近いうちにwww.ruby-lang.orgで発表されるもの。フライング。
Ruby CVSリポジトリ安全確認完了のお知らせ
5月28日のクラック発見以来、ruby-lang.orgのCVSサービス停止でご迷惑をかけております。今回の侵入はCVS脆弱性を利用したものであり、侵入者はhelium.ruby-lang.orgのanoncvs権限を奪取に成功し、バックドアを仕掛けたものの、それ以上の行為には至っていないものと考えられます。ログやバックアップとの比較によってroot権限の奪取やchroot環境の外部への悪影響は発見されていません。
しかし、残念なことにCVSリポジトリはanoncvs権限で変更可能に設定されており、今回の侵入による安全性は保証されていませんでした。そこで我々は以下の手順で改竄が行われていないこと確認しました。
- cvsupによるリポジトリの外部への複製のログを入手し、このCVS脆弱性が公表された19日以降、我々が関知していない変更が行われていないことを確認した。
- 侵入が行われたと考えられる5月23日以前のもっとも新しいリポジトリのコピーである21日分と改竄が疑われる最新のCVSリポジトリの全データの差分をとり、我々の関知していない変更が行われていないことを確認した。
このことにより、我々スタッフ一同はRubyのCVSリポジトリには改竄が行われていないことを確信するに至りました。開発用リポジトリはすでに再開しています。
しかし、新たなCVS脆弱性も発見されており、より安全な運用体制を確立するため、anonymous CVSの再開はしばらく先になると思われます。あしからずご了承ください。
実はこれらの確認はとっくにできていたのだ。作文を怠慢してただけ。
メールオーガナイザーのパーツとしてsafecat(1)をRubyで実装してみた。 わずか20分で完了してしまった。 思わず「オレってばすげー」と思ってしまった。 これぞLLの醍醐味。
しかし、実際はすごいのは自分ではなくてツールだ。 Rubyだからこそこの速さで開発できたのだ。
が、そのRubyを開発したのは...。
...はいはい、分かりました。自慢したかったんでしょ。
妻が玄関を片付けていた。
玄関の靴入れの上は都合よくものが置ける場所なので、 FAXやらADSLモデムやら無線ルーターやらと、引っ越しのときに出たゴミのようなものが積み上がっていて この1月ほど異常に乱雑な様子であった。
が、とうとう片付けたのだ。機器は片隅に並べられ、残った場所には妻お手製のカントリードールが並べられた。 昨日までの散らかり具合を思うと見違えるようだ。
Rubyちゃん(北海道出身、仮名、赤毛+眼鏡)も久々に箱から出されて、 仲間たちと並ぶことになった。
行きたかったなあ。レポート希望。
アマゾンでは副題が間違っているという『4839912653』ですが、なんと発売1週間で増刷が決まりました。もともとの刷りが少ないってことを考慮に入れてもたいしたものです。これもみなさまのおかげです。ありがとうございます。
訂正しておくべき間違いを見つけた方はお早めに私のほうへ。こっそりと(じゃなくてもいいけど)。