OpenSSLの脆弱性(CVE-2022-3602、CVE-2022-3786)に関する注意喚起
OpenSSLに遠隔からコード実行できる不具合が見つかったとか。スコアは9.8でCRITICAL。3.0系が対象なので、古めのバージョンは逆に大丈夫らしい。
Heartbleed思い出すなぁと思ったら、あれもう8年前なんですね。今回は名前付いてない?
Fix CVE-2022-3602 in punycode decoder. · openssl/openssl@3b421eb · GitHub
修正コードこれかな。「=」つけ忘れなのか…
OSS開発するような凄い人達でもこういう間違いは避けられないのね。静的解析とか言語仕様で避けられる問題じゃないから難しいのかな。あと、大昔から(有名な)OSSは多くの人の目に晒されてるから品質が高いって言説があるけど、まぁ限界はありそう。
あと今回の件と関係ないですが、CVSSのスコアだとリスク管理が難しいから新しい指標が出来たみたいな話があったけど何だっけ…と思ったけど、SSVCですね。以下メモ。
SSVC(Stakeholder-Specific Vulnerability Categorization)を活用した脆弱性管理 | PwC Japanグループ
CVSSだと、ゲームの脆弱性が高スコア(9.8でCRITICAL)になっちゃうとかありましたね。
Nintendo 64 デバイス用 Morita Shogi 64 における境界外書き込みに関する脆弱性
We Need a Replacement for TCP in the Datacenter (PDF)
昨今のデータセンター用途だとTCP向いてないので新しいプロトコルが提案(検討?)されてるという話なのかな。Fadisさんのまとめによると…
・TCPだとデータサイズをアプリレイヤで把握するにはパースする必要がある
・NIC性能がCPU相対で向上しすぎてパースがボトルネックになる
・最近は400GbEが実用されてて1.6TbE(!)の標準化も進んでる
・あとコネクション貼るのに使うメモリが接続相手多い場合で無視できない
メインはこんな感じでしょうか。あまり理解してないですが。昔に誰かのブログでInfinibandってワードを見た気がしたけど、これも最後の方で触れられてて今回の領域ではTCPと同じ問題を抱えているのだそうです。難しいっすね(適当)
