8.04.2のJapanese Remix
Ubuntu Japanese Teamでは、
8.
8.
9.04のAlpha4
2月5日
Alpha3からAlpha4の間に追加された目立った変更・
- dpiに応じたフォントサイズの調整機能が追加されました
(すでにJauntyを利用されている方は、 アップデートを適用して再ログインすると 「設定値は同じであっても」 画面に表示されるサイズが変わっているかもしれません)。システム→設定→外観の設定のフォントタブから調整することが可能です。モニタの持っている情報によってはフォントが異常に大きい・ 小さいといった問題が生じる可能性がありますので、X/ Troubleshooting/ に従って対策を行ってください。HugeFonts - LiveCDとして動作させた場合、
タッチパッドのドライバが含まれていません。このため、 ノートPCではマウスが動作しない状態になります。ネットワーク接続が可能な状態であれば、 Ctrl+Alt+F1でコンソール画面に切り替え、 sudo apt-get install xserver-xorg-input-allを実行してAlt+F7を押してGUIに戻すことで動作可能になります。 - XServer 1.
6対応のNVIDIAドライバがリリースされたため、 通常通りの手順で利用可能な状態になりました。AMD (ATi) のドライバはまだ用意されていません。
※ 本稿の執筆時点ではまだリリースされていませんが、
このバージョンはあくまで開発・
Alpha4の利用上の注意は、
次の開発スケジュールの節目は2月19日にFeatureFreeze、
Launchpad 2.2.1がリリースされました
Ubuntuを含む多くのオープンソースプロジェクトをホスティングしているLaunchpadが、
主な変更点は次の通りです。特にPPAをリポジトリとして利用している場合
- PPA
(Personal Package Archive) で作成したパッケージに、 自動的にGPGによるサインが行われるようになりました。これにより、 ビルド時点からパッケージが改ざんされていないことを検証することができるようになります。 - Launchpad上で行われた翻訳を、
「既存の翻訳との差分パッチ」 という形で取り出せるようになりました。これによりUpstreamへ翻訳ファイルを提供する作業が容易になるはずです。 - PPAのURLが変更になりました。これにより、
PPAを利用している (PPAでビルドされたパッケージのユーザーを含みます) ユーザーは、 /etc/ apt/ sources. list{,d}にあるapt-lineを修正する必要があります。
Full Circle Magazine #21
Ubuntuを扱う月刊のWeb MagazineであるFull Circle Magazineの第21号が公開されました。主な内容は次の通りです。
- ターミナル操作のすすめ。今回はhead・
tail・ sed・ awk・ cutを用いてテキストの整形を行います。 - HowTo: C言語入門記事の第5回。構造体と関数ポインタについてと、
簡単な電卓プログラムの作成が取り上げられています。 - HowTo: Webサーバ環境の構築の第2回。HTMLの基本的な記法の紹介です。
- HowTo: 動画ファイルのアスペクト比の調整。
- HowTo: UbuntuのISOイメージファイルをUSBメモリ上にインストールする方法。
- HowTo: Creative Zen V PlusをUbuntuで使う方法。
- Nicolas Valcarcelさん
(ウインドウを分割する方のTerminatorの作者) へのMOTUインタビュー。 - Bittorrent用ツールベスト5
- 第20号で行ったアンケートの結果発表
UWN#127
Ubuntu Weekly Newsletterの127号が公開されています。主な内容は次の通りです。
- Server環境で利用されるDRDBのテストの要請
- LP2.
2.1のリリース - UbuntuとNokia製インターネットデバイスを使う人の交流用プロジェクトについて
- 各ミーティングのサマリ
より詳細な情報はオリジナルを確認してください。
その他のニュース
- Ubuntu Server Survey
(Ubuntu Serverがどのような用途で利用されているのか・ どのような機能が期待されているか等の調査) の結果がCanonical Blogで公開されています - Japanese Teamが行ったUbuntuオフラインミーティング9.
01のレポート を掲載しました。 - 同じく、
オープンソースカンファレンス2009/Sendaiのレポートを掲載しました。Ubuntu Japanese Teamが参加する次のイベントは、 オープンソースカンファレンス2009 Tokyo/ Spring (2月20日(金)・ 21日(土)、 JR大久保駅最寄り) です。 - Windows7環境でWubiが動かない問題への対処を記述したblog記事。
- Kubuntuで利用されるKDE4.
2がリリースされました 。 - 8.
10で行われた、 東芝製ノートPCの特殊ボタンの処理をtlsupからtoshiba_ acpiモジュールへ移行する措置に伴って起きていた、 Bluetooth周り等の問題を解決するパッチがKernel Teamのメーリングリストに投稿されています。該当の問題 (LP#269831) については9. 04では改善する可能性があります。
今週のセキュリティアップデート
usn-715-1:Linux kernelのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/
2009-January/000834. html - 8.
10用のアップデータがリリースされています。 - CVE-2008-5079, CVE-2008-5182, CVE-2008-5300, CVE-2008-5395, CVE-2008-5700, CVE-2008-5702 を修正します。usn-714-1
(先週のTopicsを参照してください) からCVE-2008-5134, CVE-2008-5713が外れ (これらは8. 10ではすでに対応済み、 または影響を受けないものです)、 CVE-2008-5395への対処を追加したものです。 - CVE-2008-5395は、
parisc_ show_ stack()の問題により、 この関数を呼び出すことによりKernel Oopsが発生し、 ローカルユーザーにより容易にDoSが可能な問題です。ただし、 parisc_ show_ stack()はPA-RISCを使っている環境でのみ実行されますので、 通常のPCでは発生しません。PA-RISC環境では32bit/ 64bitを問わず発生します。 - 備考:上記以外の詳細情報は先週のTopicsを参照してください。
usn-716-1:MoinMoinのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/
2009-January/000835. html - 6.
06 LTS・ 7. 10・ 8. 04 LTS・ 8. 10用のアップデータがリリースされています。 - CVE-2008-0780, CVE-2008-0781, CVE-2008-0782, CVE-2008-1098, CVE-2008-1099, CVE-2009-0260, CVE-2009-0312 を修正します。
- クロスサイトスクリプティング
(以下XSS) 等の問題により、 秘匿すべきデータの流出、 改ざんしたWebコンテンツの出力などが可能です。JAVAScriptなどによるウイルス配布ページへの誘導などの攻撃が可能となります。また、 Webサーバーの動作権限 (多くの場合は'www-data') で任意のコードを実行可能な問題 (CVE-2008-0782) もあるため、 MoinMoinを利用するWebサイト運営者は速やかなアップデートを実施してください。 - ログイン処理に用いられるlogin.
pyにおいて、 与えられたユーザー名をエスケープせずに利用していたため、 悪意ある細工を施したユーザー名を入力として与えることで、 任意のコンテンツを表示させるXSSが可能でした (CVE-2008-0780)。この問題は7. 10・ 8. 04に影響します。 - 「添付ファイル」
ページに用いられるAttachFile. pyにおいて、 添付ファイルのリネーム時に与えられたファイル名をエスケープせずに利用していたため、 XSSが可能でした (CVE-2008-0781)。この問題は6. 06 LTS・ 7. 10・ 8. 04 LTSに影響します。 - ユーザー表示を行うためのuser.
pyにおいて、 ユーザー名に 「..」 を含む偽造したCookieを用いることで、 ディレクトリトラバーサルが引き起こされ、 不正にファイルを上書きすることが可能でした。上書きするファイルにPHPのコード等、 Webサーバー上で実行される可能性があるスクリプトを含めることにより、 サーバー上で任意のコードを実行される可能性があります。ただしファイルのパーミッションの上書きは不可能なため、 攻撃の成立条件として、 サーバー上に存在する既存の (そして何らかの機会に実行される) 実行可能属性のついたファイルを予測して上書きする必要があります。この問題は6. 06 LTS・ 7. 10・ 8. 04 LTSに影響します (CVE-2008-0782)。 - ページの編集を行うPageEditor.
pyにおいて、 RenamePage/ DeletePage操作を行う際、 与えられたページ名をエスケープせずに利用していたため、 攻撃者がページ名に悪意ある細工を施した文字列をセットした場合にXSSが可能でした (CVE-2008-1098)。この問題は6. 06 LTS・ 7. 10に影響します。 - アクセス制御コードが不完全であったため、
悪意ある攻撃者にプライベート属性を与えたファイルの閲覧を許す可能性がありました (CVE-2008-1099)。この問題は6. 06 LTS・ 7. 10に影響します。 - 「添付ファイル」
ページに用いられるAttachFile. pyにおいて、 添付ファイルのリネーム時に与えられたファイル名をエスケープせずに利用していたため、 XSSが可能でした (CVE-2009-0260)。CVE-2008-0782とは異なる問題です。この問題は6. 06 LTS・ 7. 10・ 8. 04 LTS・ 8. 10のすべてと、 開発中である9. 04に影響します。9. 04でのFixは1. 8.1-1. 1ubuntu1 (LP#322890) です。 - スパム投稿を抑止するためのモジュールが適切に入力値を検査・
エスケープしていなかったため、 XSSが可能でした (CVE-2009-0312)。6. 06 LTS・ 7. 10・ 8. 04 LTS・ 8. 10のすべてと、 開発中である9. 04に影響します。9. 04でのFixは1. 8.1-1. 1ubuntu1 (LP#322890) です。 - 備考:LaunchpadのCVE TrackerではRelated bugとして登録されたバグ
({LP:200897}) がDebian:DSA-1514-1である関係で、 Intrepid/ Jaunty (8. 10/ 9. 04) に"Invalid"フラグが立っているように見えます。実際にはIntrepid/ Jauntyともに影響を受けます。 - EOL情報:7.
04にも多くの脆弱性が該当しますが、 サポート期限が切れているため対応は行われません。