WordPress脆弱性 、対処するも白画面そして解決 

WordPress脆弱性はプラグインでの新たな情報が出ていますが、本体とこのサイトで使用しているプラグインについての新たな情報はありませんでした。代わりといっては何ですがWordPress5.2.1の修正内容をチェックしました。重要な修正の内容は5.2で作りこまれたバグの修正でしたが、他の修正内容も確認しました。

5件は作りこみバージョンの情報がないもので、6件はWordPress5.1.1以前が作りこみバージョンのもの、それ以外はWordPress5.2で作りこまれたものです。作りこみバージョンがWordPress5.1.1とされた修正で、”jQuery Update 3.4.0”のアップデートがありました。これはWordPressで作りこんだバグではありませんが、jQueryでは”vulnerbility”とされているので、WordPressもこの脆弱性の影響があると判断したほうが良いでしょう。これは、 jQuery 3.4.0で対処された CVE-2019-11358 のことでしょう。ということでWordPress5.1.1も、 jQuery におけるクロスサイトスクリプティングの脆弱性の影響を受けるということなので、コメントを介して攻撃を受ける可能性があると判断し、WordPress5.2.1に更新します。

WordPress5.1.1から5.2.1にアップデートしましたが、 困ったことに 更新処理の途中で失敗し白画面となってしまいました。管理画面も白画面となり対処不能となったので仕方なくバックアップから書き戻していったん復旧しました。 類似の事象がないかチェックしましたがほぼ同じパターンのアップデートが成功していそうな情報がありました。違う条件はPHPのバージョンでした。そこで、PHP5.6をPHP7.2に上げて再度確認しましたが、アップグレード途中で失敗し白画面(500エラー)になる問題が再発しました。5.2.2で対処されることを期待して5.2.2を待とうかと思いましたが、うまくアップロードができている事例があるので、ログとかを見て調査することにしました。

まず、画面内容を再確認。

wordpress-5.2.1.zip から更新をダウンロード中…
更新を展開しています…
展開したファイルをチェックしています…
最新版をインストールする準備をしています…
メンテナンスモードを有効にします…
必要なファイルをコピーしています…
メンテナンスモードを無効にします…
更新が必要な翻訳が一部あります。更新が終わるまでしばらくお持ちください。WordPress (ja) の翻訳を更新しています…
翻訳が正常に更新されました。
ファイルをコピーできませんでした。: wp-admin/site-health.php
インストール失敗
WordPress のご利用ありがとうございます。 バージョン 5.1.1

インストール前の状態で、” site-health.php ”のファイルは存在しないので、ファイルを書き込み出来ていないのが原因でしょう。 wp-admin/ のフォルダの書き込み権限がないのでそれが原因でしょう。セキュリティ強化としてこのフォルダの書き込み権限を落としていました。書き込み権限を付加して、再度WordPress5.2.1へのアップグレードを行うことでアップグレードに成功しました。 アップグレード後は ” site-health.php ”などのファイル が作成されていました。書き込み権限を落として作業完了しました。

WordPress5.2.2については次回チェックします。5.1からのバグの修正があります。現時点では優先度はいずれもNormalなので近く公開されようとしている理由となっている修正はこの一覧にはないのかもしれません。

スマートコンセント、スマートプラグ

日本語では名称が”ふわっ”としていることがある。コンセントとプラグ、どっちがどっちか良くわからず使われていることはないですか?刺される方と刺すほう、どっちがどっちなのかという点です。プラグは刺すほうです。コトバンクの記載では”差込プラグ”とまで書かれています。冗長な表現なのですがこういう言葉が出てくること自体が、日本語では意味をちゃんと定義せずに使われていることを感じさせます。

英語(米)では、プラグはPlugですが、コンセントはoutletです。outletのほうが直接的な表現のように思います。

それはさておき、スマートコンセント、スマートプラグの名前の商品はどういうものでしょう。刺すほうなのか、刺されるほうなのか、どっちに着目したのかで命名されている感じがします。形状にあう名称にするなら”電源タップ”が妥当かも知れません。

パワーコンディショナーの消費電力

以前に推測・予測した「昼間は、発電した電力や充電した電力を消費することで動作している。雨天等で長時間発電がない場合、充電した電力も使い切るために外部の電力を消費する可能性がある」の検証をしてみます。

これは、”発電量が少ないときに微妙な消費電力増加”という事象がおきているかどうかで確認できると、考えました。

図1:午前中すこし曇っていたある日の発電量

パワコンディショナー内の充電分を考慮して、図1の12時点の発電量と1日の全発電量との相関を見ます。

朝方の時間帯のデータは夜間モードの影響のほうが大きく、発電量との相関はなさそうです。 気にしている10時台のデータについては相関あると判断できる結果が得られました。違和感があるデータとならないように、晴天時のパワーコンディショナーの消費電力はほぼ100%太陽光発電分で賄っていて、発電量が減るにつれて徐々に買電分で賄っていると推測します。この消費電力は約0.2kW程度です。この消費分とは別に買電のために交流に変換する際に発生するロスは別にあると考えます。パワーコンディショナーの仕様に書かれている消費電力はその辺をまるめてきさいしているのでしょう。

最近、多い自動車事故についての統計解析

最近、多い自動車事故について統計データを分析、解析してみようかとデータを探してみました。”交通事故総合分析センター”のサイトから入手できそうですが無料で入手できるのは統計解析後の情報だけでした。有料ならどこまで生データを入手できるのかよくわかりませんでした。無料で入手した統計データでは確認したい情報はありませんでした。以下に、何を確認したかったのかなどを書きます。

 事故件数は報道されている件数よりも遥に多いはず。ということは、報道は一部を報道しているだけなので、そこには報道関係者などのベクトルがかかっている。そのベクトルは妥当なのか、報道されている統計後の情報は、意図的に元データを操作するなどデータ自体にもベクトルがかかっていたりしないかを確認したかったのです。

まず、ぱっと思いつく疑問を挙げてみました。

・高齢者の事故が多いとされているが、何か傾向はあるのか?

・報道写真を見ていると、特定車種をよく見る。車依存の事故が多いのでは?

・今どきの分析での成果はなにかあるか?
とりあえずこの辺についてコメントします。

■”高齢者”に関する分析
・ 「運転者年齢層別の事故件数」や「 高齢者の事故 」の統計データがありました。 計数データはほかの年齢と比較しないと、あまり意味がないでしょう。事故を起こしたのが高齢者かどうか、資料での記述”第1当事者”の年齢別のデータについては、人口統計の補正はしているようですが、運転者人口とか運転時間(人・時)を母数とした情報にはなっていません。この辺の考慮や、運転時間別の比率つまり普段運転していない人のほうが多いとか、自動車を乗り換えてからの期間が短いつまり操作性が異なる車に慣れないうちに起こす事後が多いとか、組み合わせてみるとより顕著な結果が得られるように思います。

■”車種別”の分析
車の台数が多いから、よく報道に登場するのかどうかとか車種別のデータがありません。気が付いている人も多いので、統計データを公開しないのは何か意図的に隠ぺいしているように見えますよね。明らかに何かあるのなら情報を公開して、みんなで議論しつつ対策を進めるべきでしょう。逆に何もないなら公表しない理由は何のでしょうが、少なくとも何かる車種があるので公開できない状態なのでしょうか?よくあるパターンは、気にしているところは何もないが、思わぬ車種に特異なデータがあったりしますね。

■” 今どき”の分析
今どきの分析ならもっと面白い結果が出てきてもよさそうですが、その辺が何もない感じです。これだけ大量のデータがあるのだからちょっと何かすれば改善できるネタは出てくるはずなのですが。

↑感覚的にはそうかもしれないが、分析的なアプローチがない感じです。また、プリウスをじっくり乗りこなしたうえでも感じる違和感には到達していないと思われ、深堀りした内容にはなっていない感じがします。

↑ 最近のブレーキとアクセルの踏み間違いとみられている件に触れているが、その件についての原因周りの話はなく、 ギア周りの話に終始していて分析不足の感がある。

↑ギア周りの話は、同感です。 最近のブレーキとアクセルの踏み間違いとみられている件には触れていない。

↑全体的に同感ですが、身振り手振り付きの喋りながらの運転は危険運転とまではいかないが、いまいちです。さて、直近の事故は、事故ごとに特性は違うので、それぞれの事故ごとに分析が必要でしょう。

最近の車には、一昔前のフライトレコーダと同レベルの情報は残っているのでしょうからデータ解析すれば何かわかるでしょう。入力信号の混線や人為的なデータ破壊とかまで考えるとデータ矛盾のチェックなど大変な作業かも知れません。

できるだけ早く、完全自動運転で何とかしてほしいです。そのレベルに辿り着く途中の車のデザインは現状と変えないほうようにするとか、新しいデザインの車は一定基準を満たした人だけ運転できるとか、いろんな角度からの対策も必要そうですね。

トマト植付け完了

育苗していたトマトを植え付けました。これで、3月に種蒔きしたものはすべて植付けまで終わりました。とりあえずたっぷり灌水しましたが、来週は雨があまり降りそうにないのが心配です。

キュウリは順調に昨日張ったネットを見つけたようです。一番育っている1本だけネットと逆方向に這っているので誘引してやります。来週まで様子見です。

キュウリの背面にネットを設置

ひげが勝手に巻き付いてくれるように何か工夫してみましょう 」ということで、ホームセンターで購入しようと出かけましたが、その前に別の買い物のために立ち寄った100円ショップで園芸用ネットを見つけました。網目のサイズが20cmと10cmがあり、10cmのものを選択しました。5cmくらいのものが期待のものだったのですが、そこは100円ショップなので良しとして購入しました。これをキュウリの支柱の背面に設置しました。キュウリが、このネットをつたって勝手に上に伸びてくれることを期待して様子を見ます。

WordPress脆弱性 CVE-2017-6514

5/22に CVE-2017-6514の情報が公開されています。2年ほど間に登録されておりWordPress4.7.2に脆弱性があるとされています。JVNのほうにはまだ情報がないようです。 最新のWordPressでもまだ修正されていないのではないでしょうか?感触では、5.2.2で修正されそうな気がします。現時点のWordPress5.2.1.5.2.2の修正内容には該当するものはなさそうです。これから5.2.2向けにコミットされるじゃないでしょうか?

バージョンアップ情報、脆弱性情報の自動チェックを正式運用開始

先に書いた「Webページの更新内容自体が、動的更新によるものかどうかを自動チェックして、通知するかどうかを切り分けるように強化」の完了し、うまく機能することが確認できたので、正式に運用を開始しました。また、「日本語でのメール送信」機能も組み込んだので見やすく、作業効率が改善しました。今後、新たなソフトウェアのチェックが必要になったときにチェックルールをメンテナンスしていきます。

パワーコンディショナーの消費電力の解析、ここまでのまとめ 

これまでにパワコンなどの消費電力について確認した情報を整理します。

1.製品仕様から読み取った情報

1a) 夜間と昼間で電力消費の状態が変化する。
1b) 昼間は発電した電力を消費し、消費電力は変換効率内の扱いとなり表面上は見えない。
1c) 機種によっては充電する機能(UPS)を持っている。

2.収集したデータや動作から確認した情報

2a) ”1a)”の状態が切り替わる時間は(日照時間)時期によって変わる。
2b) 夜間に消費される電力は変わることがある。

3.収集した情報からの推測、予測

3a) 夜間に消費される電力は仕様に記載されている消費電力より大きくなることがある。
3b) パワコン等のファームウェアのバージョン(コード内容)や設定などにより消費電力が変化する
3c) 昼間は、発電した電力や充電した電力を消費することで動作している。雨天等で長時間発電がない場合、充電した電力も使い切るために外部の電力を消費する可能性がある

WordPress5.2.1リリース、5.2.2も近いうちにリリース

脆弱性の情報は公開されていませんが、重大な修正が行われていると思われます。WordPress5.2にバージョンアップ済みの場合はすぐに5.2.1にアップグレードしたほうが良いでしょう。 立て続けにリリースしようとしているということは、5.2.2のリリースを待っている場合ではないと思います。 5.2より前のバージョンに影響があるとは書かれていないので、とりあえず静観します。

仮に、これらの修正に脆弱性の修正が含まれているなら、その脆弱性情報の公開は5.2.2のリリースの後になると推測しています。