cles::blog

最近はシステム管理を root でやることはすっかりお行儀が悪いことになってしまって、sudo を使うことが一般的にになりました。
ただ、誰もが sudo を無制限に使えるようにすると収拾がつかなくなるので、/etc/sudoers で縛っていることも多いと思います。

例えばこんな具合です。

このような定義の場合、ユーザー bob は myhost 上で sudo を使って root 以外のユーザーとして vi を実行することができます。

ところが今回の問題は sudo -u#-1 /usr/bin/vi や sudo -u#4294967295 /usr/bin/vi という感じで、ユーザー ID として4294967295^*1 や -1 を与えると、実行されたプログラムの UID = 0 （つまり root ） になり、制限が回避できてしまうとのこと。というわけで、ユーザーの所に ALL が指定されていて、特定のユーザーを除外しているような場合にのみ悪用が可能ということになります。

• Potential bypass of Runas user restrictions
• CVE - CVE-2019-14287

日本語の詳しい解説については以下が読みやすいです。

• sudoの脆弱性情報(Important: CVE-2019-14287)と新バージョン(1.8.28) - OSS脆弱性ブログ

• ^*1: (2^32)-1

Python 3.8 がリリースされました^*1。

新しいところ^*2としては :=（セイウチ演算子）^*3 が導入されたのが目につきますね。
ただ「セイウチ演算子の使用は、複雑さを減らしたり可読性を向上させる綺麗なケースに限るよう努めてください」と濫用しないように但し書きがつけられています。

セイウチ演算子を導入した「Python 3.8.0」がリリース ～“Microsoft Store”からも入手可能 - 窓の杜

最新版の「Python 3.8」では、代入式（Assignment Expressions）を実現するセイウチ演算子（:=）が導入されたほか、関数を宣言する際に記号“/”を用いることでキーワードによる引数を制限し、位置による引数を強制する機能が追加された。

• ^*1: Python Insider: Python 3.8.0 is now available
• ^*2: What's New in Python — Python 3.8.0 ドキュメント
• ^*3: PEP 572 -- Assignment Expressions | Python.org

先日の箱根旅行で乗ってきた箱根登山鉄道が台風 19 号で大きな被害を受けたようです。
報道で写真が出ていますが土砂崩れや橋脚流出などかなりの被害になっていて、紅葉のシーズンどころか年内の復旧は絶望的という感じのようです。

【台風１９号】箱根登山鉄道、復旧めど立たず　被害甚大 | 社会 | カナロコ by 神奈川新聞

台風１９号の影響で運休が続く箱根登山鉄道の被害は、土砂崩れによる橋脚流出など十数カ所に上ることが１５日、分かった。宮ノ下－小涌谷間では約２５メートルにわたり線路が押し流され、別区間でも電柱倒壊や落石が線路を埋めるなどの被害が多発。７０年以上前のアイオン台風に匹敵するレベルの深刻な状況で、同社は「復旧には相当な長期間を要する」としている。

先日の健康診断の結果が戻ってきました。
今回は LDL、尿酸、クレアチニンが正常より高かったようです。
年々少しずつ数値が悪くなっているような感じですが、とりあえず大きな異常はないようです。

台風 19 号は予想以上に各地で大きな被害になっているようです。

そんな中で Yahoo! が台風19号への募金活動を開始していたのでメモ。
3000 万円までは、Yahoo! が同額を寄付するマッチング寄付の対象になっています。

令和元年台風19号緊急災害支援募金（Yahoo!基金） - Yahoo!ネット募金

10月1日頃発生した台風19号は、13都県に特別警報がだされるなど過去最強クラスで10月12日に上陸し、長野県千曲川をはじめ複数の河川が氾濫、各地で土砂崩れが発生するなど大規模な災害になりました。 （中略） Yahoo!基金では、これらの状況を受けて被災地や被災者支援を目的に緊急支援募金の受付を開始いたします。

僕も寄付しようと思ったのですが、実家の方で所有している建物が床下浸水してしまったようなので、まず自分のところの復旧からですかね。

以前、テレカン用のヤマハの「YVC-300」というマイクスピーカーを取り上げました。この YVC-300 は音質、音量とも十分ですが4万円前後とけっこう値段が張る代物だったので、気軽に買うことができませんでした。

今回は2～3人用の小規模会議用で、そこまで音量がなくても良かったので、もう少し気軽に購入できる価格帯の Jabra SPEAK 510という機器を導入してみました。

接続は USB もしくは Bluetooth に対応しています。僕は電池が切れたりとか、接続が不安定になるのがイヤなので専ら USB 接続で使うことになると思います。Skype でテスト通話をしてみましたが、音声はエコーも無くクリアで、タッチ式のボタンの反応も悪くありません。小さくて軽いので、付属のポーチに入れて持ち運びが簡単にできるところが良いですね。

YVC-300 は大きくてクリアな音声なのでどちらかというと会議室などへの据え置き向き用で、Jabra SPEAK 510 は手頃な値段で、軽量コンパクトなので持ち運び用として使い分けできそうです。

今日は台風 19 号襲来ということで終日家から出ないというゆっくりとした日でしたが、緊急速報メール（エリアメール）が 3 通も届くという珍しい日になりました。こんなことは 3.11 の震災以来ですね。

幸いにも雨で土砂崩れが起きたり、浸水するような場所には部屋を借りていないので、こういうときでも落ち着いて行動できるのは助かっています。

台風第19号洪水-機場運転状況(19時00分現在)

地下神殿と呼ばれている首都圏外郭放水路は巨大アトラクションではなく、もともと洪水を軽減するために作られたインフラですから今回の台風 19 号のような大雨の時に本当の仕事をしています。

以下のページに今回の台風第　19　号についての情報がありますが、これによると庄和排水機場は 18:50 から 100m³/s で排水を行っていることが確認できます。

• 台風第19号に伴う降雨 | 災害情報 | 江戸川河川事務所 | 国土交通省　関東地方整備局

FFmpeg を使うと、映像と音声が別ファイルになっていうものを1つのファイルに合成することが簡単にできます。
いつも引数が分からなくなってしまうので、忘れないうちにやり方をメモ。

例えば in.mp4 と in.aac を out.mp4 に結合したい場合には以下のコマンドで実行できます。

計画運休という言葉もだいぶ浸透してきて、12 日は朝からほとんどの路線が運休されることが分かりました。

以前の台風 15 号のときはだいぶばたばたした感じでしたが、今回はだいぶスムーズになったような感じがしますね。
明日は外出しないようにしたいと思います。

あすは都心部で事実上鉄道利用できない状態に | NHKニュース

台風19号の接近に伴い、首都圏の鉄道は地下鉄の一部を除くほとんどの区間で計画運休を行うことを決め、12日の午前中から順次、運転を取りやめることにしています。
このため12日は、都心部を中心に事実上、鉄道はほぼ利用できない状態になります。