2026/05/13 3:12

CERT は、dnsmasq に影響する重大なセキュリティ脆弱性に係る 6 の CVE を公표しました。

RSS: https://news.ycombinator.com/rss

要約▶

CERT から、広く利用されている DNS フォワーダーdnsmasqの 6 つの重大なセキュリティ脆弱性情報に関する緊急アラートが発出されました。これは、概ね「古代」とは言えないバージョンに影響を及ぼしています。Simon Kelley は、従来の embargo（秘密保持）期間を待つことなく、利用者自身がこれらの欠陥を修正できるよう、速やかにパッチを自身のウェブサイトに提供しました。これは、AI が生成したバグ報告や重複報告の流入により、従来の処理プロセスがあまりに遅れることから取った措置です。影響を受けた組織は、潜在的な悪用からインフラを保護するため、直ちにアップデートをダウンロードする必要があります。主要開発者は「dnsmasq-2.92rel2」向けにこれらの修正を backport しており、開発ツリーには包括的なリファクタリングを含む追加コミットが含まれており、近日中に利用可能になります。安定した 2.93 リリースは約 1 週間以内の予定であり、現在のリリースサイクルではタイムリーな対応が最優先されており、必要に応じてさらに修正が行われる可能性があります。コミュニティメンバーは、最終化前にメーリングリスト上でリリース кандидатをテストするよう推奨されています。詳細情報とパッチは https://thekelleys.org.uk/dnsmasq/CVE/ でご確認いただけます。

本文

件名：Re: dnsmasq 向けの CVE

送信元：Simon Kelley simon@thekelleys.org.uk 日付：2026 年 5 月 11 日（月）午後 5 時 18 分 UTC 宛先：Dnsmasq-discuss リスト dnsmasq-discuss@lists.thekelleys.org.uk

本スレッドの前のメッセージ：[Dnsmasq-discuss] DHCP リクエストにおける circuit-id のマッチングに関する問題本スレッドの次のメッセージ：[Dnsmasq-discuss] 不正な RRSIG が dnsmasq をクラッシュさせること

2026 年 5 月 11 日付で、CERT は dnsmasq の深刻なセキュリティ脆弱性に関する 6 つの CVE を発表いたします。これらはいずれも長年にわたって存在していたバグであり、概ね「非常に古い」バージョンを除くすべてのバージョンに影響を与えています。各ベンダーに対して事前にこれらの CVE が開示されており、 patched （パッチ適用済み）の dnsmasq パッケージが適切にリリースされることを期待しています。

詳細情報およびパッチは、以下のウェブサイトより入手可能です： https://thekelleys.org.uk/dnsmasq/CVE/

現在 stable 版である dnsmasq 2.92 リリースに対して、「2.92rel2」というバージョンをリリースしており、上記の場所からダウンロードすることができ、これら全てのパッチが適用されています。

同時に、これらのバグを修正したコミットも開発ブランチ（development tree）にアップロードされます。一部のケースでは backport 用に用意されたパッチと同じものを使用していますが、他のケースでは根本原因に対処するためにより包括的なリファクタリングが行われています。

AI を活用したセキュリティ研究分野には一定の革命的変化が生じており、私自身も過去数ヶ月間にわたり多数のバグレポートへの対応、重複レポートの選別（ duplicates は非常に多いです！）、ベンダー事前開示が必要なバグと即時公開・修正を推奨するバグへの優先順位の分類といった作業に取り組んできました。これらの判断は主観的である必要があるところですが、「善意の人物」がこれらバグを発見した回数が多いため、「悪意のある人物」も同様のことを可能にしていたことは疑う余地がありません。そのため、長期の embargo（発表差し止め）が行われる意義は薄れていると考えられます。また、 embargo を実施し backport を提供するために、関係者すべての面で必要とされる時間と労力も甚大です。よって、今後多数のバグについては修正を最優先とし、可能な限り不具合のない新たな dnsmasq リリースを提供する方向で進めてまいります。この目的のためにも、本発表の数週間前に git リポジトリに多数のセキュリティ修正コミットが投入されたことにお気づきでしょう。

まもなく、dnsmasq-2.93rc1 のタグ付けを行い、可能な限り早期に stable 版としての 2.93 リリースを完了させることを目指しています。本リリース候補（release candidate）のテストについては、リスト上のメンバーの皆様の協力が特に重要であり、ご状況に応じてできるだけ早くテストに参加いただくよう呼びかけたいと思います。幸運なれば、2.93 リリースは数週間で提供できるようになります。

AI 生成によるバグレポートの一挙的な増加は止まる兆候を見せていません。そのため、近い将来、このプロセスを再び繰り返す必要があると考えられます。dnsmasq-2.93 にて進行中のバグストリームを最大限に修正することと、そのリリースの及時性との間で緊張関係が生じています。私は發布の及時性を優先し、その後必要であれば継続的に対応してまいります。

Simon

同じ日のほかのニュース

一覧に戻る →

2026/05/13 2:37

グーグル・ブックス（Google Books）

## Japanese Translation: インテルは、高度な Gemini AI を統合し、計算上の知能の提供方法を再定義する軽量型ノートパソコンの新シリーズを発足させます。このパートナーシップでは、Gemini とインテルの最上位ハードウェアを組み合わせながら、軽量化された設計においてパフォーマンスを損なうことなく実現しています。ユーザーは Magic Pointer を通じてコンテンツと直感的に相互作用でき、任意のアイテムを選択して Gemini に質問・比較・作成させることが可能です。また、音声コマンドだけでカスタムウィジェットを作成することもできます。Cast My Apps を活用するとインストールなしでスマートフォンアプリをノートパソコン上で実行でき、Quick Access 機能によりスマートフォンにあるファイルをノートパソコン上に存在するものとして扱えます。これらの機能によってモバイル環境とデスクトップ環境が単一のシームレスな作業空間に統合され、プラットフォーム間の切り替えも容易になり、情報の連続性が保たれます。最初のモデルは今年の秋に発売予定で、製品準備完了時の通知を受け取るために希望者は登録することができます。

2026/05/13 5:16

テキストを手作業で未来風に見せる方法（2016 年）

## Japanese Translation: 本物らしい未来派のタイポグラフィを創造するためには、デザイナーはフォントの選定（特に Eurostile Bold Extended）、斜め処理（イタリックおよび角度）、文字間調整のマニピュレーション（文字を組み合わせているか、あるいは部分を取り除いているか）、テクスチャ・照明効果（ノイズ、鋼板刷毛仕上げ、リライフ加工、スターフィールド）、ならびに「Consummate Vs.」などの具体的なディテールに従うことに厳格に注意を払わねばなりません。伝統的なデザインが可読性を最優先するのに対し、このスタイルは不規則性とムードのある照明によって SF 的な雰囲気を喚起することに頼っています。本フレームワークは、2016 年から予想される 2092 年までの進化を追跡しており、象徴的な映画をベンチマークとして挙げています：『ブレードランナー』が金標準であり、『Battlestar Galactica』（2003）は押し出しタイプの文字を用いてほぼ全てのルールに従い、『トランスフォーマー』は鋼板刷毛仕上げを極限まで押し進め、『ロボコップ』は「Consummate Vs.」と強固なリライフ加工を強調しています。その他の例として、Tithe Kern Police を誘発する機会を逸した『Amazing Spider-Man』、『バック・トゥ・ザ・フューチャー』（ルール 1、2、4）、『スター・ウォーズ』（文字の組み合わせ）、『Alien vs. Predator』（極端なイタリックと金属仕上げ）、『G.I. Joe: Retaliation』（カーニングを除く全てのトリック）、『キャプテン・アメリカ／冬兵』、『WALL·E』があります。『スタートレック：下一代』は、スターフィールドの背景を特徴とする更新された教科書的な例として引用されています。この美学を実践するために求めている専門家は、新たな評価指標としての「Tithe Kern Police」に加え、具体的なフレームワークが存在する現在を把握できます。このガイダンスは、未来派のタイポグラフィに対する明確な軌道確立を行い、ブランディングおよびメディアプロジェクトがこれら称賛された視覚スタイルを遠い未来まで一貫して複製することを保証します。この記事の拡張版は、「Typeset in the Future」と題した書籍に収録されており、2018 年 12 月 11 日に発売予定で、Amazon よりも予約購入が可能です。

2026/05/13 3:03

Show HN: ニードル（Needle）── Gemini のツール呼出し機能を、2600 万パラメータの軽量モデルに蒸留しました。

## Japanese Translation: Needle プロジェクトは、スマートフォン、スマートウォッチ、メガネといったコンシューマー機器でのローカルファインチューニングに設計された、2600 万パラメータを持つ蒸留モデル「Simple Attention Network」を導入する。このモデルはエッジ部品の展開を前提として設計されており、Cactus プラットフォーム上で動作し、プリフィル速度で 6,000 トークン/秒、デコード速度で 1,200 トークン/秒を実現し、強力なサーバーを必要とせずに高い効率性を達成する。モデルは、隠れ次元 d=512、コンテキストウィンドウ 8H/4KV、BPE=8192、ZCRMSNorm ノーマライゼーション、Gated Residual レイヤーを備えたアーキテクチャを採用している。このモデルは、16 個の TPU v6e ユニット上で約 27 時間にわたり 2000 ビリョンのトークンで事前トレーニングされ、その後、Gemini モデルによって生成された 20 億トークンからなるワンショット関数呼び出しデータセットを用いてファインチューニングされ、ポストトレーニングは 45 分で完了した。ベンチマークの結果、Needle は FunctionGemma-270m、Qwen-0.6B、Graninte-350m、LFM2.5-350m よりも大きい代替モデルを含め、個人向け AI アプリケーションのワンショット関数呼び出しタスクで優位性を示している。本プロジェクトはオープンソースであり、重み付けデータセットおよびリポジトリはすべて Cactus-Compute で利用可能である。開発者は Web インターフェース http://127.0.0.1:7860（モデルのテストとカスタムツールのファインチューニング）や `needle playground`、`needle finetune`、`needle run`、`needle train`、`needle eval` などのコマンドラインユーティリティを通じて機能を探ることができる。論文は「Needle」と題され、Henry Ndubuaku、Jakub Mroz、Karen Mosoyan、Roman Shemet、Parkirat Sandhu、Satyajit Kumar、Noah Cylich、Justin H. Lee によって 2026 年に発表された。