スイス Jura 社製コーヒーマシンの深刻な脆弱性がようやく公開される 58
汚いなさすがコーヒー派きたない 部門より
先月末に脆弱性対策情報データベースに掲載された JVNDB-2009-004384 によると、Jura Impressa F90 (Amazon.co.uk のアイテム) 用の Jura Internet Connection Kit は、特権関数へのアクセスを適切に制限しないことが分かった。
悪意ある第三者が巧妙に細工したリクエストを行うことにより、サービス運用妨害 (物理的損害) 状態にされる、コーヒーの設定を変更される、およびコードを実行されるといった深刻な事態となることが考えられる。つまり「俺はエスプレッソを飲もうとしたらいつのまにかカプチーノを飲んでいた」という危険性があり (参考: hority 氏によるつぶやき) 、CVSS による深刻度も 10.0 (危険) となっている。該当機種保有者はすみやかにベンダーからの情報を参照して適切な対策を実施するように広く呼びかけられている。
さらに政治的に深刻なことは、公表日 (届け出が行われた日時) が 2009 年 9 月であり、JVNDB に登録されるまで 3 年もの月日を要した点にある。米国では CVE-2008-7173 ですみやかに脆弱性が公開されており、国内の暗黒 (ブラック) コーヒー業界とセキュリティ企業の癒着により公開が遅延させられた可能性もある。沈静化していたコーヒー派と紅茶派の武力闘争が再燃することも想像に難くない。モヒカンの多い /.J 民におかれましては落ち着いた行動に努めて頂きたい。
ネットワークに詳しい名古屋大学の高倉教授によると「大至急機材を調達して調査する」とのことで識者による検証が待たれる。また RFC2324 の Security Considerations において DoCS (Denial of Coffee Service) については 98 年の (4 月 1 日の) 時点で指摘されているが、今回明らかになった脆弱性はさらに深刻なものとなっている。
関連ストーリーです (スコア:5, 参考になる)
脆弱性が見つかったときに、/.Jでもストーリーになっていますね。
コーヒーメーカーの脆弱性が発覚 [srad.jp]
こんなニュース記事もありました。
狙われる「情報家電」、コーヒーメーカーにも“危険な脆弱性”" [nikkeibp.co.jp]
Re:関連ストーリーです (スコア:1)
> こんなニュース記事もありました。
虚構新聞じゃないし…。
Re:関連ストーリーです (スコア:1)
懐かしいですね。
なんでもかんでもインターネットを使うより、
電話回線経由って手もあると思うんですよ。
(昔はモデムとPCと制御基盤とレゴでやる話がありました)
接続毎に課金されますし、猫がとる問題も聞きますけど。
ないない (スコア:4, 興味深い)
ネタにマジレス
>国内の暗黒 (ブラック) コーヒー業界とセキュリティ企業の癒着により公開が遅延させられた可能性もある
IPAにたまに報告してるセキュリティ企業の中の人だけど、開発側からのアプローチ自体
滅多にないよ。公にしたくないなら無視してればIPAでの取り扱い終了。
→http://bakera.jp/ebi/topic/3203
実際、何件報告しても音沙汰なしって国内大手企業とかいるよ。
もちろん表には出ない。
Re: (スコア:0)
やっぱ遠隔操作ウイルスでも使ってゼロデイ仕掛けるしかないのか
手間をかけるからいいんだよ (スコア:2)
こうやって手を抜こうとするから、こんなことになるんだよ
とか言うとアレっぽいんだろうか。
まぁ、私自身は砂糖も牛乳も入っていないコーヒーは飲めないんですけどね。
Re: (スコア:0)
プログラマに対する苦言かと思った
今日の日付 (スコア:1)
あれ、今日は10月17日ですよ。4月1日ではありませんよ?
#どこかの暦だと4/1だったりするのかな?
部門名 (スコア:1)
二つ目の「汚い」はひらがなよ。
Re:部門名 (スコア:1, フレームのもと)
修正しました。致命的なミスへのご指摘 thx です。
Hiroki (REO) Kashiwazaki
こ、これは (スコア:1)
y_tambe先生があらわれるまで続く祭りなのか?
タイトル無し (スコア:1)
>「俺はエスプレッソを飲もうとしたらいつのまにかカプチーノを飲んでいた」
漫画じゃないんだから飲む前に気づけよ
つまりこの脆弱性を使えば塩と砂糖を間違えるコーヒーメーカーができるわけか (スコア:1)
マジで!?
#知らぬ存ぜぬを通せそうにないのでAC
コーヒーの効能と脆弱性 (スコア:0)
○ 一日2杯以上で皮膚がん発症確率が20%低下
○ 一日3杯以上で死亡リスクが低下
○ 一日3杯以上で糖尿病リスクが低下
○ 一日3杯以上で前立腺がんリスク低下。6杯以上ならなお良し。
× 一日3杯以上で失明リスク
× 一日3杯以上で貧乳化
○ 一日4杯以上で痛風予防
○ 一日5杯以上で肝臓がん発病率が飲まない人の1/4に
× 一日7杯以上で幻覚症状を起こしやすい」
○ コーヒーを多く飲む女性は、結腸がんになりにくい
他にもあったら追記よろしく
Re:コーヒーの効能と脆弱性 (スコア:5, すばらしい洞察)
> × 一日3杯以上で貧乳化
この項目、「×」じゃなくて「○」では?
Re:コーヒーの効能と脆弱性 (スコア:1)
- 職場の机でコーヒーカップをぶちまけることでキーボードにDoS
- 職場の机で缶コーヒーをぶちまけることでフロッピーディスク破壊
- 職場の机にコーヒーカップを置くことで重要書類に染みインジェクション
(いずれも自分では体験していませんが見聞きしたことはあります)
Re:コーヒーの効能と脆弱性 (スコア:2)
ふ、フロッピーディスク・・・
#まだ使ってるところは多いのかなぁ
Re:コーヒーの効能と脆弱性 (スコア:2)
いえ、これを目撃したのはもう二十年近く昔の話です。PC用ではなくて、ワープロ文書用フロッピーでした。
ちなみに、やらかしたのは当時私と同じ開発グループの人でしたが、缶コーヒーで糖分とクリーム分を含んでいるので媒体はべったべたに…。(フロッピーディスクというよりスティッキーディスクという感じ)
Re: (スコア:0)
実家で最近見たんだけど8インチのを鍋敷きにしてたな
Re: (スコア:0)
昔のAPPLEのマニュアルにコーヒーをこぼしてしまったフロッピーディスクの復旧方法が載っていたと思ったのですが
ぐぐる先生に聞いても出てこないなぁ。
#『コーヒーダウンコピー』に心当たりのある方はいらっしゃいませんか?
Re:コーヒーの効能と脆弱性 (スコア:3)
Appleのマニュアルかどうかも忘れましたが、
a.汚れた5インチフロッピーのジャケットを切ってクッキーを取り出して洗って干す
b.新品のジャケットを切ってそれに入れて読み出す
ってのは見た事があります。
Re: (スコア:0)
「あぁ!やっちまった〜」と叫ぶとか有る奴かな?
はじめてのappleだかMacintoshの、絵本みたいな奴??
Re: (スコア:0)
そう、絵本みたいなやつです!
よかった、ちゃんと実在するマニュアルだったんだ。
Re: (スコア:0)
まだブイブイいわせてた頃の月間ASCIIでは「周辺機器」に分類されていたものです
Re:コーヒーの効能と脆弱性 (スコア:1)
オフトピですが、私は月刊アスキーで桃井はるこさんを知りました。
Re:コーヒーの効能と脆弱性 (スコア:1)
× 熱いのに気付かず舌を火傷
○ 猫舌アピールで好感度上昇
○ 股かn…ズボンにこぼして薄い本フラグ
// 六番目は◎どころか花丸だろJK(:>^
事故なら (スコア:1)
Re: (スコア:0)
朝コーヒーを飲んでたのは犯罪者のせいぜい50%程度かなあ。パンのほうがはるかに危険だ。
Re: (スコア:0)
なぜ6番目が×?
Re: (スコア:0)
一日100杯以上で死ぬ可能性がある
##俺も貧乳化は◎かと・・・
Re: (スコア:0)
Re: (スコア:0)
おまいら「貧乳」に反応しすぎだろ!!
#といいつつ○にしようかと一瞬だけ思ってしまった#2253227AC。反省はしていない。
Re:コーヒーの効能と脆弱性 (スコア:2)
コーヒーに性癖のばれる脆弱性があったとは…
Re: (スコア:0)
> ○ 一日3杯以上で前立腺がんリスク低下。6杯以上ならなお良し。
> × 一日7杯以上で幻覚症状を起こしやすい」
結局どういうこと?
前立腺がんになりたくないのなら、幻覚症状を起こせってことか???
それとも幻覚症状を起こしたくないのなら、前立腺がんを我慢しろってこと?????
#無理やりな理屈なのでAC
Re:コーヒーの効能と脆弱性 (スコア:1)
この二項に限りませんが、個々のリスク(対義語は何だったっけ?)の定量数値が示されていないので「ふーん」で終わるか小さくなるのをリスクとするか奇貨として珍重するかどちらの解釈も許されているのです。
// コーヒーが切らして一ヶ月くらい経つので茉莉花茶を魔法瓶に入れてガブ飲み。
ブロードキャストに応答する家電とか (スコア:0)
upnpとかのブロードキャストに応答する情報家電は、
ウイルスとかに狙われまくるんだろうなと思った。
Re: (スコア:0)
OFFはできても電源ONはできちゃダメ、
というのも、不正アクセスを考えるとまんざらアホな規制でもないのかもね。
OFFにできるのも… (スコア:1)
いやOFFにできるのも危険性があると思います。
例えば、夏の最も熱い時におばあちゃんが具合が悪くなったとします(命に別状はない程度の)。
おばあちゃんは姑です。息子と嫁は共働きで仕事に行っています。旦那は既に亡くなっているとします。
そんな状況に置かれたおばあちゃん。部屋は閉めきられていますが、幸いクーラーが点いています。
そんなクーラーの電源が不正アクセスで電源がOFFになったら、おばあちゃんはきっと熱中症で死んでしまいます。
Re: (スコア:0)
それは、おばあちゃんを赤子、共働きで仕事をギャンブルに置き換えると現実に起きていますよね、原因は不正アクセスではなく。
そもそも、万が一の際にすぐ駆けつけられない場所に機械に任せで肉親を放置することの是非が先立つ例ではないでしょうか。
すでに危険な状態にしている事に無自覚な運用方法を標準にして、リスク顕在化時の責任を技術に押し付けるのは人格を持たない存在をスケープゴートにしているだけでしょう。
問題意識自体はフールプルーフ技術が進化するという利点もありますが、この例は技術側が法的・道義的な責任を負う範囲では無く不適切だと思います。
ひゃっはー (スコア:0)
汚いコーヒー派は消毒だー!
そのうち (スコア:0)
冷蔵庫や洗濯機から殺人予告が送付されたりするんでしょう。
Re:そのうち (スコア:1)
後代に「縛られ冷蔵庫」とか「縛られ洗濯機」として祀られるんですね
Re: (スコア:0)
よくわからん (スコア:0)
公式サイトとか見たけど、internet connectivityって何するの?
説明を見ると、家の中でPCから設定を入れるように見えるし。
あと、「ベンダ情報および参考情報を参照して適切な対策を」ってあるけど、パッチでもあるの?単に外からつなげないように設定してってことかなあ。
# もしかして:JavaScript, Flash
Re: (スコア:0)
いまどき、そんな家内手工業的なものなのかな?
Re: (スコア:0)
こりゃまたでかい釣り針だぁ。書かずにモノを作れるたぁ、世の中進んだもんだなぁ。
自分が何作ってるか分からないのに「出来た!」とかへそで茶ァ沸くぜぇ。
おおこわいこわい。
Re: (スコア:0)
Re: (スコア:0)
> 書かずにモノを作れるたぁ、世の中進んだもんだなぁ。
元コメが指摘しているのは、
工業製品に組み込まれるソフトウェアを書くのは「人」ひとりではなくチームであり、
組織ではなく「人」が責任を被る(被らされる)事は無いのでは無いか、と言う事では?
もしかしてこれってマジレスしちゃいけないとこ?
Re: (スコア:0)
管理システムからみて、俺の職場の場合は個人のミスがそのまま製品に実装されたり出荷されるなんてことはあり得ないから、障害の原因が個人に帰結するって話はちょっと想像しにくいんだよね。
もっとも、最低でもその程度の品質管理体制はないとEU向けの家電なんて流通困難だし。
だから#2253225や#2253252がどんな作業環境を前提に何を揶揄しているのかわからないんだよ。
まぁでも、完全ハンドメイド生産のようなスタイルのIT業者が皆無とは言い切れないしね。
なので、そういう古風な職場の職人さんにはお疲れ様、と。
Re: (スコア:0)
バグならまだしも、anonymousFTPで個人情報やら機密情報を垂れ流すようなシステムを組んだアホは永久追放にしてほしいと思う今日この頃。