2021年11月アーカイブ

Thunderbird 91.3.2 の「設定」を開くとクラッシュする

2021/12/09 追記
　12/7に91.4.0がリリースされ、本記事の問題がフィックスとなりました。お困りの方はアップデートしましょう。
　「Using Thunderbird with multiple language packs caused high RAM and CPU use and sluggish performance」

---- 記事本文はここから ----

Windows 10 21H2 の古めのパソコンなのですが、Thunderbird を91.3.2にバージョンアップし再起動したところ、Thnuderbirdが立ち上がって受信トレイは表示され、メールの送受信は問題ないものの、「設定」を開くと、その後は何をクリックしても無反応で、1分くらいすると、メモリを食い尽くして、Thunderbird がクラッシュします。

●クラッシュレポートの一部

AdapterDeviceID: 0x1287
AdapterDriverVersion: 27.21.14.5671
AdapterSubsysID: 108110de
AdapterVendorID: 0x10de
Add-ons: ...
AvailablePageFile: 2373210112
AvailablePhysicalMemory: 520609792
AvailableVirtualMemory: 160247808
BlockedDllList:
BreakpadReserveAddress: 126484480
BreakpadReserveSize: 83886080
BuildID: 20211117150618
CPUMicrocodeVersion: 0xa
ContentSandboxCapable: 1
ContentSandboxLevel: 1
ContentSandboxWin32kState: Win32k Lockdown disabled -- Preference not set
CrashTime: 1637650495
DOMIPCEnabled: 1
FramePoisonBase: 0000004041080832
FramePoisonSize: 65536
GPUProcessLaunchCount: 1
GPUProcessStatus: Running
InstallTime: 1637373468
LauncherProcessState: 0
ModuleSignatureInfo: ...
MozCrashReason: MOZ_CRASH()
Notes:
FP(D10-L1100-W00001000-T000) DWrite? DWrite+ WR? WR+ OMTP? OMTP-
OOMAllocationSize: 25616
ProductID: {3550f703-e582-4d05-9a08-453d09bdfdc6}
ProductName: Thunderbird
ReleaseChannel: release
SafeMode: 0
SecondsSinceLastCrash: 2339
StartupCrash: 0
StartupTime: 1637650411
SystemMemoryUsePercentage: 93
...

アドオンをすべてオフにしても同じ現象、
「グラボを使わない」設定にしても同じ現象です。
「設定」を開かなければ問題なく使えます。

トラブルシューティングモードで起動すると「設定」タブが開いた状態でも正常に操作ができる（アドオンと「設定」の一部を除き、動作OK！）ので、まずはトラブルシューティングモードで起動して、「設定」タブを閉じましょう。

トラブルシューティングモードで起動するには、SHIFTキーを押しながらThnderbirdの起動ショートカットをダブルクリック（タスクバーのアイコンならシングルクリック）し、以下の画面で「トラブルシューティングを続ける」をクリックします。

原因不明です。
言語パックの問題では？という情報もあります。

Latest versions of Thunderbird all crash when entering Preferences menu　（reddit）
→原因ですが、言語パックがインストールされていると本現象が発生する模様です。「三本線アイコン」→「アドオンとテーマ」→左の「言語パック」から、登録してある言語パックをすべて削除すればクラッシュしなくなります。他の言語のThunderbirdを使いたい場合は、こちらからダウンロードするしかないのかもしれません。

ぐっどらっこ。

ブログ記事を読む

Chromeで手っ取り早くメモを取る（文字入力する）方法

Chromeブラウザのアドレスバーに

data:text/html, <html contenteditable>

と入力してEnterを押すと、表示欄に文字が入力できるようになる。
PCはもちろん、スマホでもOK。

でも、もっと簡単な文字列がいいな。

参考サイト：Google Chrome活用で作業効率を飛躍的に上げる7つのヒント（lifehacker）

ぐっどらっこ。

ブログ記事を読む

今日のお昼ごはん

ポークのケチャップライス
カキフライ
キャベツの千切り
味噌汁

ブログ記事を読む

11月9日にログイン方法が変わりますというメールが来て、2SVがオンになった話

まずは、用語の説明です。
2SV　2 Step Verification
2FA　2 Factor Authentication
です。
要は、パスワードの他に、SMSなどの他の仕組みを使っての2段階認証のことです。

そして、本題です。
11月2日、GMAILに
「
11月9日にログイン方法が変わります
まもなくログインの 2段階認証プロセスが有効になります
パスワードの入力に続けて、スマートフォンで 2 つ目の手順を完了していただくようになります。ログインする際はスマートフォンをお手元にご用意ください。
2段階認証プロセスは 11月9日に自動的に有効になります。ご希望の場合は、今すぐ有効にできます。アカウントの設定は完了しました。
」
というメールが届きました。
Googleさんは、全力で利用者全員の2SV化を進めている模様です。

そして、11月10日の朝、
「
ログイン方法が変更されました
お使いのアカウントで 2段階認証プロセスが有効になりました
」
というメールが来て、2段階認証が~~勝手に~~オンになりました。
（この確認をしようと「Googleアカウントを管理」にアクセスしようとした時、すでにログインしている端末（信頼できるデバイス）では、改めて2SVを求められることはありませんでした。）

でも、だいじょうぶ。
iOSの2段階認証はオフにできませんが、Googleの2段階認証はオフにすることができます。（執筆時点）
設定・解除方法はこちら。
https://support.google.com/accounts/answer/185839

1分間、考えました。
このまま、2段階認証をオンにしておけば、確かに、安全性は高まる。
でも、スマホがないときにログインできなくなってしまう不便さは残る。
んーーー。
結果、2段階認証はオフにしました。
よい子はマネしないでね！

2つ目の認証方法として利用できるのは、SMS（複数の電話番号の登録可）の他に、
・バックアップコード（SMSが使えないときに、あらかじめ取得したこのコードを使うと認証できる）
・認証システムアプリ（Google謹製の認証アプリ。これを使うにはスマホが必要なのでボツ）
・セキュリティキー（USBやNFCタイプのキー（YubiKeyなど）を購入して使う。これが手元にないとだめなのでボツ）
がありますが、Eメールを使っての2SVはできません。

ぐっどらっこ。

ブログ記事を読む

MTを使っている方に緊急のお知らせ XMLRPC API における OS コマンドインジェクション

2022/08/24追記
XMLRPC APIについての新しい脆弱性が発見され修正版がリリースされています。今回も深刻度はほぼMAXです。
前回の対応で、mt-xmlrpc.cgi の実行権を削除していれば、今回の脆弱性の影響は受けませんが、その時にバージョンアップしていたり、その後、新規インストールして、実行権が付いた状態にしている人は至急対処しましょう。
https://www.jpcert.or.jp/at/2022/at220022.html

2022/01/29追記
復活方法のさわりの記事を書きました。

---- 記事本文はここから ----

ホームページの更新に、Movable Typeを利用している、しかも、MT3（今回の脆弱性問題はMT4以上が対象です）とかMTOSとかの、もうサポートされていないバージョンを使っている人が、まだ一定数はいるのではないかと思います。
そんな方を含めた、MTユーザーの方への重要な注意喚起です。

IPAからも次のリリースが出ています。

「Movable Type」の XMLRPC API における OS コマンド・インジェクションの脆弱性について（JVN#41119755）
https://www.ipa.go.jp/security/ciadr/vul/20211020-jvn.html
CVEコードは、 CVE-2021-20837 です。

CVSS V3のスコアが 9.8 という、非常に深刻度の高いものになっています。

基本値: 9.8 (緊急) [IPA値]

攻撃元区分: ネットワーク
攻撃条件の複雑さ: 低
攻撃に必要な特権レベル: 不要
利用者の関与: 不要
影響の想定範囲: 変更なし
機密性への影響(C): 高
完全性への影響(I): 高
可用性への影響(A): 高

サポート中のバージョンを利用している人は、最新版にアップデートしましょう。
サポート中のバージョンであっても、なんらかの理由でバージョンアップができない場合、そして、MT4.0以上でサポートが終了しているバージョンを使っている人は、すぐに対策を行いましょう。

以下は、FTPソフトにFFFTPを使っている場合の対策です。
１．サーバーにFTP接続します。
２．管理画面へアクセスするために使っている mt.cgi というファイルが存在するフォルダ内にある mt-xmlrpc.cgi というファイルを見つけます。
３．mt-xmlrpc.cgi を右クリック→「属性の変更」で、「実行」欄のすべてのチェックをはずします。または、mt-xmlrpc.cgi ファイル自体をを削除してしまいましょう。

設定は以上ですが、外部からXMLRPC APIを使ってブログの更新を行っている場合は、この設定により更新ができなくなります。

この脆弱性用の実証コード（PoC）がすでに公開されていて、サーバーにバックドアが作成されたり、改ざんされたりするなどの被害が出ている模様です。

【注意喚起】Movable Typeの脆弱性を狙う悪質な攻撃を観測、至急対策を！
https://www.lac.co.jp/lacwatch/alert/20211102_002780.html

アップデートが行えない場合の対処方法について（Six Apart社）
https://www.sixapart.jp/movabletype/news/2021/10/20-1100.html#noupdate

なお、最新版以外のMTには、この問題以外にもXSSなどの脆弱性が存在しますので、上記の対策を行ってもリスクが残ることは認識しておきましょう。

おまけ。

ぐっどらっこ。

ブログ記事を読む

linuxサーバーの環境変数をperlで表示させる方法

linuxサーバーの環境変数をperlを使って表示させるには、以下のスクリプトを〇〇.cgi にてサーバー上に作成して、実行権を付与して、ブラウザからアクセスします。

#!/usr/local/bin/perl
print "Content-type: text/html", "\n\n";
print "<HTML><BODY>", "\n";
print "<H1>ENV</H1><HR>", "\n";
foreach my $key( keys %ENV ){
print "$key: $ENV{$key} ";
print "<BR />", "\n";
}
print "<HR>", "\n";
print "</BODY></HTML>", "\n";

実行結果。

ぐっどらっこ。

ブログ記事を読む

iMacをMontereyにしたらVirtualBoxのWindows10が動かなくなった話

2021/11/23 追記
11/22に6.1.30がリリースされました。これで直っているはずです。→直りました。上書きインストール後、Macを再起動したほうがいいかも。
https://www.virtualbox.org/wiki/Changelog

2021/11/04 追記
以下の対応を行っても、スリープから復帰するなど、なにかの拍子に、再び同じエラーになることがわかりました。（っていうか、バージョンアップしないでも、以下のコマンドだけでよかったのか？今となっては不明....）
VirtualBoxを再インストールすると直るのですが、もう少し簡単な方法があります。

ターミナルを起動して、以下のコマンドを実行します。

sudo kextload -b org.virtualbox.kext.VBoxDrv
sudo kextload -b org.virtualbox.kext.VBoxNetFlt
sudo kextload -b org.virtualbox.kext.VBoxNetAdp
sudo kextload -b org.virtualbox.kext.VBoxUSB

上記についてはここに書いてありました。

---- 記事本文はここから ----

iMac(Late 2015)をMontereyにしたら、VirtualBoxのWindows 10が動かなくなりました。
VirtualBoxは、6.1.14 です。

「
where: suplibOslnit what: 3
VERR_VM_DRIVER_NOT_INSTALLED
(-1908) - The support driver is not installed.
On linux, open returned ENOENT.

仮想マシン"windows10"のセッションを開けませんでした。
The virtual machine 'windows10' has terminated unexpectedly during startup with exit code 1 (0x1).
終了コード : NS_ERROR_FAILURE (0x80004005)
コンポーネント: MachineWrap
インターフェース: IMachine {85632c68-b5bb-4316-a900-5eb28d3413df}
」

最新版のVirtualBoxにすればいいのか？と思い、VirtualBoxの日本語サイトにサクセスすると、https://www.oracle.com/jp/virtualization/technologies/vm/downloads/virtualbox-downloads.html
「最新リリースはバージョン6.1.14です。」とあります。
んーーーー。

USのサイトにアクセスすると、
https://www.oracle.com/virtualization/technologies/vm/downloads/virtualbox-downloads.html
「The latest release is version 6.1.28.」
んーーーー。

いや、最初からここにアクセスすればよかった模様。
https://www.virtualbox.org/

というわけで、サイトからdmgファイルをダウンロードしてインストールしたところ、今度は、

インストールできませんでした。

というエラーが発生してインストールできませんでした。
こちらのエラーは、

MacでVirtualBoxがインストールエラーになる(セキュリティーとプライバシーの許可が出来ない)場合の対処法
https://shoji014.com/virtualbox-error/

で解決しました。

なお、6.1.28にしてもヘッドレスモードで起動できないので「通常起動」での起動が必要です。ヘッドレスモードでの起動は、間もなくリリースされるであろう 6.1.29 を待つしかなさそうです。
https://forums.virtualbox.org/viewtopic.php?f=39&t=103416#p508251

急いでMontereyにバージョンアップする必要がない人は、それを待つのも一案です。

ぐっどらっこ。

ブログ記事を読む