Ubuntu Weekly Topics

2009年1月16日号9.04の翻訳スタート・Ubuntu Developer WeekとBug Dayの予告・screen-profilesのテスト・UWN#124

9.04 の翻訳スタート

Ubuntu 9.04 "Jaunty Jackalope"の翻訳作業がスタートし、Launchpad上で訳語を登録することが可能になりました。

翻訳作業への参加はどなたでも行えますが、参加される場合は、次の事項を確認してください。

特に、Ubuntu Japanese Translatorsに所属しないまま翻訳を行っても、Launchpad上ではあくまで「提案」として扱われてしまい、実際の翻訳には反映されません。作業を有効に反映するため、作業開始前にUbuntu Japanese Translatorsに参加してください。翻訳に参加するための、より詳細な情報はメーリングリストの当該スレッドを参照してください。

UbuntuオフラインミーティングTokyo 9.01

Ubuntu Japanese Teamは、このニュースが掲載される翌日の1月17日(土)にUbuntuオフラインミーティングTokyo 9.01を開催します。オフラインミーティングは今後も月1度程度のペースで実施される予定です。ご興味のある方はお気軽にご参加ください。

Ubuntu Developer WeekとBug Day

三度目のUbuntu Developer Weekの日付が確定し、1/19~1/23に行われることになりました。プログラムを含めたアジェンダが公開されています。イベントの詳細は昨年の12/26月号を参照してください。

また、1/15にUbuntu Bug Dayが開催されます。今回の主なターゲットはNetwork Managerです。

Launchpadのオープンソース版

LaunchpadはUbuntuの開発の中心となっているポータルサイトで、BTS・Wiki・Q&A・翻訳インターフェース・プロジェクトメンバのための情報共有機能など、多くの機能を持っています。このLaunchpadのオープンソースプロダクト版が今年の7/21に公開される予定です。

screen-profilesのテスト

Ubuntu Serverなどで利用されているGNU Screenをより積極的に活用するため、screen-profilesというプロジェクトが開始され、テストを含む貢献を募集しています。これは、次のような設定を行ったscreenrcと設定フロントエンドを提供しようとするものです。

  • ステータスバーに、ロードアベレージ・CPU周波数・メモリ容量・日時などを表示する。
  • 同様に、タスクバーに相当するタブを表示する。
  • さらに、デスクトップ環境におけるupdate-notifierと同じように、アップデート通知・再起動の必要の有無を表示する。
  • Screen起動時に自動的に展開されるウインドウを指定できるように設定する。
  • プロセスやログ一覧といった、サーバーでしばしば使われるウインドウの一括生成をサポートする。

開発はLaunchpad上で行われています。すでに9.04を利用している方はscreen-profilesパッケージをインストールすることで体験・テストできます。8.04・8.10を利用している方はkirklandさんのPPAから同様のパッケージを入手できます。いずれの場合もインストール後にscreen-profiles-helperを起動してください。

なお、Kirklandさんの作成したこれらのパッケージはTechnical Boardの承認を受けたため、⁠Universeではなく)Mainとして扱われる予定です。

Ubuntu Weekly Newsletter #124

UbuntuWeeklyNewsletter #124が発行されました。主な内容は次の通りです。

  • Ubuntu Global Bug Jamについて
  • Ubuntu Developer Weekの開催
  • 新しいMOTUとUbuntuメンバー
  • Ubuntuの殿堂: James Westby

その他のニュース

今週のセキュリティアップデート

usn-705-1:NTPのセキュリティアップデート

  • 6.06 LTS・7.10・8.04 LTS・8.10用のアップデータがリリースされています。CVE-2009-0021を修正します。
  • 脆弱性の利用により、SSL/TLSによって保護されたNTPコネクションにおいて、署名の検証を迂回される危険があります。署名がDSA/ECDSAで行われている場合にのみ悪用が可能です。
  • 対処方法:通常の場合、アップデートのみで問題を解決できます。
  • 備考:この問題はusn-704-1と同じく、EVP_VerifyFinal()関数の返値を正しく解釈していないことが原因です。NTPのソースコードにおける問題で、OpenSSLライブラリの更新では改善しません。

usn-706-1:bindのセキュリティアップデート

  • 6.06 LTS・7.10・8.04 LTS・8.10用のアップデータがリリースされています。CVE-2009-0025を修正します。
  • 脆弱性の悪用により、DNSSECで行われるべき署名の検証を迂回されるため、DNSSECが有効な環境でもDNSポイゾニングが成立する可能性があります。DNSSECを用いており、かつ署名がDSA・ECDSAで行われている場合にのみ影響します。
  • 対処方法:通常の場合、アップデートのみで問題を解決できます。
  • 備考:この問題はusn-704-1と同質で、EVP_VerifyFinal()・DSA_do_verify()関数の返値を正しく解釈していないことが原因です。bindの設定において、DNSSECでDSA・ECDSAによる署名を利用しない設定を行うことでも問題を回避することが可能です(ただしこの場合、当然ながらDNS・ECDSAによってのみ署名されたDNSSECゾーンは利用できなくなります⁠⁠。この問題はbindのソースコードにおける問題で、OpenSSLライブラリの更新では改善しません。

usn-707-1:cupsのセキュリティアップデート

  • usn-707-1として、複数の脆弱性に対応したアップデートがリリースされています。6.06 LTS・ 7.10・8.04 LTS・8.10に影響し、CVE-2008-5183, CVE-2008-5184, CVE-2008-5286, CVE-2008-5377を修正します。
  • CVE-2008-5183:7.10・8.04 LTS・8.10に影響します。ページあたり101個以上のRSS購読の追加(このリンクはお使いの環境でcupsが動作している場合のみ開くことができます)を正しく処理できないため、CUPSデーモンをクラッシュさせることが可能です。CVE-2008-5184と複合させることにより、悪意ある細工を施したHTMLページをホストすることで本来必要な認証を迂回してCUPSデーモンをクラッシュさせ印刷を行えなくすることが可能です。CVE-2008-5184が7.10・8.04 LTSに有効であるため、これらのバージョンでは脆弱性の影響が大きくなります。
  • CVE-2008-5183の補足:CVE-2008-5183により任意のコード実行が可能な場合、大きな脅威になりえますがLP#298241⁠、この問題はNULL pointer dereferenceによるものであり、リモートから機能する安定した攻撃コードの開発は困難であると考えられます。
  • CVE-2008-5184:7.10・8.04 LTSにのみ影響します。RSS購読の追加・キャンセルインターフェースにおいて、本来必要な認証処理が迂回される危険があり、ローカルユーザが任意にRSS購読の追加・キャンセルを行うことができます。
  • CVE-2008-5286:6.06 LTS・7.10・8.04 LTS・8.10に影響します。PNGファイルを処理するフィルタに問題があり、悪意ある細工を施したPNGファイルをCUPSに読み込ませることで、DoSないしユーザ権限による任意のコードの実行が可能です。7.10・8.04 LTS・8.10ではAppArmorがCUPSの権限を制限しているため、任意のコードの実行による影響範囲は小さくなります。
  • CVE-2008-5377:6.06 LTS・7.10・8.04 LTSにのみ影響します。サンプルとして導入されているpstopdfフィルタのファイルの扱いに問題があり、任意にrace conditionを起こすことで、ユーザの権限でファイルを作成・上書きできる可能性があります。
  • 対処方法:通常の場合、アップデートのみで問題を解決できます。

usn-707-1:hplipのセキュリティアップデート

  • usn-707-1としてUbuntu 7.10用のアップデータがリリースされています。7.10以外への影響はありません。
  • hplipパッケージのアップデート、もしくは新規インストールの過程で誤ったパーミッションの変更が行われる可能性があります。この脆弱性を悪用することにより、権限の昇格が可能です。これはhplipパッケージのpostinstスクリプトの問題です。通常の場合、各ユーザーのホームディレクトリにある.hplipファイルのみが変更されますが、意図的に問題を悪用する、あるいは偶発的な影響によって、これ以外のファイルの不正な変更も可能です。
  • 備考:CVE IDは現時点では付与されていません。
    CVE-2009-0122が付与されました(2009年1月22日加筆)
  • 対処方法:パッケージのアップデートを行ってください。また、新規にhplipパッケージをインストールする場合、対策バージョン以降のものであることを確認してください。

おすすめ記事

記事・ニュース一覧