「Blender」の脆弱性の件(続き)

どうも、ぼくです。

例のヤツの続きです。脆弱性についてのあらましと対策についてはそちらで言及してますが、Talosの記事とそれがリリースされたタイミングについてちょっと引っかかっていたのでメモしがてら。

それはそうと、Tonが反応してますね。

Cisco is a bit disappointed we don't fix their reported vulnerabilities yet. Their help is welcome though! The long thread: https://t.co/fadbxrcqGI #b3d

— Ton Roosendaal (@tonroosendaal) January 12, 2018

Re: Cisco vulnerabilities; always avoid opening .blend files from untrusted sources. Just like attachments in emails! #b3d

— Ton Roosendaal (@tonroosendaal) January 12, 2018

どうしてTalosはこのタイミングで公表したのか?

これは簡単。Ciscoの脆弱性開示のポリシーによるものです。「脆弱性を発見、コンタクトを取ってから90日間修正等の対応がされていない」ことにより、脆弱性について公表した、ということで、極めて事務的なものと言えるでしょう。

• Vendor Vulnerability Reporting and Disclosure Policy

TalosからBlender FoundationにAdvisoryとして連絡をしたのが T52654(2017/09/05) 、 T52924(2017/09/27) ですから、 まあだいたいこの時期に、と。

Brechtのコメントについて

Talosの記事中に”Blender has declined“と書いてbrechtのコメントにリンクしてます。以下がT52924でのコメント。

Realistically, Blender is not well protected against these kinds of attacks, and the same is true for other CG software (often you can run arbitrary embedded scripts on file load, which Blender at least prevents). Anyone capable of exploiting these reported vulnerabilities can find 10 more in Blender and its library dependencies. As far as I’m concerned, opening a file with Blender should be considered like opening a file with the Python interpreter, you have the trust to the source it is coming from.

CG artists might not be aware of this and that’s a problem, but fixing these issues one by one is also a waste of time in my opinion. You’d need to completely review the code and architecture to get anywhere near real security, and I don’t see that happening soon for Blender, or similar CG software for that matter.

すぐに（脆弱性の悪用が）起きるかどうかわからないのに「セキュアなコードかどうか」のレビューまでするのは現実的ではないですよね的な感じですよね。brechtのコメントの前にTonが既にTalosにメールで回答している、と記述しています。

That being said, it’s not something we ignore, but the investment of resources (using volunteers?!) in fixing this, would not really justify the benefits.Would you help us fixing this?

また、T52654で1つの脆弱性については修正対応されているという記述があります。

何が引っかかったのか

これTalos側が提示した期限に「BFが単純に対応してない」ってだけの話で、「拒否する」とかしないとかの問題ではないですよね？、ってところ。もちろん脆弱性については一日も早い修正が望まれるのですが。

Brechtのコメント必要だったかなあ？

ところで、それぞれ TALOS-2017-#### が公開されたわけなんですが、対応するCVEのアップデートってどうなるんです？詳しい人教えてください。

TalosでBlenderの脆弱性一覧を見る場合には Disclosed Vulnerability Reports から”Blender”で検索してみるといいですよ？

[EDIT] BlenderNationにこの脆弱性についての記事が投稿されています。

ではー

 

広告

「Blender」の脆弱性の件

どうも、ぼくです。

今回はBlenderに21個の脆弱性がウンタラカンタラ、という件についてちょっと「知ったか」しようかな、と。

続き書いたのでそちらもどうぞ？
[EDIT] BlenderNationにこの脆弱性についての記事が投稿されています。
[EDIT] (1/16)T52924 にて該当箇所の修正を完了した(D2999,D3001,D3002)とのこと。既にデイリービルドで試すことはできる模様？
[EDIT]「注目の脆弱性：Blender で複数確認された未修正の脆弱性」　という日本語訳の記事が公開されています。

3Dモデリングソフト「Blender」に未修正の脆弱性が複数存在 ～Talosが指摘 という記事で最初に知ったんですけども、「Blenderで脆弱性とはまた久々だな」とかいう感じでして。

Talosの原文記事とかBlenderのバグトラッカー( T52654 ,T52924)のエントリとか確認してきました。なるほどわからん…じゃなかった、バッファオーバーフローによる脆弱性、っていうのが中心に複数個あるってことなんですね。で、結果として「悪意あるコードの実行を許してしまう」恐れがある、というTalosからの指摘、と。

で、そもそもバッファオーバーフローって何よ？ってことなんですけど、プログラムがメモリ上に確保した領域（バッファ）以外に書き込みを行うことを言います。この辺見てご理解いただけると思います(?)

なお、「悪意のあるコードを埋め込んだファイル」を仕込んでおいて、それをBlenderで読み込み実行させる、ということができるのが問題のようです。

例えばTALOS-2017-0406では（特定の条件の？）TIFファイルを読み込むことで、ヒープベースのバッファオーバーフローの原因となりうる、とあります。なお、TALOS-2017-0406からTALOS-2017-0457の21個がそんな感じです。

反対に言うと、バッファオーバーフローさせてメモリに書き込んだのがプログラム実行領域、またはスタック領域で、悪意のあるコードまたは悪意のあるコードへのジャンプ先アドレス、という仕込みをしないと単純に「Blender落ちた」ってなるくらい(まあそれもバグっちゃあバグ)なんじゃないかな、と。

Talosの原文記事 では考えられるシナリオとして「ソーシャルエンジニアリング」や「スピアフィッシング」、「GithubやGoogle Drive,Dropboxなどで仕込んだファイルをアップロード」という記述がありますね。まあ危険度ではメールに添付されたVBScriptをうっかりクリックしちゃったらウィルス感染しちゃった的なものと同じくらいでしょうか。ちょっと気を抜けない感じ。

なので、できる対策としては「出自の明らかなファイルのみ利用する」ってことになります。 .blendファイルはもちろんですが、及び画像・映像関連のBlenderで利用しそうなものも、という感じですかね。

• TALOS-2017-0406 – 0414:  VSEでの .tiff/.png/.iris/.cin/.bmp/.avi 読み込み時
• TALOS-2017-0415: ファイルブラウザでサムネール表示時
• TALOS-2017-0425: .blend (の画像)
• TALOS-2017-0433,0438,0451,0452,0453: 古いバージョンで保存された .blend ファイル
• TALOS-2017-0434: .blend
• TALOS-2017-0454,0455,0456,0457: .blend データ変換（操作）時

「外部データに頼らず全て一から丹精込めて作っています」という人はひとまず安心なのかな、といった感じ。

.blendファイルに対応しているレンダーファームとか3Dプリンタのオーダーとかその辺のところはどう対応するんでしょうかねえ？

で、「Blender declined（Blender側がやんわり断った）」という文章とともに brechtさんのコメントが画像で紹介されてるんですが。

Talos has responsibly disclosed these vulnerabilities to Blender in an attempt to ensure they are addressed. However, Blender has declined to address them stating that “fixing these issues one by one is also a waste of time.” As a result, there currently is no software update that addresses these vulnerabilities. Additionally, Blender developers believe that “opening a file with Blender should be considered like opening a file with the Python interpreter, you have [to trust] the source it is coming from.”

Talosとしては、もしかして、CVE開示->修正->ページ公開 みたいな流れを予想してたんでしょうか？こういう感じの。
それはそうなんですが、プライベートメールでやりとりした一部がBTのスレッドに出てた内容の限りだと「問題点指摘したよ？早く修正してね？」としか見えなくてちょっとツライ。

今回の公表を（一部しか説明されていないので）「Blenderをイメージダウンさせる攻撃」だとか受け取っちゃいそうな人もいるかもしれませんが、メモリぶっ壊すのはバグでしかないし、それがセキュリティの観点からは「悪用される恐れがあって修正しないとマズい」って言われているだけなんですよね。片や「そこまで重大とは考えてないし、修正に使えるリソースが無い」って言ってる。それだけのことですね。なお、こういった脆弱性は他ソフトで無いわけではなく(一例)。

「Heartbleedの件で何も学んでいないのか！！」とか全く違う方面からブッコまれる方も出てきそうですが、そういう方は修正パッチを書いてBFに投げつけてあげるといいと思います(この機会にBlenderを使ってみましょう！)。また、ビットコインで寄付(最近対応する種類が増えました)も受け付けているので「セキュリティ担当を雇える」くらいの寄付でもしてあげればいいんじゃないかとも思います。

そして、Talosの記事に対する反応として Tonさんのコメント。

Cisco wrote this yesterday:
http://blog.talosintelligence.com/2018/01/unpatched-blender-vulns.html

For the record – a day after Brecht’s reply I talked to a Cisco engineer who offered to help us with it.
Brecht is speaking here on his own terms, as one of the core team members but it’s not an official Blender Foundation statement that we don’t take these vulnerabilities seriously. There are just no simple or easy answers.

まあそうですわね。

今回brechtがコメントしていたPythonスクリプト実行の件については、以前のBlenderの脆弱性で、「Pythonスクリプトを直接実行できることで悪意のあるコードを実行できる」というものです。以前は起動時にPythonスクリプトの実行はデフォルト有効でした。これだと悪意のあるスクリプトも実行し放題なので、「信頼するコードのみ実行させる」ようにしましたとさ。今回の件とは関係がないのですが、引き合いに出したことで変な誤解する人もいそうですw

 

ではー。

 

BlenderからglTF形式で出力してVSCodeで閲覧してみる

どうも、「Blenderユーザー助け合い所」なるところを作ってみたもののまあ認知されるまでぼちぼち宣伝でもして気長に待つしかないな、と思ってるぼくです。

今日はglTFについて。なんかこの最近耳にするようになったんですが、フォーマット自体はけっこう前から存在している模様です。

• glTF: a new game engine binary format from Khronos

ちょっと話逸れますけど、 blenderartists.org は「溜まっている集合知を検索して自分のために役立てる」ものだと自分は認識しているのですが、他の人に言わせると「検索できない」んだそうで。いや、GoogleでヒットしたものじゃなくてBAサイト内検索機能があるでしょ？それ使うときっちり出て来ますって。アカウント登録してログインすると検索機能が使えるようになるんで。

はい、話戻しますね。BlenderのglTFエクスポーター見つけて来てVSCodeのglTFプラグイン見つけてくればいいんですよね？

• Kupoman/blendergltf
• VSCodeでglTFのプレビューができるglTF Extension for Visual Studio Code

以上、たった2つのリンク参考にしながらやると準備は完了できるでしょう。

うちの環境(Mac mini)だと準備して、BlenderからデフォルトシーンをエクスポートしたものがThree.jsでプレビューできました(他は正しく表示されませんでした)。プレビューのショートカットキーは[Alt]+[G]の様子。

まあプラグイン取って来てドーンしてみた、なだけなんですけどね。

ではー。

「Blenderユーザー助け合い所」開設しました。

どうも、ぼくです。

Facebookグループ、「Blenderユーザー助け合い所」作りました。Blenderユーザーが質問しあえる場所としてご利用いただければと思います。

• https://www.facebook.com/groups/blenderhelp/

まあそれだけだと何なので(?)ちょっと考えていることとか書いていきたいと思います。

で、お前誰よ？

あー、とりあえず「ブレンダーをDisってみる 」で多少認知されている様子なのでそちらからどうぞ、というべきでしょうか。あとは…ツールとしてお仕事で使って無いですね、くらいかな？

• Blender初心者が知っておくべきこと(日本語訳)
• BlenderFAQ(ja)
• Blender bad habits(メモ)

なぜ作ったの？

思い付きです。そんな深く考える人と思いました？

「そういえば日本語でBlenderちゃんと質問できる場所無いよね？」的な。細かくみていけばあるんでしょうけど、blender.jpも質問出来るフォーラム閉じて結構久しいですし。

グループの名前自体はUnityとかUE4とかで同種のグループがあってその名前が「◯◯助け合い所」というところだったからです。

どうしてFacebook?

次の3つの条件をかろうじて満たしていたから、というところです。

• 公開扱いで運用できるところ
• アカウント登録等少しハードルがあるところ
• 返信がスレッドっぽく見れるところ

正直レンサバにCRM立てて、という方が色々使いやすくできるんでしょうけど、管理するコストとか時間とかまでは捻出できないのでこれで。

ぶっちゃけいうとこういう質問できる場所はできるだけ少ない方がいいし、英語読み書きできれば blenderartists.org とか blender.stackexchange.com で事足りるとすら思って（自分の英語力が無いのを棚に上げて！！）もいるので、「チャンネル増やしてまですること？」と悩んでいる部分はあります。まあでも作っちゃいましたので、仕方ないですね。

FBグループをどうしたい？

現状、わかんないです。

どのくらいのユーザーさんが使ってくれるかわかんないですが、自分が多分べったりくっついて回答作ったりモデレーションしたりということはリソースの関係上できないです(だいたい日中はFBにアクセスしないので)。ということでモデレーターやりたいって人は大歓迎です。

もちろんグループに参加してくれる人、FBグループを宣伝してくれる人は言わずもがな、ってやつです。

あともう一個。

えーと、一人で理解者がいない状況で「何が何だかわからない未知の世界に踏み込んで一人で情報収集たりして『本当にこのやり方であってるんだろうか』『もっと効率良くできないのかな』と思い悩む」のは結構エネルギー使うし、何より続かないと思います。

そういう時はコミュニティの力を借りるといいです、多分。

• Blender初心者が知っておくべきこと の #6

このグループがその「コミュニティの一部」として機能すればいいなあ、とか妄想しています。

 

あー…あと、「チョットデキルTシャツ」あるのでよろしくですーw

アレですよね、Blender関連の何かで売り子とか店番される方はこれ着てるんですよね？（バンバンと机を叩きながら） ＞
BlenderチョットデキルTシャツ – https://t.co/4y1wAfsHDR

— MITSUDA Tetsuo (@lab1092) August 5, 2017

ではー。

JR有楽町駅から(なるべく)雨に濡れずに行きたい( Blend×JP への道2)

どうもぼくです。

前エントリ、「都営浅草線東銀座駅からのルート」はご覧になっていただけたでしょうか。Blend×JP の浅草線東銀座駅から会場までの経路を記載していったものですが、多分いらっしゃると思うんですよ、「有楽町から歩いて行けるっしょ？」という方が。

もちろん歩きでたどり着けるんですけども、有楽町駅改札出たら雨降ってました、あなたならどうします？「なるべく濡れないルートはないものか」探しますよね？ということで（？）これから説明します。ただ、経路的には東銀座駅から銀座松竹スクエアまでは前回のエントリそのままなので、有楽町から東銀座駅の改札前までをご案内しますね。階段の上り下りが思ったよりもあったりしますがそれはそれで楽しいと思います。もっとも、初めて有楽町降りた、しかも晴れてた、というケースだと地上を歩いた方が色々面白いと思います。

なお、今回案内している経路は「最適経路」ではないのでご承知おきください。多分その辺の人とかにあらかじめ「東銀座駅方面行きたいんですけど」聞いた方が良いですw

では有楽町中央口改札から。

まあるいひさしが向こうに見えてますがそれが地下への入り口。

少し注意深く脇の柱を見ると地下鉄方面は「下りて直進」「下りて右」と書いてありますね。ここ、なぜか「下りて右」を選択します。

階段を降りていきます。突き当たりやや左方向に地下飲食店街的なのがありますので、11時くらいについて腹ごしらえ、の候補に入れてもいいかもしれません。降りたら右ですよ、右。

本当に右です。右の壁に沿って歩いてくださいw

どんどん進んでいってください。

さて、「有楽町マリオン」です。という看板が見えたら階段を登ります。

どの階段だよ！！真ん中です。

案内板が何か出てますが、そのまままっすぐ。向こうに下り階段がみえます。

連絡通路的な感じになってて突き当たりをどちらかに進まなければならない様子。

左に行きます。

銀座駅方面…はて。とりあえず向こうに見える階段を登ります。

もうこの辺からは「東銀座駅方面、A1出口方面」という感じの案内板等をひたすら探しながら進んでいきます。

改札がたくさんありすぎてどこがどこなのかわからなくなりそうですが少し頑張ってここを乗り切ります。

途中こういうのがあったりします。「銀座のオアシス」。

少しここはわかりづらいです。この時点でわからなくなったら改札にいる駅員さんに「東銀座歩いて行けるって聞いたんですけど」とでも聞いて見るといいでしょうね。

この案内板が見えたら、この通路が東銀座駅に続くということがわかります。

少し歩いていくと通路の真ん中が少し様子が変わってくることに気がつくことでしょう。レンガと石でできた何か。

12体の何かがデフォルメされた姿を拝むことができます。正面からはぜひご自分でご確認ください。

浅草線改札前まで来たら下を見ましょう。連絡通路に行くので左に折れます。

そしてここからは先週の「都営浅草線東銀座駅からのルート」に続く（えっ？）というわけです。どれだけ階段上り下りさせんだよ？って感じです。

なお、気づいた方もいらっしゃると思いますが、タイルとか壁とか構造物とか「テクスチャにしてえ」「素材の宝庫」とか思った方は怪しまれない程度に道すがら写真取るなどしてみたらいいと思います。

では当日僕と握手！！(そちらにメリットはないと思います)

 

ではー。

都営浅草線東銀座駅からのルート(Blend×JPへの道)

どうも、ぼくです。

Blenderの勉強会？イベント？の Blend×JP2 の開催まであと3週間ほどですね(11/4日開催)。どんな発表があるのかものすごく楽しみですね。

とまあ、昨年の Blend×JP 開催前に書いた記事と同じような出だしで始めましたが、今回は開催場所も違うので、その案内とか。ただし、今回は超ラフに行きます。それほど迷うっていうことはなさそうですし。たまたまそこらでお昼食べに行ってそのついでなんですけどね。

今回は、スタート地点を都営浅草線東銀座駅、2番ホーム(押上方面行き)に降り立ったところから、ゴールを会場の建物、銀座松竹スクエア前までを。

電車からホームに降りたら5番出口を目指します。五反田、新橋方面から到着、って感じですね。まずは改札まで。A8ではない方です。

改札出たらすぐ右手にある連絡通路の階段を下ります。この時点では「歌舞伎座方面」と覚えておけばいいです。その先に行くんですけどね。

階段降りて「本当に正しいの？」と思ったタイミングでこれを目印に。

もう少し進むと左手側の壁にこんなものがありますので、まあわかりやすいっちゃあわかりやすい。

連絡通路を渡って階段を上がると改札が見えるので、1番ホーム（泉岳寺方面）改札出てまっすぐ伸びている方向に進みます。途中左側に歌舞伎座に上がる通路が見えますが、そちらではなくまっすぐ5番出口に進みます。

進んでいくと日比谷線の改札が見えますね。もう少し歩いていくと突き当たりになるでしょうか。ここで選択を迫られます。さあどっちだ？？？

そうですね、５番出口って言ってますもんね。正解は左。階段を登ります。階段登って前を見るとでっかい建物が道を挟んで見えると思います。そう、それ。

少し近づいてみると、何やらビルの前に植物が。松と竹。嫌いじゃないです、こんなストレートなのw

入り口まで来ました。GINZA SHOCHIKU SQUARE って書いてありますね。似たような名前の「東京スクエアガーデン」は全く別の所にありますからね、気をつけてください。

と、ここまで。実は5番出口上がってすぐビルの方には行かずステーキ食ってたんですけどね、ランチ限定20食の。これがうめーの。

なお、ビルの向こう側くらいから「築地ナンチャラ」っていう名前の看板が見えてくると思います。何か食べたり、ということには困らないと思います、ってことだけお伝えしておきます。

２回目となる Blend×JP2 ですが、3D人さんの記事中に「登壇者豪華すぎ…行きたいなぁ…」とあるように、面子がBlender使っている人ならわかる、豪華な顔ぶれです。参加される方もちらほらすげー方いらっしゃいますしね。募集開始から3時間ちょっとで満席になってしまってたりします。BlenderとBlender使いのアンテナ感度すごいですね。

 

さて、このタイミングなら間に合うんジャネーノ？ということで貼っときます。「チョットデキルTシャツ」の宣伝ですw誰か着て来ます？着て来られたら指差して「プークスクス」ってやるだけですけども 😉

BlenderチョットデキルTシャツ | lab1092 https://t.co/4y1wAfsHDR #booth_pm

— MITSUDA Tetsuo (@lab1092) August 21, 2016

 

ではー

BlenderにSphinx入れてみた(速報?)

どうも、ぼくです。

この最近のBlenderさんはpythonをエンジンとしてBlender本体に組み込んでいるのではなくてpythonそのものを内包している形になっている（2.7いくつくらいからだったっけな？）せいもあってか、pipでパッケージ入れるとかできるようになっているそうですね。ということで美しいドキュメントを簡単に生成することができるドキュメンテーションツールSphinxもインストールできんじゃね？と。ということでとりあえずSphinxのパッケージをインストールしてみたところまで。

なお、pipのインストールには @kjunichiさんの記事「Blenderにpipを入れる」を参考にさせていただきました。

あまり時間取れないので”pip install sphinx“でエラーなくインストールされた際の出力結果貼り付けるのみです。
使うための環境設定とかその辺はまだ行っていないので、使えるかどうかは別の機会となります。

Pythonのバージョンは 3.5.2とのこと。

$ /Applications/blender/blender.app/Contents/Resources/2.78/python/bin/python3.5m -V
Python 3.5.2

$ /Applications/blender/blender.app/Contents/Resources/2.78/python/bin/pip install sphinx
Collecting sphinx
Downloading Sphinx-1.5.3-py2.py3-none-any.whl (1.6MB)
100% |████████████████████████████████| 1.6MB 564kB/s
Collecting docutils>=0.11 (from sphinx)
Downloading docutils-0.13.1-py3-none-any.whl (536kB)
100% |████████████████████████████████| 542kB 2.0MB/s
Collecting alabaster=0.7 (from sphinx)
Downloading alabaster-0.7.10-py2.py3-none-any.whl
Collecting babel!=2.0,>=1.3 (from sphinx)
Downloading Babel-2.4.0-py2.py3-none-any.whl (6.8MB)
100% |████████████████████████████████| 6.8MB 188kB/s
Collecting imagesize (from sphinx)
Downloading imagesize-0.7.1-py2.py3-none-any.whl
Collecting snowballstemmer>=1.1 (from sphinx)
Downloading snowballstemmer-1.2.1-py2.py3-none-any.whl (64kB)
100% |████████████████████████████████| 71kB 4.2MB/s
Collecting Pygments>=2.0 (from sphinx)
Downloading Pygments-2.2.0-py2.py3-none-any.whl (841kB)
100% |████████████████████████████████| 849kB 1.5MB/s
Collecting requests>=2.0.0 (from sphinx)
Downloading requests-2.13.0-py2.py3-none-any.whl (584kB)
100% |████████████████████████████████| 593kB 1.7MB/s
Collecting Jinja2>=2.3 (from sphinx)
Downloading Jinja2-2.9.5-py2.py3-none-any.whl (340kB)
100% |████████████████████████████████| 348kB 3.4MB/s
Requirement already satisfied: six>=1.5 in /Applications/blender/blender.app/Contents/Resources/2.78/python/lib/python3.5/site-packages (from sphinx)
Collecting pytz>=0a (from babel!=2.0,>=1.3->sphinx)
Downloading pytz-2016.10-py2.py3-none-any.whl (483kB)
100% |████████████████████████████████| 491kB 2.1MB/s
Collecting MarkupSafe>=0.23 (from Jinja2>=2.3->sphinx)
Downloading MarkupSafe-1.0.tar.gz
Building wheels for collected packages: MarkupSafe
Running setup.py bdist_wheel for MarkupSafe ... done
Stored in directory: /Users/manda/Library/Caches/pip/wheels/88/a7/30/e39a54a87bcbe25308fa3ca64e8ddc75d9b3e5afa21ee32d57
Successfully built MarkupSafe
Installing collected packages: docutils, alabaster, pytz, babel, imagesize, snowballstemmer, Pygments, requests, MarkupSafe, Jinja2, sphinx
Successfully installed Jinja2-2.9.5 MarkupSafe-1.0 Pygments-2.2.0 alabaster-0.7.10 babel-2.4.0 docutils-0.13.1 imagesize-0.7.1 pytz-2016.10 requests-2.13.0 snowballstemmer-1.2.1 sphinx-1.5.3

そうですかー、Sphinxは 1.5.3 ですかー(遠い目

[他参考リンク]

• http://sphinx-users.jp/
• How to use PIP with Blender’s bundled Python?

ということでー。