info - 15ページ目 (22ページ中) - micnet　ちょっと気になったことを書きます

WordPress脆弱性の再現方法　再現検討

脆弱性 CVE-2019-8943は対処済みなのかどうか情報がふにゃふにゃしているので再現検証してみようかと少し調べてみました。　
NVDによると再現方法などの情報があるブログにあるということで、それを参照してみました。

このサイトの再現確認状況の情報は影響バージョンは4.9.9と5.0.1でが未対処の情報しかなく最近の情報がないようにみえます。以下翻訳文面です「影響範囲：この記事で説明されている脆弱性は、バージョン4.9.9と5.0.1のセキュリティパッチによって悪用されないようにされました。ただし、Path Traversalはまだ可能で、現在パッチは適用されていません。不適切なPost Metaエントリを処理するプラグインがインストールされているWordPressサイトは、悪用を依然として可能にします。私たちは、WordPressのセキュリティ月の準備中に、過去何百万ものアクティブなインストールを含むプラグインがこの間違いをしているのを見ました。 WordPressのダウンロードページによると、このソフトウェアはインターネット上の全Webサイトの33％を超える割合で使用されています。プラグインが問題を再導入し、古いサイトなどの要素を取り込む可能性があることを考慮すると、影響を受けるインストールの数は依然として数百万にのぼります。テクニカル分析パストラバーサルとローカルファイルインクルージョンの両方の脆弱性は、ボタンをクリックするだけでスキャン時間3分以内に当社の主要なSASTソリューションRIPSによって自動的に検出されました。しかし、一見したところバグは悪用できないようでした。脆弱性の悪用ははるかに複雑ですが可能であることが判明しました。」

　煮え切らない情報の原因は、つぎの複合で発生しているように思われます。

・検出者が、具体的にどのバージョンで対処されているかのをレポートしていない。→”2019/2/14：WordPressがパッチ提供し、そのパッチで対処済みであることを確認した”ししかなく、対処されたWordPressの特定バージョンでの検証悔過を公開していない。
・検出者は単純な？再現方法を公開していない。→誰でも検証できる状態になっていない？
・WordPressが2019/2/14よりあとにリリースしたセキュリティパッチは5.1.1しかないが、パストラバーサルの対処をしたと明言していない。→脆弱性はWordPress自体ではなくプラグイン側のAPI使用方法にあると考えているのが原因かもしれません。
・WordPress単独では脆弱性を悪用されることはなく、ある機能を不適切に使用したプラグイン（該当するプラグインは複数（多数？）ある）を組み込んでいる場合に脆弱性を悪用される。

このように脆弱性の作り込み原因の責任がどこにあるのか不明確な状態であるためこのような状態になっているといえます。WordPress側で対処したのだから明確に情報公開をするべきでしょう。

太陽光発電システム導入環境での消費電力解析　その2　他サイト

前回の解析に続いて、2019/2/1以降について、サイト3、サイト2について確認します。前回と同様に時刻ごとの消費電力の変動を確認します。まず、サイト3のデータです。

一度減っていた消費電力が依然と同じ状態に戻った後は、これまでの解析と同じ傾向であることが確認できました。

同様に、サイト２のデータです。

サイト２については、これまでにはなかった事象が見られます。6/29の19:00から0.10kWhほど消費電力量が減っていました。詳細を見るために、消費電力量が減少する直前の6/27と減少後の7/9のデータをプロットしました。

見逃していましたが、7/9 13:30ころに消費電力量が元の状態に戻っていたことを確認しました。

　これについては、浄化槽の点検業者から連絡があり、浄化槽ブロアーが故障しており暫定的に仮のブロアーを設置していたことが分かりました。状況から6/29の消費電力の減少はブロアーの故障で発生し、7/9の消費電力の増加は仮ブロアの設置によって発生したと判断できます。つまり、0.10kWh分はブロアーの消費電力わかりました。　現在、下水道の供用開始にむけて準備中で、浄化槽自体を無くす予定です。このため、ブロアーもなくなるので、0.10ｋWh分の消費電力が減少する見込みです。実際にどのようになるか下水道に切り替えた後に検証してみます。

ミニトマト初収穫

先に推測した収穫見込日7/6か7/5はほぼあたりでした。最初の2個は7/3に収穫しています。1つの房でも熟すのに1週間くらいのばらつきがあり、毎日少しずつ収穫できます。

大玉トマトのほうはかなり実が大きくなってきていますが、まだ赤くなる感じはありません。あと2週間くらいかかりそうな感触です。

ゴミ分別　分別するのはよいが、結局どう処理する？

昨今、話題になっているプラスチックのリサイクルから焼却へのシフトだが、引け目があるのか密かに進めていたように思われる。このため、いろいろ勿体ないことが発生しているように思う。

　まず、それぞれの自治体で最終的にどのように処分しているのかを情報公開している自治体はどれくらいあるだろうか？いくつか見てみましょう。

■東京都多摩市
・プラスチックは「プラスチック」に分別し、汚れたプラスチックは「燃やせるごみ」となっていて、” 水で1，2回すすいで落ちる程度のよごれは、それらを落として「プラスチック」としてお出しください。油分が付いている場合などは、お湯や洗剤を使ってまできれいにしようとするよりも、「燃やせるごみ」としてお出しください。環境に与える負荷が小さくなる場合が多いと思われます。 ”　と、かなり環境負荷を分別方法になっています。
　これはプラスチックをリサイクルする前提のようですが、市としてリサイクルしているのか焼却処分なのかの情報公開がされていないように見えます。

■大阪府大阪市
・” 中身は使い切り、汚れは洗ってから ”とあまり環境負荷を考慮できていないようです。また、最終的にどのように処分しているのかについて焼却処分していることを情報公開しています。焼却するのに洗うことにしている理由が提示されていません。

■愛媛県松山市
・” プラスチック製のチューブ類など、汚れが取りにくいものについても、汚れが残っていると、リサイクルの支障となりますので、使いきってから必ずすすぎ又は古布等でふき取るなどして『プラスチック製容器包装』で出してください。”と、しっかりリサイクルする前提の分別手順です。また、しっかりとりサイクルしているとして情報公開されています。ただ、全量リサイクルなのかどうかの情報はないようです。

このようにプラスチックごみの処理方法がリサイクルから焼却にシフトしつつあるのにゴミ収集のフェーズではリサイクルする前提のままでルールを見直していないように見えます。「可燃ごみ」とか「燃えるゴミ」という呼称もいかがなものかと思います結局、燃えるかどうかではなく燃やすかどうかで仕分けているのだから「燃やすゴミ」にするべきじゃないでしょうか？
　　そして、プラスチックごみを燃やす処分をするなら仕分け不要にするとかにすべきでしょう。　それから”汚れは洗ってから”というのも燃やすなら不要な作業でしょう。これでどの程度コストが生じているか試算してみます。

プラスチック製容器包装のうち、100個に1個（1個当たり10g）をコップ1杯（200cc）の水を使って洗浄したうえでリサイクルに出しているが焼却処分されたと仮定して算出してみます。最近のデータは見当たらなかったので平成24年度のデータで727,238トンの数値を使用します。

727,238/100ｘ1000ｘ1000/10＊200/1000/1000＝14,547.6トンの水が使われたと推測されます。つまり、1.4万トンの上水が無駄に使われ、1.4万トンの下水処理能力が使われたという推測です。金額に換算すると、（全国平均を水道料3196円/20㎥、下水料金 2442円/20㎥と仮定） 1.4ｘ10000/20ｘ（3196＋2442）＝3,946,600　　おや、400万円程度です。　仮定した条件はかなり少なく見積もったことが効いているかもしれませんが、水道代が安いというふうにもいえるかもしれません。

2019/7/10追記：いずれも、リサイクルの全体像が見えるようには情報公開できていなさそうです。縦割り行政の色合いが濃い感じで、全体をうまくバランスをとってまとめている自治体はほとんどなさそうです。そんな意味で自治体になどに対して全体像をとらえたコンサルティングをしてあげるのもよいのではないでしょうか。

WordPress　5.2.2の後に特に情報なし？

WordPress 5.2.2はセキュリティ修正のようなリリースのされ方でしたが、7/4時時点でWordPressのサイトでは5.2.2はメンテナンスリリースとしかかかれていません。ほかのOSSの情報公開のタイミングを参考にして後から公開されるものとして書いていました。ここでは、過去のWordPressセキュリティ公開タイミングを再確認して、5.2.1、5.2.2がどうなのかを推測してみます。

　直近のセキュリティ修正5.1.1と5.0.1についてみます。

　WordPress5.1.1
・WordPressサイトでの5.1.1リリース日 2019/3/12
・WordPressサイトでの5.1.1セキュリティ情報公開日 2019/3/12
・JVNへの5.1.1（CVE-2019-9787 ）の情報登録日 2019/4/10 約1か月後

　WordPress5.0.1
・WordPressサイトでの5.0.1リリース日 2018/12/13
・WordPressサイトでの5.0.1セキュリティ情報公開日 2018/12/13
・JVNへの5.0.1（CVE-2019-8942）の情報登録日 2019/4/1 約3か月後

その他（CVE-2019-8943（5.0.3まで？））
・→ まだパッチが公開されていないとされている（2019/7/4時点）

パッチ公開とほぼ同時に脆弱性情報が公開されるパターンもあれば、パッチがない脆弱性情報が公開されるパターンもあります。 CVE-2019-8942 についてはWordPressサイトのセキュリティ情報公開日しているものがWordPress5.0.1のリリース日でしかなく、JVNへの登録日の直前に情報公開されたのなら、パッチリリルースの３か月後に脆弱性情報が公開されたことになる。このようにいろいろなパターンがあるので、5.2.1も5.2.2もいずれも今後セキュリティ情報が公開される可能性がまだ残っているということになりそうです。　もしもそうなら、CVE-2019-8943 は5.2.1で修正されていたということなると推測します。

本サイトが利用しているクラウドサービスのサービス停止に伴うサイトサービスのスケジュールについて

2019/7/2時点で次のように移行スケジュールを仮置きします。

1）移行先サービスの調査。 2019/6/26~7/30

2) 移行スケジュールの確定。 2019/8/5
3) これ以降のスケジュールは、代替サービスの案内書類の受領時期により見直しする。
3-1) 書類レベル調査完了 2019/8/30
　　　ここまでに代替サービス案内を入手済みと仮定。未入手ならスケジュール見直し
3-2) 移行先候補最大3つまでに絞り込み 8/31
3-3) 実地調査 9/1-9/15 実サイトを仮運用して調査
3-4) 移行先確定 9/16
3-5) 申し込み環境構築 9/17-9/20
3-6) バックアップ・復旧、定期実行パッチ等の運用操作の動作検証 9/20-9/30
3-7) 現行サイトからのサイトデータの仮移行 10/1-3
3-8）移行後の環境の動作検証 10/3-10
3-9) 移行後環境の操作手順等手順書類更新作成 10/11-10/15
3-10) ドメイン切り替え依頼 10/16
3-11）現行サイトからのサイトデータの移行(仮本番) 10/17-20
3-12) プロバイダによるドメイン切替作業＆反映 10/16-10/30
3-13) 新クラウドサーバでのドメイン運用開始 11/1
3-14) 新クラウドサーバでのmic.or.jpドメイン運用検証 11/1-15
3-15) 現行サイトからのサイトデータの移行(本番) 11/1-2
3-16）検証期間予備 11/16-11/30
3-17) ドメイン移行期間予備 12/1-12/27
　　

なお、移行先等は移行先検討のページに記載しています。

データサイエンス、あなた（御社）はどのレベル？

最近、またまたAIって言葉が頻繁に登場してきているけど、それは何回目のブーム？かご存じだろうか？1990年ころは、一定のアルゴリズムに従って挙動する仕掛けがあればAIと呼んでいました。その後、繰り返しAIのブームがありました。そして現在のAIブームはディープラーニングをベースにしたものです。ディープラーニングは単機能として成功した仕掛けといってもよいでしょう。なぜそうなるのかわからずに使うのは厳しいので、なぜそうなるのかを解析して理解し使いこなしていこうとしているのが現在のフェーズです。将来のAIは多数のディープラーニングの仕掛けを多数のディープラーニングの仕掛けで最適に組み換えながら使っていくものになるでしょう。その仕掛け自体が自己学習を始めたらいわゆる技術的特異点＝シンギュラリティーとなるにときがくるでしょう。今の時点で、シンギュラリティーを迎えるためのハードウェア環境はすでに整っていてあとは組み合わせる仕掛けを整えるだけでよいくらいのレベルになっているように思います。もちろん特定のマシンというわけではなくインターネットのネットワークにつながっているリソースを考えればということです。
　さて、現在のAIの利用状況を見ると業種ごと、企業ごと、人ごとにレベルに違いがあり格差が生じていて、この格差は”AI格差”といわれています。そしてここでいうAIは、前述のディープラーニング以降のAIです。
　ということで、あなた（御社）はどのレベルなのかを振り返ってみてください。みてください。AI活用といっても、ディープラーニングを活用した自動機械化から、ビックデータ解析により新たなビジネスを掘り起こすことまで様々です。AI格差はこのAI活用をうまくできたものがいわゆる勝ち組？になれると言っているようなものでしょう。
　ディープラーニングの活用をすでにしているなら、さらに活用範囲を広げるときに次のようなことも考えればよいでしょう。今時点でディープラーニングの活用ができているところはあまりありません。これからディープラーニングを活用するとして、どのように導入していけばよいのか考えてみましょう。ディープラーニングには入力と出力があります。まず”出力”を何にするのかを考えましょう。普通は利益が出るとか都合がよくなる何かです。例えばある自販機を考えたとき、売上金とか、利益などを指標にするのがよいでしょう。つぎに”入力”つまり”出力”を説明するための情報です。ある売上を説明するための情報です。自販機を設置した場所の条件とか時期とか商品の種類とか商品の配置とかさまざまな情報を入力とします。この ”入力”と”出力”のデータのセットを用意します。一昔前のデータマイニングでは各入力と出力の相関関係を出したり、推測の関係式を立てたりして推測していました。ディープラーニングでは、このデータのセットを投入して売り上げを予測する仕掛け”学習済みデータ”を用意します。また、この ”学習済みデータ” をつかって、別途用意したデータを投入して予測精度の確認や予測利用します。このようにディープラーニングにはデータが必要です。そしてこのデータを用意することが第一歩です。データがないならデータを取るところから始める必要があります。ただ今どきはすでに多量のデータがあって、そのデータを人手で処理しているところもあるでしょう。そういう場合はどのようにディープラーニングを導入するかを検討するだけでよいでしょう。ディープラーニング活用の一歩手前の状態にあるといってよいでしょう。データをこれから収集するという状態であれば、何の情報を収集するのかから考えることになりますが、思いつくままに必要と思われる情報を順次追加していく方法だとスピーディーな対応が困難です。その方法を選択する何か理由があるのならそれでも良いでしょうが、効率的に進めるなら情報収集してそれを活用する仕掛けに拡張性を持たせつつ、”今後使うかもしれない”というあまり必要ではないかもしれない情報まで含めて収集してしまうのが良いでしょう。本当にゴミの情報は不要なので、仕分けることは必要です。つまり情報を収集し始めるときに何を収集するのかデータの保存領域のサイズを気にしながらデータを集めるのはストレージの価格が安くなってきた2019年時点では無駄です。取捨選択に時間をかけるのをやめて、収集したデータをどこに保存してどう使うかに時間を使ったほうが良いです。逆にビッグデータサイズのデータで保存しているかどうかを気にしたほうが良いかもしれません。兎に角”出力”をどうするか決めて”入力”となりそうな情報を使える形で収集していき、どのように使うかに注力すればよいでしょう。

　このようなディープラーニング活用のようなところを一括りにして、「シンギュラリティー一歩手前の技術」の活用として、”Pre Singularity Technology （PST）”と定義します。PostSTに何があるか楽しみですが、まずはPSTを使い倒しましょう。
　ちなみにわたしは長年Singularity で思い起こすのは、”magnetic singularity”か”gravity singularity”　です。

キャベツ収穫

4/28に植え付けしたキャベツを収穫しました。一時は虫に食われて壊滅寸前できたが、農薬のおかげで持ち直して少し前倒しの収穫にまでたどり着きました。直径13cm、重量は920ｇほどです。市販のものは1玉1200g程度ですのでほぼ想定通りです。期間をずらしてできるだけ長期間にわたって収穫したいので、早めに成長したものを前倒しで収穫したのです。

きゅうり収穫＆追加植え付け

本格的にきゅうりを収穫できそうなところまできました。最初に早取りしたものを除いて初収穫です。長さは23cmほどです。

市販のキュウリの長さは20cm前後なので丁度よいサイズになっています。ここまで大きくなるのに１週間ほどかかっています。今日時点でしたの収穫4日前の程度のサイズの実が４つ以上あるので、来週は4本は収穫できそうです。

上とは別の畝ですが、レタスの収穫が終わったので、その場所にが新たに育ったキュウリの苗を植え付けました。合わせて、キュウリネットも設置しました。

トマトが赤くなり始めました。来週からはいろいろ収穫できそうです。

サーバー移行先検討のページを更新しました。

　
移行先検討の件です。現在、各サービスについて調査しており、ここまでの結果を移行先の検討のページに反映・更新しました。代替サービスの案内の資料はまだ届いていないので、代替サービスの部分は空欄です。最終的な判断は資料が届いてからにします。ほかによいサービスがあるなどコメントなどあれば情報をくださいお願いします。
　また、移行スケジュールは来週決める予定です。

2026年1月
日	月	火	水	木	金	土
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31