ご心配をおかけしていますRadoですが、相変わらずPCアップグレードに伴い、只今SLにはログインできていないわけですが、アップグレードの際、マザーボード初期不良によりPCが起動せずまだ修理中。
従い、RAM販売も遅れることが予想されます。
リンデンから重要なお知らせが一つ。現在最新ビュワーは1.20ですが、このビュワーがセキュリティー ホールを突いた攻撃によってL$を奪われるという重大な欠陥がみつかったそうです。
インターネットには、古くから通信方式がいくつかありましたが、有名なのは暗号科通信SSLがあります。それとともに普通ウェブを閲覧するにはHTTPという通信を使うのですが、これは通信する同士で特定の信号に対してだけ反応して、返答、つまりリクエストを返しますが、この互いに通信を確認する方式ではなくて、一方的にパケットを投げるだけの通信というのがあります。
これは、ちょうど「投げつけたパイ」に例えられますが、要するに通信が確立していなくてもOKという、勝手に送りつけた手紙のような通信方式があり、インターネットの最古参の通信方式で、UDPといわれます。
このUDPをつかって攻撃者は、リンデンのサーバーめがけてビュワーからSLのトランザクションを確立、つまりサーバーからの返答を期待します。すると返ってきた通信から特定のコードを再びUDP通信をつかって、送信。L$を不特定多数の住人から奪いとるというものです。
UDP通信は特定の相手に向けた通信ではないので、いうなれば誰がそれを投げたか特定しづらい特徴があります。逆にUDP通信を受け取ったサーバーは、リクエストを返すので、サーバーからの返答からどの通信が確立できるかを特定することは、攻撃者にとってある程度予測がたてられます。
こうした攻撃は、よくサーバー クラックを行う攻撃者が初期段階で例えばポート マッピングなどでよく使う手法。どのポートが脆弱性があるかを見極めるのに使われることが多いのです。
今回はこの手法を応用して、インワールドからビュワーの使うポートを利用してのUDP通信で、コードを流すといった攻撃だったようです。
この攻撃を受けたサーバーの利用している場所に、自分がインしていた場合、L$を転送する青いダイヤログが右上に表示されL$が勝手に支払われた状況になります。
これを防ぐためには、サーバーを更新してパッチを当てるだけではなく、ビュワーからUDP通信は送信できなくする必要があります。
考えてみれえば、直接L$をインワールドから購入、転送できる手段はビュワーからなので、サーバーだけではなく、ビュワー自体も更新していなければ意味はありません。
そこで、リンデン公式ダウンロードページから、最新のビュワーが正式版、Candidate両方で更新されているので、それを利用するようリンデンは強く求めています。
正式版
http://secondlife.com/support/downloads.php
Candidate
http://secondlife.com/support/downloads.php#download-Testviewers
これはビュワーのバグというより、そういった方法をつかった攻撃を想定できるといったリンデンからの一種の警告なので、逆らわずこの最新ビュワーの使用をSLPCでも推奨します。
2008年9月29日月曜日
2008年9月27日土曜日
Rado Aradoからのお知らせ
最近なかなかINできないでいますが、別にやめたわけではないのでご安心を。只今自分のメインマシンを改造中で、OS自体稼働していない状況です。^^
ついでに改造しながらマザーボードの初期不良などがあったりして、結局のところ修理に出してます。ネットはマックから行えるのですが、なにせ低スペックなのと久しぶりの改造なので、思いっきりパワーアップしてる最中です。
私に御用の方には大変ご迷惑をおかけしますが、なにとぞご理解ください^^。
復帰には恐らく1〜2週間かかる見込みです。
ついでに改造しながらマザーボードの初期不良などがあったりして、結局のところ修理に出してます。ネットはマックから行えるのですが、なにせ低スペックなのと久しぶりの改造なので、思いっきりパワーアップしてる最中です。
私に御用の方には大変ご迷惑をおかけしますが、なにとぞご理解ください^^。
復帰には恐らく1〜2週間かかる見込みです。
2008年9月21日日曜日
2008年9月16日火曜日
アド・ファームについての情報(リンデン公式ブログ翻訳)
アド・ファーム規制についてのインフォメーションがあり、明確なルールが固まりつつある様子。
詳しくはSLPC WIKIに翻訳文を記載しています。
https://slpcs.wikidot.com/more-information-on-ad-farms-and-network-advertisers
詳しくはSLPC WIKIに翻訳文を記載しています。
https://slpcs.wikidot.com/more-information-on-ad-farms-and-network-advertisers
2008年9月11日木曜日
サーバーの更新Server 1.24.5へ
本来は10日から始るはずが、バグ修正のため結局11日からの再起動スケジュールへと変更。
- 9月11日午前:再起動やり直し、同じグループの運転〜 3000地域で開始
- 9月11日7 - 23時繰り返し再起動のセカンドライフ半分の地域で
- 9月12日5 - 9:00 :残りの部分で再起動
登録:
投稿 (Atom)
