今日の出来事 (Jun, 2010)

ここのところの VirtualBox 3.2.x...

　なにやら VirtualBox 3.2.x が迷走しています。 いえ， 3.2.0 は別段問題なかったのですけれど…その後が。 とにかく ORACLE (と言いますか， VirtualBox 開発部門。) には「落ち着いて しっかり動作確認と様子見をした後にリリースしろ」と言いたいです。 まるで日曜プログラマーのごとく 1 週間ほどの間に次から次と 4 回もバグ修正版 (それも「ビルド番号が変わっただけ」とか…。) を出したのでは， 他の製品からもユーザーが逃げてしまいます。

　私はといえば， 相性問題とアクティベーション問題を確かめるために， あえて VirtualBox 3.2.4 r62431 まではインストールしてみましたが， さすがに その直後に出た r62467 は入れていませんし入れる気も起きません。 落ち着きを取り戻して 1 ヶ月ほど静かになったら， その時点の最新版を入れてあげます。 あ， そこ。 「そんなに待ったら 放っておいても次の版が出る」といった突っ込みは無しです。(笑)

　それはともかく， VMware 7.1 も Corel PaintShop Photo Pro X3 も大丈夫でした。 さすがに毎回引っかかるわけではないようです。 …いえ， ここ最近は毎回引っかかっていたわけですけれど。

Ubuntu 10.04 Desktop インストール on VMware 7.1...

　現在 VMware 上のゲスト linux の中でメイン使用しているのは Ubuntu 9.04 なのですが， 気付いたら あと 3 月ほどでサポート期間が終了する状況となっていました。 結果論としては LTS である 8.04 から さっさと上げてしまったことが敗北点ということになります。 その時点では解っているつもりで上げたわけですけれど。(笑)

　それはともかく， サポートが切れる以上版を上げないといけないわけですが， 幸いと言いますか VMware 7.1 が 10.04 LTS に対応しましたので， 10.04 をインストールすることにしました。 そうと決まれば， あとは iso イメージを落とし それを使ってインストールして， パッケージを最新のものへ上げて最後に Wine をインストール…と， サクッと環境が整いました。 新からのインストールだと楽ちんですね。 データーは全部ホスト上に保存してあることですし。

　と言うわけで， 右上画像のような感じとなっています。 感想…「当分， この色使いに慣れることはないであろう。」 (笑)

　そういえば Wine ですが， Ubuntu 10.04 へ上がったからなのか Wine 1.2 rc2 へ上がったからなのかは判りませんが， フォントが無くとも日本語表示されるようになりました。 が， その状態だと軒並み HTML ヘルプがエラーでお亡くなりになりますので， やっぱり日本語フォントは必須みたいです。 エディター等で表示が崩れたりもしますし， あれこれ調整するよりはフォントを入れておいたほうが楽でしょう。 その辺りを除けば Wine 1.1.42 の頃と変わらないようです。

VMware 7.x と VirtualBox 3.x の相性問題...

　前は全く問題なかったのですが， いつの頃からか…， VMware が 7.1 へ上がったからなのか VirtualBox が 3.1 へ上がったからなのかは判りませんが， VirtualBox をインストールすると VMware の「VMware Authorization Service」が自動開始されなくなりました。 一旦この状況に陥ると再起動しようが何だろうが自動で起動することはなく， 回復するには VMware をインストールし直すしかありません。

　インストールし直すだけなら別段構わないのですが， 「(インターネット接続に絡む NIC に変化はなくとも) NIC が追加・削除されると即再アクティベーションが発生する」ソフトの存在する点が問題なのです。 となると， 頻繁に版の上がる VirtualBox のほうを控えるしかないですね。 あくまでもメインは VMware ですから。 ふむ。 マイナーバージョンの最終形態だけインストールするのがタイミング的に無難かしら？

Corel PaintShop Photo Pro X2 のアクティベーション...

　上のネタの続きです。 再アクティベーション発生組の中で一番問題となるのが， 標題の「Corel PaintShop Photo Pro X2」です。 これ， とりあえずは そのまま何もせずともアクティベーションが終了するわけですが， 累積カウントがしっかり積み上がります。 で， 昨日 VirtualBox 3.2.2 インストールに伴っての VMware 7.1 再インストールの結果， ついにインストール不可能となりました。

　まぁ， 月曜以降に Corel へ電話して事情を説明すればキーを発行してもらえるのでしょうけれど， 新版が出ていることですし手っ取り早く X3 を買ってしまいました。(笑) 　これで， しばらくは保つでしょう。

『LHA の脆弱性』その後 (5) と UNLHA32.DLL 等， 開発中止...

　『LZH 書庫のヘッダー処理における脆弱性について (2010 年版)』 (MHVI#20100425) について， 4 月下旬に JVN へ報告したのですが， 今日になってようやく返事が来ました。 結果は「不受理。」 　「殆ど同じネタでも， ZIP や 7z 書庫では脆弱性情報となり， LZH や ARJ 書庫では脆弱性に当たらない」としか解釈できない結果でした。 状況は 3 年半前と変わっていないようです。

　これで， 「ベンダー， JVN / IPA 等共に『LZH 書庫なんて知らねぇ〜よ』という態度から変わることはない」と判断できましたので， UNLHA32.DLL， UNARJ32.DLL， LHMelt の開発を中止することに決めました。 脆弱性が存在しても放っておかれるような書庫が いつまでも業務目的で利用されるのは嫌ですので。

　なので， 現行のバグフィクスくらいはしますが， 64 ビット版や低レベル API 追加版は出ません。 さらに やる気を失ってバグフィクスも面倒になったら告知することになるでしょう。 今は まだ完全停止に至っていませんので。

　おそらく， 海の向こうでネタに上るか大きな事件でも発生しない限り対応されることはないでしょうから， (特に団体・企業内で) LZH 書庫を使うのは止めましょう。 まぁ， ZIP 書庫ですら 3 年以上経ってから海外でネタに上ったくらいなので， LZH 書庫も あと 10 年ほどしたら海外でネタに上るかもしれません。

Jun.4,2010 追記

　「『LZH 書庫なんて知らねぇ〜よ』という態度」と解釈したのは， ベンダーについては「説明等を行ったあとは 3 年以上梨の礫で対応も行われていない」， JVN / IPA については「『ZIP， CAB， 7z 書庫など， 脆弱性情報として公開されている同様のケース (対策ソフト等で検疫が行われない不具合：JVNVU#545953。) と何が異なるのか？』といった質問に対して未回答だった」， といった経緯からです。 不受理とした理由が 3 年半前と同じ (「それは脆弱性ではなく， ソフトの機能・性能の問題」という理由。) であるのなら， 書庫が異なるだけの違いでしかない JVNVU#545953 を公開するのは論理的に破綻しています。 一方， 異なる理由が ちゃんとあるのであれば それを説明できるはずですし， 出来ないのであれば それはもはや「LZH 書庫だから」といった理由しか残らないことになります。

　よもや， 「CVE で採用された事案 (CVE-2010-0098) は公開するが， 国内からの情報提供は受理しない」といった寒いケースではないことでしょう…「ないと思いたい」です。 もしそうなら存在価値ゼロですから。

　何かアホらしくなってしまいましたので， 現在調査中だった 2・3 のソフトの脆弱性 (攻撃可能なもの。) については調査の継続 (と言いますか実証データーの作成。) も報告するのも止めました。 自衛だけしておいて， あとは何時か何処かで誰かがネタに上げてくれることを期待することにします。

Jun.7,2010 追記

　援護射撃があったからなのか， なにやら微妙に趣旨が追加・変更されて JVNVU#545953 の追加情報として扱う形に落ち着いたようです。 いや， 確かに元々「参考情報として扱う (何のとは示されていない。)」とは聞いていましたけれど。 それはともかく， CVE-2010-0098 に直接結びついた JVNVU#545953 に情報追加したのでは， ベンダーを含めて混乱するだけのような気がしないでも…。 とりあえずは様子見ですね。

　あと， 確かに「開発中止」とは叫びましたけれども， 投げたのは新型・新機能追加版のほうであって， 現行版のメンテナンスや約束した (約束しちゃった…が正解？) UNLHA32.DLL の 64 ビット版のほうは続けます， 念のため。 お勧めは出来ませんが， 既にそれで動いてしまっている方面もありますので， 出さないといけないのでした。