WordPress5.4.1リリース  セキュリティ修正を含む が … 5.2.6も自動適用された

 2020/4/29にWordPress5.4.1がリリースされました。これには7件のセキュリティ修正が含まれています。ただ相変わらず修正内容に関する情報公開がぬるい。修正のほかに強化項目も含まれているので何用のリリースなのか分かりにくい。

■5.4.1での修正内容は

 情報公開で、分かりにくいポイントはいくつかあるが、ぱっと見どれがセキュリティ修正かわからない。NVD、JVNには4/30時点では、まだ情報公開されていないようです。修正内容のほとんどはバグ作り込みが、WP5.4となっています。そして2件の修正対象のバグ作り込みバージョンは5.3となっています。 これはREST APIに関するものです。 この修正では、5.2以前のものはなさそうなので、 5.2系を使っているところは様子見でよさそう。

 REST APIの件がセキュリティ修正かどうかが気になる。 #49648はプロパティのアトリビュートが取れない問題、#49645も同様にREST APIを使ったシーンで情報が取れない問題だ。これは、セキュリティかどうかに関係なくアップデートしておいたほうがよさそうです。 アップデートするとなると気になるのは、5.4や5.4.1で強化された項目の残バグの状況です。 

■残留バグ、つぎの修正の予定は?

すでに5.4.2を作業中のようです。これも強化を含む修正で、5.1で作り込んだバグの修正も含みそうです。 

■それで、どうする?

5.4.1については、 5.3系には適用するのでよいでしょう。 5.2以前は5.4.2が出るのを待つので良いでしょう。5.2は5.2.6が自動適用されました。
それからNVDなどの情報もチェックしましょう。

■追記:5.2.6の内容は?

5.4.1の修正内容ではなく、5.4.2で作業中のテーマの更新を先行して出したようです。WordPressの修正一覧ではマイルストーン、バージョンともに5.2.6はまだ登録されていません。 修正内容もチェックしておきましょう。

WordPress5.4がそろそろリリースされそう。 セキュリティ修正は?

 2019/12/13にWordPress5.3.1 セキュリティパッチがリリースされてから、セキュリティ修正はまだないが、5.4でどうなるかちょっとみてみた。 修正内容の管理も5.4もできている。

■5.4での修正内容は

 今時点で5.4がリリースされるような状況ではない感じがする。 最悪5.4はスキップして、5.5か という感じさえする。というのは、#49685 など、マイルストーンを5.5としている。修正できたら5.4にセットしなおすのかもしれないが。。。

それから、5.3以前の作り込みバグの修正はなさそうです。いずれも5.4での問題の修正とされている。

■4/2追記:

5.4リリースされていました。
結構クローズされていない状態でリリースされているようだ。 修正内容の項目数は、先日みたときより4倍くらいに増えている。まだまだ修正中という感じですね。となると、5.4.1のリリースもすぐかもしれない。 それから、5.4での強化のいろづけが簡単にできるようになるのはよさそう。。。 でも、大きめの残バグがあるので、5.4へのバージョンアップは修正パッチが出てからにしよう。

・脆弱性

2020年もプラグインがらみの脆弱性が多数報告されている。 プラグインのほうもチェックしておかないと。。。

活動量計 T-PRO Lifesense band2 想定外の電池切れ、半年ほどで寿命??

以前に電池の持ちについてレポートした T-PRO Lifesense band2 ですが、本日想定外の電池切れが発生しました。これまでは心拍計オンでも5日ほど電池が持っていましたが今回はフル充電した翌日に切れました。

 充電しても充電されるようすがありません。最近何かし違うことをしたかと言えば、USBの口つきのコンセントをかえたことです。まさかと思いながらコンセントを交換して充電しなおしました。復活?、100%まで無事に充電できたように見えます。昨日は間違いなく100%まで充電できていたので、1日でほぼ0%になったのは謎です。とりあえず心拍計オフでどうなるか様子を見ます。問題なければ、不具合のあるUSB充電アダプタで充電すると十分に充電できていないのに100%と表示されるということになるのですが…。 なんか納得いかない挙動です。

 別の観点で、今日何か特別なことをしたかといえば、特になにもしていない。接点をショートさせるような水気への接触などは特にない。 

 再現するのか様子見です。

スパム対策設定の成果

先のスパム設定の成果

設定対策後1ヶ月が経過しました。 先に公開した設定で、検出できなかったスパムは0件でした。 ただ、誤検知、つまり通常の配信メールなのにスパムと判定されたメールが4件ありました。これらは、除外設定で暫定回避して誤検出を抑制しています。

正式な誤検出対策の方法

誤検出を検出されたときに1件づつ除外設定をしなければならないのは面倒です。そこで、誤検出してしまった原因を確認して、その条件を除外することとします。
 DNSの逆引きで、unknownとなった送受信ログがあるものを対象としていますが、メースシステムの送受信でDNSで名前解決をせずに動作しているメールサーバーの存在が原因でした。つまり、メールの送信元がファイアウォール内のイントラネットであって、そこから中継サーバを経てインターネットに送信されています。

普通、メールサーバならイントラネット内でもDNSで名前解決するようにシステム設計するものなのですが、それなりにインターネットサービスをしている企業であっても名前解決・逆引きできないメールサーバがいくつかあります。DNS設定くらいしておいてほしいのですが、そんなことを言っても解決できないので、対処方法を考えてみます。
  問題はイントラネット内でのUnknownですので、Unknwonが10.x.xとか192.168.xとかのイントラネットIPなら除外する回避設定を正式対処としてみます。正規表現でUnknownかつ(10.xx.xx)でも(192.168.x)でもxxxでもない場合にスパムと判定するように見直します。といっても、メーラのフィルタにこのルールを設定できるのか疑問ですが。

スパム対策設定その後

先のスパム設定の結果と追加対策

対策前の1週間: 対象のスパムなどのメール は 284通。 これは振り分け前なので一部MLも含んでいる。 半数はスパム候補として判定されマークされている。一番対策したかったのは、メーラーやSpamAssassinでスパム判定し漏れてメインのメールボックスに入ってくる新しめ?のスパムでした。 100通/週くらいありました。

対策後の1週間;メインのメールボックスに入るスパムはほぼなくなり、1週間で2,3通でした。スパム判定の下メール内訳は次の通り、
先に追加したスパム判定ルールで検出したスパム:222通。うち、97通はメーラーやSpamAssassinでスパム判定し漏れたものでした。 追加したルールで引っかからず、メーラーやSpamAssassinで検出したものは157通ありました。 
 誤判定がないとは言えませんが、誤判定してしまうような環境から送信されたメールは不要としてしまってもよいかもしれません。数はほとんどないのでどうしても必要ならホワイトリストに入れることで回避できます。 スパムに困っている人は参考にしてください。

スパムメール対策 、おや多いと思ったら設定し漏れ…

最近スパムメールが増えてきたので、設定の見直しをしてみた。いくつかのパターンに分けて対策を試みる。

fromが自分のメールアドレスに偽装されているもの

このパターンは、一目でスパムとわかるので、まとめて削除できるが、事前に何とかならないか設定方法を見直してみる。
 このパターンは、サーバーで拒否してほしい。これは、送信元IPや送信元サーバーのドメインで判断できる。しかし、ここのレンタルサーバサービスでは提供されていない。仕方ないので、メーラで受信後に自動削除してみよう。
 メーラによって設定方法や設定ができるかどうか変わりますが、以下はThunderbirdでの設定方法です。
 ツール→メッセージフィルタ→新規→フィルタ名を入力→条件で”カスタムヘッダ”「Received」 に”次を含む”「.XXXX (unknown」を指定し、 動作に「メッセージ削除」を指定する。
  この設定で、 *.XXXX ドメインと語るサーバー(本当のドメイン名unknownつまりDNSで逆引きできない)から送信されたメールを削除する。

特定IPからの送信を拒否

特定IPからの送信を拒否するより、送信元のメールアドレスが自分で、送信元のIPが自分以外のものを拒否するほうが効果的だろう。このパターンも レンタルサーバサービスでは拒否方法が提供されていない。同様に、メーラーで削除設定してみよう。上と、同様に
 仕方ないので、メーラで受信後に自動削除してみよう。
 ツール→メッセージフィルタ→新規→フィルタ名を入力→条件でカスタムヘッダ「差出人」に「次を含む」・「自分のメールアドレス」とand条件で「Received」 に「次を含む」、「unknown」を指定し、 動作に「メッセージ削除」を指定する。 「Received」 に「次を含む」、「(unknown」を指定し、 動作に「メッセージ削除」を指定する。※2019/12/26更新 普通にサービスされている正式なものにも意外に送信元名が設定されていないサーバーがあるので、IP逆引きできないものに限定することにした。これだけでも半数以上のスパムを処置できそうです。

以上の設定で、かなりの数のスパムメールが減るハズ。
とりあえず、1週間くらいこれで様子を見てみよう

それってホントに電子マネー?知らないと損をする仕組み

本来、お金とは「 貨幣。金銭。また、財産。 」とか、特に知識がなくて扱えるもののはずなのですが、困ったことに電子マネーはだんだんとゆるゆるになってきて非常な危険を感じている人も多いはず。

蔓延している意外に短い使用期限

古くからあるSUICAは有効期限はありませんでした。長期間使用していないと使えなくなりますが、追加チャージすると復活するので、使用期限はないと言ってよいでしょう。しかし、最近増えつつある電子マネーやポイントカードは比較的短い使用期限が設定されています。管理データの大容量化もあってか、細かく取得が記録可能となりそれぞれの使用期限が細かく設定されています。細かい間隔でポイントの状態を確認しておかないと期限切れとなりポイントが喪失してしまいます。例えば、あるとき最短の期限を確認して、直近で喪失するものが1年後だったとしても、翌日に付加されたポイントの使用期限がその月の月末ということもありえます。損しないように込め間にチェックしないと…、なんとめんどくさい。
 いずれにしても、有効期限があって、気が付かないうちに喪失してしまうものを”お金”といってよいものだろうか? 常に気をつけておかないといけないものなんてなんと使いにくい仕組みなのだろう。

複雑すぎるポイント還元の仕組み

消費税還元のしくみ、どのような方法で、どのような仕組みで還元されるのか、何が、どのタイミングでどこに還元されるのか、個別ケースが多すぎて覚えきれない。これも、知らないうちにポイント喪失してしまう人が多数でてきそうな予感がする。たとえば、Edyの場合だけでもないかもしれないが、使ってから還元ポイントが付加されるまでに1か月くらいかかるものもあれば、もっとかかるものもありそう。そして受取期限が3か月くらいと短い。それから、コンビニ払いの分の還元がレシート上では還元される旨かかれているが、2か月以上たつのにされていないように見える..。 自販機で払った分はどうなるのだろう? ..消費税は込みのはずだが…..。 

努力の割には結局、誰も得していないような気がしてきた.. 

キャッシュレス化の推進のために 消費税還元 をやったことになっているが、得をしたのは電子化を進めている事業者?かと思われるが、現状は手数料なしで運用していて、来年6月以降で手数料を取るように切り替えるという。この電子決済を利用している事業者の話では、現在は現金と電子決済と同額に値段設定しているが、電子決済の手数料が有料になったときは電子決済の支払いでは手数料分だげ値上げするという。支払い方法によって値段が違うというのは違和感がある。しかし、通販を考えれば支払い方法によって値段が違うのはあたりまえと言えなくもない。そのように同じものに対して支払う金額が現金のほうが安いなら、現金に戻るのは当たり前にように思える。
 つまり、一見、電子決済の業者が得をしているかのように見える消費税還元も、得をする前に、敗退してしまいそうな予感がする。もしそうなってしまうなら消費税還元をうまく活用できなかった運用方法のミスと言えなくないが、、、。
 いやいや、レジの製造業者は売り上げを伸ばしていると言うかもしれないが、短期的に買い替えの時期がシフトしただけで、逆に売り上げに波ができてしまい商品サイクル的観点でロスが発生しているので、逆にコスト増になっているかもしれない。
 長期的な成長していくことを考えに抜いていないと誰も得しないものになってしまう。なんか最近そんなものばかりが目立ってしまうのはなぜだろう。

セキュリティパッチでないのに短期間でWordPress5.3.2がリリース。 5.2系のパッチは?

 WordPress5.3.2が12/18にリリースされた。 5.2.6はリリースされているかは自動適用されていないので不明。5.3.2での修正内容からは5.3.1で作りこまれた致命的なバグとわかります。これが短期間でのリリースの理由でしょう。ないことです。1件のバグ(#48145)は煮え切らない解析の結果、5.3での修正(#45821)の影響で発生していると判断して、修正を行っている。意外にPHP側に問題があり、その問題回避をしているのかもしれない。 いずれにしても、5.3.2は5.3以降に発生した問題の修正なので、これらの対処のために5.2.6がリリースされることはなさそう。  それから、 分かりにくいが5.2.5が登録されていた。  
 そのほか5.3.2リリースでは、5.3系のアップデートはこれで終わりで次は5.4とされている。なので、5.3系へのアップデートは様子見とします。
 ただ、5.3.1に上がってしまっている環境については、5.3.2にアップデートすることとします。

■それより、プラグインのパッチは?

 プラグインについては、当てられるものはパッチ適用する。

WordPress5.3.1 セキュリティパッチが出たけど、5.2.5が適用された。

 WordPress5.3.1 セキュリティパッチが12/13にリリースされた。 同時に、5.2.5もリリースされたようだ。5.2.5についてはセキュリティパッチのページには掲載されていない。5.2.5が適用されたことは期待値どおりだが、5.2.5のことが情報公開されていない点がいまいちだ。修正内容の管理も5.3.1は情報があるが、5.2.5の情報がない。相変わらず管理が不十分な感じはぬぐえない。

■で、パッチ適用はどうする?

 手動でのパッチ適用は、5.3.1しかできないようだ。これは5.3.に誘導する策略なのかと違ってしまうが、、、。 まずは、テストサイトで5.3.1の検証を行う。そこで、問題が無ければ、ほかの本番系サイトにも適用していく流れにするしかなさそうだ。…..  困ったものだ。

シングル混合栓での異音と対処の解決編(動画あり)

概略

ここでは、解決のポイントを紹介します。要約すると、問題の原因を特定して、問題のメカニズムを理解したうえで対処をすることがいかに大切かということです。本件の事象についてまだ読んでいない方は「問題の事象」のほうを先に読んでください。答えだけ読んでも同じ問題が起こることはほとんどないでしょう。ここの記述からは調査の進め方や考え方を学んでいただくことが一番役に立つと思います。







問題事象の仮説

さて、あなたは、問題個所が何にあり、どのような仕組みで発生していると推測したでしょうか?
それでは仮説を立ててみましょう。まず考えられるすべての原因となりうるものを上げます。サイエンティストやエンジニアなら先入観は置いておいて可能性がある原因をすべてあげます。コストをかけてでも緊急に対応しなければならない場合はすべてを同時に、もしくは可能性が高そうなものを同時並行で対処することもあります。この方法では早く解決できる可能性が高いものの対処が的を射て物でないと混沌とした状況に陥ってしまします。今回のトラブルはこれに近い状況でした。
 話を戻して想定される原因はつぎのとおり。
・a)止水カートリッジの不良(メインの止水栓)
・b)切替カートリッジの不良(浄水用のレバー部分の止水栓)
・c)蛇口とは別のどこか遠くの配管でのウオーターハンマー現象などの振動
・d)それ以外の接合部が劣化している。

問題事象の切り分け調査方法

・c)については、異音発生時に配管の振動を2フロア階下の配管でも観測したため、当初は疑っていました。 しかし、かなり早い段階で、「問題の混合栓直前(混合栓の下)のカランを閉じた場合、洗面台などほかの場所で水を使っても異音等の問題は起こらない。」ということから、問題は、「浄水器内蔵シングルレバー式混合栓」の内部で発生していると判断しました。 ”結果としてこの判断は正しいものでした。”

・b)は、「浄水栓を開けて水を出した場合は異音が発生しない。」という状況から問題ないと判断しました。というか、これ以上の調査をせずに想定原因から外していました。

・ということで、a)が原因と推測して”止水カートリッジ”を交換しました。しかし、異音は解消されませんでした。メーカからこれ原因といわれたことも理由ですが、他に原因が思い当たらなかったのでそれ以上の原因確認をしていませんでした。 反省点は、問題の根本原因、異音の発生源を特定しないまま対処を行ったことです。
・d)それ以外の接合部から水が漏れた場合は蛇口からではなく接合部から外部に漏れるので発生事象とは符号しません。

今回の問題の切り分け方

それでは仮説に戻ります。”異音発生時に漏水する”ことから、異音は狭い隙間を水が僅かに流れたり流れなかったり繰り返すことにより異音が発生していると推測します。仮に止水カートリッジ付近に起因して発生しているとすれば、異音発生時にシングルレバーを押さえるなどすれば隙間の幅が変わり異音の発生状況が変わると推測される。浄水側で異音が発生しているなら、切り替えレバー部分を押さえることで音の発生状況が変わると推測されます。

 また、仮説から関連事象について検討してみます。「別の場所で水を流した時に異音が発生し、混合栓からの漏水する」は、水を流すと「貯水槽から揚水」のためポンプが起動し、水圧が少し高くなる。そして、圧力に耐えきれなくなった水密部の隙間から漏水が発生し、その微小な振動が共振して異音として聞こえる。そうであれば”別の場所で水を流した”パターンと問題の混合栓直前(混合栓の下)のカランを閉じた場合、洗面台などほかの場所で水を使っても異音等の問題は起こらない。」については、a)、b)どちらであっても説明が付きます。
 そして、あまり気にしていなかった「浄水栓を開けて水を出した場合は異音が発生しない。」がa)では説明がつかないことに気が付きます。浄水を流してもポンプが稼働するので止水カートリッジ部の水圧が高くなるので異音が発生するはずです。b)の場合も説明がつかないように思われます。しかし、水が流れているので圧力が解放され、異なる状態になっていると推測されます。また、切替レバーを開放すると狭い隙間を通らなくても抵抗が少ない開放されたルートで流れるので隙間には水が流れず異音が発生しなくなっていると推測されます。さらに浄水の場合、途中に濾過フィルタがあるため水が流れることでフィルタの前後での圧力差が発生し、さらに切替カートリッジ部分での水圧が下がっていると推測されます。つまり、推測での結論はb)が原因です。すべての発生事象とも符号します。

実物での検証で答え合わせ

 それでは、上に書いた「切り分け方法」を試します。結果は動画参照。

https://mic.or.jp/info/wp-content/uploads/2019/11/check_a.mp4

”シングルレバー部 を押さえても音の出方に変わりはありません”つまり、a)ではないと判断できます。 つぎに、”切替レバー部を押さえると、音が消えました。離すと再発”とうことで、ほぼ間違いなくb)が原因と判断できます。

 さらに追加でのチェックです、「 切替レバーを開放すると狭い隙間を通らなくても抵抗が少ない開放されたルートで流れる 」のであれば、シングルレバーで水を流して異音が発生している状態で切替レバーを開放すると異音が消えると推測できます。

https://mic.or.jp/info/wp-content/uploads/2019/11/check2.mp4
 これも推測通りで、” 切替レバーを開放すると異音が消えました ”。以上からb)切替カートリッジ部の劣化が異音の原因であったと判断できました。

対処とその結果

  切替カートリッジ(浄水部) を交換してもらいすっかり異音はなくなりました。問題解決です。

 謎な事象ほど、しっかり現状の状況を調査・分析しないと問題解決に時間を要します。仮説・検証の際は、先入観を排して想定される原因を漏れなく洗い出しましょう。