻撃者があなたのサーバーでコードを実行できないようにしました。

117: 2021/12/25(土)23:59 ID:xy41Jf5n(9/9) AAS
>>116
Apache Log4j 2.16.0がリリースされました。Apache Logging Services Project Management Committee (PMC)の皆さん、24時間体制での迅速なリリースの提供に感謝します！
— Apache – The ASF (@TheASF) 2021年12月13日

したがって、Apache Log4j 2.15.0 または 2.16.0 リリースにアップグレードすることによってのみ、アプリケーションおよびサーバに対しての、この不具合から守ることができると考えてよいでしょう。いずれの場合も、すぐにアップグレードするのが難しい場合は、Sophosなどのサイバーセキュリティ企業によるいくつかの緩和ガイドを参照することができます。

主要なIT企業は、この問題を解決するために、24時間体制で取り組んでいます。しかしこれは、モバイル機器のアプリをアップデートするほど簡単ではありません。

現在のところ、攻撃者はこのセキュリティ上の欠陥を利用して、デバイスを危険にさらし始めています。正確な数字はわかりませんが、サイバーセキュリティの専門家にとっては、穏やかな年末年始の休暇とはならないでしょう。

118(1): 2022/06/19(日)11:39 ID:LocB48RY(1/9) AAS
Linuxの翻訳専門スレがあるので、次の記事を翻訳してみましょう。

Ubuntu Spyware: What to do?
by Richard Stallman — Published on 07/12/2012 01:52
外部ﾘﾝｸ:www.fsf.org

*This work is licensed under a Creative Commons Attribution-No Derivative Works 3.0 license (or later version)

119(1): 2022/06/19(日)11:40 ID:LocB48RY(2/9) AAS
One of the major advantages of free software is that the community protects users from malicious software. Now Ubuntu GNU/Linux has become a counterexample. What should we do?

Proprietary software is associated with malicious treatment of the user: surveillance code, digital handcuffs (DRM or Digital Restrictions Management) to restrict users, and back doors that can do nasty things under remote control. Programs that do any of these things are malware and should be treated as such. Widely used examples include Windows, the iThings, and the Amazon "Kindle" product for virtual book burning, which do all three; Macintosh and the Playstation III which impose DRM; most portable phones, which do spying and have back doors; Adobe Flash Player, which does spying and enforces DRM; and plenty of apps for iThings and Android, which are guilty of one or more of these nasty practices.

120: 2022/06/19(日)11:57 ID:LocB48RY(3/9) AAS
>>119
フリーソフトウェアの大きな利点の1つは、コミュニティが悪意のあるソフトウェアからユーザを守ることです。今、Ubuntu GNU/Linuxはその反例となりました。私たちはどうしたらいいのでしょうか?

プロプライエタリなソフトウェアは、ユーザに対する次のような悪意のある扱いと関連しています。すなわり、監視コード、ユーザを制限するデジタル手錠 (DRM もしくは Digital Restrictions Managementというもの)、そして遠隔操作で厄介なことをするバックドアなどです。これらのいずれかを行うプログラムはマルウェアであり、そのように扱われるべきです。広く使われている例としては、Windows、iThings、Amazonの "Kindle "製品（仮想ブック作成用）、MacintoshとPlaystation IIIについてはDRM、ほとんどの携帯電話ではスパイ行為とバックドアがあり、Adobe Flash Playerはスパイ行為とDRM、iThingsとAndroid用の多くのアプリケーションではこれらのうち一つまたは複数の不正行為を行う、というようにその例を挙げることができます。

121(1): 2022/06/19(日)12:00 ID:LocB48RY(4/9) AAS
Free software gives users a chance to protect themselves from malicious software behaviors. Even better, usually the community protects everyone, and most users don't have to move a muscle. Here's how.

Once in a while, users who know programming find that a free program has malicious code. Generally the next thing they do is release a corrected version of the program; with the four freedoms that define free software (see 外部ﾘﾝｸ:www.gnu.org they are free to do this. This is called a "fork" of the program. Soon the community switches to the corrected fork, and the malicious version is rejected. The prospect of ignominious rejection is not very tempting; thus, most of the time, even those who are not stopped by their consciences and social pressure refrain from putting malfeatures in free software.

122: 2022/06/19(日)12:16 ID:LocB48RY(5/9) AAS
>>121
自由ソフトウェアは、悪意のあるソフトウェアの振る舞いからユーザ自身を守る機会を与えてくれます。さらに良いことに、通常はコミュニティが皆を守るので、ほとんどのユーザはびくともする必要がありません。その方法とは次のとおりです。

まれに、プログラミングを知っているユーザが、自由なプログラムに悪意のあるコードがあることを発見することがあります。通常、そうしたユーザーは次の段階としてプログラムの修正版をリリースします。自由ソフトウェアを定義する4つの自由(外部ﾘﾝｸ[html]:www.gnu.org 参照)により、彼らはこれを自由に行うことができます。これはプログラムの「フォーク」と呼ばれます。すぐにコミュニティは修正されたフォークに乗り換え、悪意のあるバージョンは拒絶されます。不名誉な拒絶の見通しがあるのであまり魅力的ではありません。ですから、たいていの場合、良心や社会的圧力からでは止められない人々でさえ、自由ソフトウェアに悪意のある機能を入れることを控えるのです。

123: 2022/06/19(日)16:03 ID:LocB48RY(6/9) AAS
>>118
翻訳し公開するのは適当でないと判断したので、取り止めることとしました。
お手数とは存じますが以下原文（英語）をご覧ください。

上下前次 1-新書関写板覧索設栞歴

あと 60 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.011s