WordPress 5.2.2の修正内容 と脆弱性  

WordPress5.2.2のことを書く前に、以前に書いたWordPress脆弱性で完結できていないものを再確認します。
まず以前に書いたCVE-2017-6514について書きます。JVNのDBには2019/6/6に登録されています。これは私がここに投稿した日より2週間ほど遅い。JVNの情報から修正内容など新たに分かる情報はありませんでした。最近の動きは6/14にある脆弱性チェックツールで検出できるように強化されたことが情報公開されています。このタイミングでの情報公開なのでWordPressの修正コードなどの情報をもとにチェックルールを作成したものと推測されます。まだWordPress側では脆弱性情報が公開されていません。現在関係機関と公開に向けて調整しているのではないかと推測します。
つぎに、WordPress5.2.1の修正情報の再チェックです。前回チェックしたときに内容チェックに終始して、後で更新されることは想定していませんでした。ぱっと見た範囲では、変わっていません。この状況だと更新される可能性がありそうです。
さて、本題のWordPress5.2.2の修正内容についてです。13件のバグ修正とWordPress5.2で追加したサイトヘルス機能をちょっと更新したとリリース情報には記載されています。

#45094 #46289 #46997 #47227 #47429 #47558 #47475 なし

#46749 4.3

#46881 #46957 #46960 #47070 #47158 5.2

作り込みバージョンの記載がないもの7件、4.3が1件、5.2が5件です。
バージョンの記載がないものの修正内容は次ように、脆弱性に関係しそうな記述はありませんでした。
#45094 ダッシュボードのいくつかのエレメントでフォーカスされない
#46289 メディアモーダルでのナビゲーションアローのリンク先間違い
#46997 テーマの更新でリンクが動作しない
#47227 サイトヘルスタブの文字列修正 → 5.2での強化分の修正
#47429 更新パッケージ
#47558 更新ページのアップデート → 5.2.2で勝手にアップデートした件でしょう
#47475 typoの修正

脆弱性に該当しそうな修正内容の情報はありません。5.2.2は”セキュリティ更新”として更新が自動適用されたり、修正公開の事前情報など脆弱性対処をしたりした状況と推測される状況なので、セキュリティ修正がリポジトリには登録されたソースコードはあるが、公開された修正項目には情報がないという状態だと思われます。
 以上の状況から、別途公開済みの5.2.2か5.2.1で修正された脆弱性情報が後日公開されるものと推測されます。


それから、サービス停止を引き起こしかねないアップデートを勝手に適用するというはそれ自体がDOSの脆弱性と言ってしまってもよいのではないでしょうか。サービス停止したことを自動検知して自動リカバリするとかいろいろな対処がありそうです。

太陽光発電システム導入環境での消費電力解析

これまで、太陽光発電のデータ解析について書いてきましたが、そもそもなぜ書き始めたかについて詳しく書いていませんでした。「パワーコンディショナーの消費電力」や「ここまでのまとめ」で、パワーコンディショナーの消費電力についての挙動をあるていど理解できたので、それを踏まえて気になっている点について解析してみます。

解析したかったのは、さきに書いたサイト3における「パワコン?謎の消費電力増加」の総消費電力量の増加の原因です。

問題の期間(2018年5月から2019年2月までの間)について、”パワコンでの解析”のように各時刻ごとの消費電力をプロットしてみます。

日ごとの毎時消費電力量

謎の消費電力増加 その4のデータと同様な絵柄ですが、5回ほど階段状に変化してそれぞれで別の挙動をしているように見えます。そこで、同様に朝と夕方の時間帯分をプロットしなおします。

日ごとの毎時消費電力量 朝方

朝方のデータから全体の階段情報変動はベースライン自体の変動に依存しているように見えます。つまり、太陽光発電システム以外で常に一定の電力を消費している何かが増えたと推測されます。

日ごとの毎時消費電力量 夕方

夕方のデータでは、1日に1分づつ変化するパワコンのモード切替時刻の影響により6/13以前と7/9から9/7あたりは19時台の消費電力が徐々に変化しているのがわかります。
9/14から12/1あたりは激しく変動しています。昼間と夜間の差は同じようにあるのでベースが変動していると推測できます。
12/1以降は5回ほど階段状に増減しています。それぞれの区間での昼間と夜間の消費電力差は同じです。この区間内での変動はベースラインの変動のみと考えてよいのですが、9/7以前にみられた19時、18時台の1日づつ変化するパワコンのモード切替時刻の影響が見られなくなっています。このパワコンの挙動の変化のタイミングと、消費電力量のベースラインの変化のタイミングが一致しているので、ベースラインの変化の原因がパワコンに依存しているのではないかと想像されます。次回、詳細を確認します。

なにー、WordPress5.2.2。 やってくれたな。

どこかで、自動アップグレードする設定とかあったのでしょうか?  更新ボタンも押していないのに「WordPress5.2.2にアップグレードした」とメールが送られてきた。たしかに、WordPress5.2.2 が6/18にリリースされていて、  https://wordpress.org/news/2019/06/wordpress-5-2-2-maintenance-release/  このサイトにも勝手に適用されていた。
 ”更新”の記載には「最新バージョンの WordPress をお使いです。 今後のセキュリティ更新は自動的に適用されます。」と書かれている。 これを信じるならば、まだ セキュリティ情報は出ていないが 5.2.2で脆弱性の対処が行われたのでしょう。
以前に予想したとおりの状況ですが、勝手に修正を適用されてしまうのは想定外でした。 5.2.1の時みたいにセキュリティ強化した権限設定の影響でサービスダウンしてしまったらどうしてくれるつもりでしょうか。その辺の不満を越える危険をはらんだ問題だというならわからなくはないが、この仕掛けを基盤にして業務用に使用しているところは沢山あります。業務が止まったら大変なことになります。この辺を踏まえて設定で自動適用するかとか自動適用する脆弱性の深刻度レベルを設定できるようにするとか、工夫してほしい。

WordPress5.2.2の修正内容をチェックはまた明日。

Nginxが起動しない。そして、復旧。

監視モニター用の画面が起動しないので、ほかのページを確認すると、Nginxが動作していないと推測される状況でした。プロセスを確認するとNginxのプロセスは確かにいない。手動で、 Nginxを再起動しても、復旧しませんでした。

 こんな時は、慌てず原因調査します。nginxのログファイルerror.logには、つぎのとおり出ていました。再起動するたびにこれが出力されます。

[notice] 19828#9876: signal process started
[error] 19828#9876: OpenEvent(“Global\ngx_reload_16096”) failed (2: The system cannot find the file specified)

 logsディレクトリには ファイルnginx.pidが存在していて、このファイルには 16096と書かれていました。 上の” ngx_reload_16096 ”と同じ数字です。これはNginxのPIDです。tasklistでこのPIDが存在しないことを確認しました。また nginx.pid ファイルのタイムスタンプは2日前であり、かなり古い日付です。 この状況から、Nginxの終了処理が完了しないうちにOS再起動されてしまい、nginx.pidファイルが残留してしまったことが原因で、Nginxが起動できなくなってしまったと推測されます。
 ということで、 nginx.pidファイル を削除して、再起動します。

おや、再起動しない。ログメッセージはちょっと変わりました。

[error] 17420#13516: CreateFile() “XXXX/logs/nginx.pid” failed (2: The system cannot find the file specified)

おっといけません、” nginx.pidファイル を削除して ”いたつもりでしたが、 nginx.pid を開いたエディタを別名で保存した状態で開きっぱなしでした。 nginx.pid ファイルは存在しないけど、このエディタプロセスが nginx.pid のファイルディスクリプタをつかんでいる状態になっていました。 
 エディタも閉じて、Nginxを再起動して、無事に復旧しました。

ログメッセージをインターネット上で検索してみると、問題対処のためインストールしなおししている人がいました。復旧させるにはその方法もありますが、原因を特定しないと再発防止策の検討もできませんし、復旧に余計な時間がかかるかもしれません。そんなときはサービス停止の影響を最小化しつつ、慌てず原因調査しましょう。

トマト、ミニトマトの結実

トマト
ミニトマト

トマトとミニトマトの実がなり始めました。花も順次咲いているので、この調子だと7月上旬からどんどん収穫できそうです。

「トマト・ミニトマトは開花から毎日の平均温度を足していった積算温度で赤くなる日にちが決まります。
トマトだと800~1000℃(品種によって違います)
ミニトマトだと750~850℃(品種によって違います)くらいです。」
ということですので、累積温度800℃として、 平均気温23℃から25℃として 計算すると開花から35日くらいと予想できます。6月1には花が咲いていたので、7月5日くらいには最初の収穫ができそうです。

ミニトマトは摘果を省きますが、トマトのほうは随時摘果していきます。

トウモロコシの追加

まだ梅雨入りの発表はありませんが、雨の日も少ないけど何日かあり、キュウリの実も付き始めました。僅かに残っていたスペースにトウモロコシを蒔きました。2か月ほど先行して蒔いたトウモロコシは半数ほどが20センチほどに育ってきています。長期間にわたって収穫することを目指してあと1回くらい時期を分散して蒔く予定です。

各列の奥のほうがトマトで、一番左の列はキャベツ。左から2番目はレタスと虫に食われてなくなったキャベツの跡、3番目は今回追加したトウモロコシ、一番右はぼぼ収穫し終わった大根の跡と先行で植えて生き残ったトウモロコシです。一番右側の列は最初にスギナの処置を全く行わなかった場所で、一番左はある程度スギナの処置を行った場所、この2つは明確な差があります。大根への影響はあまりなかたと思いますが、弱い作物なら育ちや育成中の作業に悪影響はありそうです。どこまで根っこの処置をするかは何を植え付けるかで決めるのもありだと思います。

将来的には、完全自動運転でとかと思いましたが、免許証を認証するとかすぐ対処しないといけませんね

「免許自主返納後に運転して事故」とか、何年も先の話をしている場合ではないですね。2020年以降販売する車は免許証を差し込んで、運転を許可されている車かどうか認証して、確認できないとエンジンがかからないようにするとかすぐに対策しないとしないとけませんね。

 自動運転をすぐに実現するのは厳しいでしょうが、運転免許証を認証するのはすぐにできるはずです。

まず、ICチップを組み込んだ免許証ですが、一番遅い時期に導入された鳥取県でも2010年に導入されています。このため全国で導入されてから8年以上経過しています。運転免許証の有効期間は長い人でも5年ですので、すでにすべての人の免許証はICチップが入ったものに切り替わっています。

また、免許証のICチップには 「氏名」「生年月日」「免許証交付年月日」「有効期間」「免許の種類」「免許証番号」「顔写真」 の情報が入っています。ICチップを読み取る機器はすでにありこれをベースに開発すれば、有効期限内の運転免許があるか、この免許証で運転可能な車かどうか、をチェック可能です。ETC機器と同額程度で実現できるのではないでしょうか。 また、画面に氏名や顔写真を表示することも簡単にできそうで、免許のまた貸しにもある程度の抑止力があるでしょう。さらに、半年くらい開発期間は長くなるかもしれませんが今どきのディープラーニング技術を使って、「顔写真」と運転者が同一人物か顔認証でチェックすることもできるでしょう。

いろんな方面からの対策がありますが、役所関係が本気になれば免許ベースの対策はすぐに現実できそうな感じがします。

活動量計、その後

「単機能の低額なものと割り切って購入しようかとも思いましたが、とりあえず試したスマホの歩数計のアプリで十分と判明したので、スマホアプリでやってみます。」 のその後です。 回線なしスマホでも十分利用できることが確認できました。当面これを使って測定してみます。
その場の運動だけでもちゃんとカウントしてくれるし、車で移動しても変にカウントしないのでかなり信用してもよさそうです。GPSは使っていたとしても誤カウント防止で、加速度を計測して歩数としているのでしょう。

で、ここまでで気になったのは、普通にウォーキングしている分にはポケットにスマホを入れていても、何も問題がありませんが、しゃがみ込んで作業をするとポケットから飛び出してしまいます。これだけが、困って点です。何かないか探すとサイドポーチだけでなくアームポケットとかいろいろ売られているようです。持ち運びと操作を考えるとアームポケットがよさそう。

キャベツが全滅?

ここまで無農薬で育ててきましたが、3本ほど完全に葉を食われてしまい、ほかのものも葉が穴だらけの状態になってしまいました。仕方がないので、キャベツにだけは農薬を使うことにしてみました。エトフェンプロックスが入った噴霧式のボトルから直接吹きかけるものです。収穫時に残留することを避けるため総使用回数が3回までとなっています。できるだけ農薬の残留はさけたいので、使用量を最小化するように、できるだけ使わないようにしてみます。とろりあえず、今回1回使用したわけですが、1回の定義はどうなのか全然説明書きにありませんでした。1回の量はどの程度のものなのだろうか。

キャベツを植えたところの畝づくりしてから1か月たちました。レベル分けしたところの差はあまりはっきりしません。スギナ以外の雑草はほとんど出ていません。スギナについてはとことん除去したと所に比べて気が付いたものだけを除去したところのほうが若干スギナが多いような気がする程度の差くらいです。 スギナ以外の雑草はほとんど出てい ないので、「 雑草の絨毯 」作戦は効果があったといってよさそうです。

毎日の運動の記録に活動量計

おもちゃのような値段になっている活動量計ですが、20年前からすでにおもちゃだったというはなしもあります。それはさておき、なにかはじめようかとちょっと探してみました。

なつかしいおもちゃ 未だに新品を売っている? 3200円
→これより安くて高機能なものをみてみます

GanRiver スマートウォッチ 血圧 心拍計 歩数計 活動量計 IP68防水 消費カロリー 睡眠検測 アラーム 着信電話 Line通知 多機能健康管理 腕時計 iphone&Android対応 日本語説明書 3999円

GanRiver スマートウォッチ 心拍計 歩数計 腕時計 多機能スポーツウォッチ スマートリストバンド IP67防水 着信電話通知 SMS通知 line通知 カロリー 目覚まし時計 長座注意 リモート音楽 携帯紛失防止 日本語説明書 iphone&Android対応 3590円
→中国製

itDEAL 活動量計 スマートウォッチ 心拍計 + 歩数計 + 血圧測定 + 睡眠検測 ] タッチ操作 Bluetooth4.0 IP67防水 着信通知 Line通知 SMS通知 iPhone iOS Android 日本語アプリ対応 3144円
→中国製

Newpower スマートウォッチ IP68防水 心拍計 歩数計 活動量計 消費カロリー 睡眠検測 着信電話通知/SMS/Twitter/WhatsApp/Line/アプリ通知 長座注意 日本語対応 iPhone/iOS/Android対応 2999円
→中国製

 Yamay スマートウォッチ血圧計 万歩計 活動量計 心拍計 IP68防水 消費カロリー 睡眠検測 アラーム 着信電話 Line通知 iphone&Android対応 3999円
→中国製

KYOKA  スマートウォッチ 血圧計 心拍計 歩数計 活動量計 IP67防水 LINE対応 USB充電 消費カロリー Facebook/Twitter/Gmail/アプリ通知 着信通知 電話通知 睡眠検測 生理管理 長い待機時間 iPhone/Android 3999円
→ 国内でワンクッションあるようだが中身は中国製っぽい

↑いずれも血圧は測定データに疑問有、心拍はそれなりな感じがします。欲しいのは歩数計と時計機能です。データを取り込めるならあったほうが良い。

ということで、ほかのものも探してみます。
fitpolo スマートウォッチ 活動量計 心拍計 歩数計 距離測定 睡眠モニター 消費カロリー 電話/LINE/着信通知 目覚まし時計 座りがち注意 腕上げて自動点灯 IP67防水 iphone&Android対応2590円
→中国製
Sorking 心拍計 活動量計 万歩計 睡眠計 多機能スマートウォッチ IP67防水・防塵 着信通知 消費カロリー 目覚まし時計 遠隔カメラ 長座注意 電話 Line SMS Facebook Twitter通知 距離測定 1999円
→中国製
ウェアラブル 万歩計 anemos fit AW-001 スマホ連動の万歩計、4320円
ウェアラブル 万歩計 anemos fit AW-002 スマホ連動の万歩計 心拍計付き
山佐時計計器 5200円
→中国製


いっそわりきって、データ連携ナシなら。
山佐時計計器 万歩計 ポケット・バッグイン万歩計 ポケット万歩 ピュアホワイト EX-500W 2272円
→国産? なかみは?
オムロン(OMRON) 歩数計 ホワイト HJ-325-W 1539円
→中身は中国製

City-Center 万歩計 腕時計型 活動量計 多機能スマートバンド 消費カロリー 手首型 歩数計 活動距離 簡易版健康管理腕時計 色 ランダム 270円 →感度についてコメント有
→中国製

Bartram  スマートウォッチ 活動量計 心拍計 血圧計 着信通知 防塵防水 フィットネス 活動 iphone&Android対応 785円 →充電が2日ほどしか持たないとレビューコメント有
→中国製

Zhaoya 腕時計 心拍計 歩数計 着信電話通知/メッセージ通知 睡眠監視 目覚まし時計 長座注意 iphone&Android対応 英語説明書 888円 →届くのが遅いとコメント有、 浙江省 からEMS、船便で送られてくるのだろうから3週間くらいかかってもおかしくはない。
→中国製

中国製は避けたかったのですが高機能のものはいずれも中国製ですね。もはや日本では作っていない…。そんな時代ですね。
単機能の低額なものと割り切って購入しようかとも思いましたが、とりあえず試したスマホの歩数計のアプリで十分と判明したので、スマホアプリでやってみます。本来ガラケー派なのでガラケーの歩数計アプリも確認したのですが、昨年の時点でガラケーの歩数計アプリはサービス停止となっていました。機種変更で余っていたスマホで試したところ十分使えそうでした。回線の解約がなくてもWiFiで接続して使えばアプリ自体は使えそうです。