Ubuntu Weekly Topics

2009年1月9日号JauntyのDebian Import Freeze、UWN#123、Full Circle Magazine#20、Twelve days of Launchpad

9.04のDebian Import Freezeが行われました

Jaunty(Ubuntu 9.04)Debian Import Freezeが12/25に行われました。これ以降、Debian sidで行われた変更はJauntyには自動的には取り込まれず、明示的なsyncリクエストに基づいて処理されるようになります。

Jauntyの開発における次の大きなイベントは、1月15日のAlpha 3のリリースです。

Ubuntu Weekly Newsletter#123が発行されました

今週のUWNの主な内容は次の通りです。

  • Jauntyで実装される(かもしれない)新機能、Notificationについて。これはデスクトップ上に通知ウインドウを「必要なときだけ」レンダリングし、何らかの情報をユーザに通知するものです。デモを見て頂くのが良いでしょう。
  • 世界中にあるLoCoチーム同士がよりよく連携できるようにするための仕組み作りについて。
  • Planet Ubuntuへの、企業による記事執筆について。

Full Circle Magazine#20が発行されました

UbuntuのオンラインマガジンであるFull Circle Magazineの第20号が発行されました。主な内容は次の通りです。

  • ターミナル操作のすすめ。⁠なぜターミナルを使うのか?」⁠ターミナルを使うとどんなメリットがあるのか?」といった内容です。
  • How-To: C言語入門記事の第4回。ncursesを使った簡単なプログラミングが紹介されています。
  • HowTo: Webサーバ環境の構築の第1回。Web開発に向いたテキストエディタの紹介と、⁠eBox」というApache・Samba・CUPS・PostfixなどのサーバーアプリケーションのWebコントロールパネルと、各種パフォーマンス監視ツール・管理ツールの紹介が行われています。
  • HowTo: 手持ちの音楽ファイルをバックアップする方法。rdiff-backupを用いた、メディアファイルのバックアップ方法が紹介されています。
  • 硬貨をFOSSを用いてのデザインする方法
  • イタリアで行われたLinux Dayの特集
  • 書籍『Ubuntu Kung Fu』のレビュー
  • Andrea Colangelo(warp10)さんへのMOTUインタビュー。
  • バックアップ方法ベスト5

Launchpadニュース

Twelve days of Launchpadという連載が開始されています。これは12日間にわたって、1つずつLaunchpadの使い方を紹介するTips記事です。内容のサマリは次の通りです。

Launchpadに興味がある、あるいはFOSSの開発を行われていて、ホスティングサイトを探している方は原文を確認してみてください。

  • 1日目:announcements:Launchpadに登録したプロジェクトのニュースリリースは、Launchpadのアナウンスページに表示されます。
  • 2日目:sprints and meetings:Launchpadでは、打ち合わせなどのイベントを管理することもできます。
  • 3日目:marking bugs as fixed from within Bazaar:Launchpadに登録したバグは、Bazaar上からのコミットで閉じることができます。
  • 4日目:mentoring「offer mentoring」を使うことで、あなたが抱えている問題を解決できそうな誰かに支援を求めることができます。
  • 5日目:the bug commenters header:バグに関わる人に、情報が更新されるたびにEメールを送る機能があります。X-Launchpad-Bug-Commentersというヘッダには「そのバグについてコメントを行った人」がリストされるので、特定の(おそらく強力な)開発者がコメントした情報だけをフィルタすることができます。
  • 6日目:code review:Bazaarと連携して、コードレビューを行うことができます。
  • 7日目:personal branches:個人的な(自分専用の)ブランチを作ることができます。
  • 8日目:Launchpad Bugs by email:Launchpadのバグ管理は、特定のキーワードを用いることでEメールベースで操作することもできます。
  • 9日目:copying PPA packagesPPAを用いることで個人用のリポジトリを作成することができますが、copy機能を使うことで、他の人のPPAから自分のリポジトリへパッケージをコピーすることができます。
  • 10日目:karma:Launchpadでの活躍は、⁠karma」というスコアとして記録されます。
  • 11日目:try things out on stagingテスト用のステージングサーバが用意されています。これを利用することで、実際のデータに変更を加えずにLaunchpadの操作を試すことができます。

今週のセキュリティアップデート

usn-701-1/usn-701-2:Thunderbirdのセキュリティアップデート
  • usn-701-1として7.10・8.04 LTS・8.10用のアップデータがリリースされています。CVE-2008-5500, CVE-2008-5503, CVE-2008-5506, CVE-2008-5507, CVE-2008-5508, CVE-2008-5510, CVE-2008-5511, CVE-2008-5512を修正します。
  • usn-701-2としてUbuntu 6.06 LTS用のアップデータがリリースされています。対応するCVE IDはCVE-2008-5510以外はusn-701-1と同じです。CVE-2008-5510はThunderbird 2.x以降にのみ影響を及ぼしますので、1.5.0.13をベースにしているUbuntu 6.06LTSは影響を受けません。
  • 脆弱性が悪用されることで、不正なJavascriptによるThunderbirdのクラッシュ(ないし任意のコードの実行⁠⁠、異なるドメインからのデータの読み取りなどを許します。
  • 対処方法:アップデートを行った上で、Thunderbirdを再起動してください。
usn-702-1:Sambaのセキュリティアップデート
  • usn-702-1としてUbuntu 8.10用のアップデータがリリースされています。CVE-2009-0022を修正します。
  • CVE-2009-0022Samba 3.2.0~3.2.6に限られるためUbuntu 8.10にのみ影響します。それ以前のリリースには影響はありません。
  • 脆弱性が悪用されることで、攻撃者がネットワーク経由でルートファイルシステムを閲覧することが可能です。ただし、特定の設定を行っている場合のみこの問題の影響を受けます。
  • 対処方法:通常の場合、アップデートのみで問題を解決できます。
usn-703-1:xtermのセキュリティアップデート
  • 6.06 LTS・7.10・8.04 LTS・8.10用のアップデータがリリースされています。これによりCVE-2006-7236CVE-2008-2383を修正します。
  • 脆弱性が悪用されることで、xtermを起動しているユーザの権限で任意のコマンドを実行することが可能です。
  • 対処方法:アップデートを行った上で、xtermを再起動してください。
usn-704-1:OpenSSLのセキュリティアップデート
  • usn-704-1として6.06 LTS・7.10・8.04・8.10用のアップデータがリリースされています。CVE-2008-5077を修正します.
  • DSAまたはECDSAを用いた署名の真贋判定を行う際、誤って「壊れた署名」「正しい署名」として扱ってしまっていました。脆弱性の悪用により、偽造した証明書を用いて認証を通過することが可能です。DSAまたはECDSAを用いる一般的なアプリケーションは、S/MIMEが代表的です。通常の商用証明書はRSAを用いるため、一般的な利用形態においてHTTPSによる通信が影響を受けることはありません。
  • 対処方法:通常の場合、アップデートのみで問題を解決できます。
  • 備考:この問題はEVP_VerifyFinal()関数の返値を正しく解釈していないことによって発生しました。OpenSSLのコードをリファレンスとしたコードが存在するか、あるいは同質のミスによって、この脆弱性と同様の問題を内包している可能性があります(たとえばbindのDNSSECの実装同様の問題が発見されています⁠。OpenSSLをライブラリとして用いるアプリケーションを開発している場合、EVP_VerifyFinal()関数の返値を正しく取り扱っていることを確認してください。

おすすめ記事

記事・ニュース一覧