Ubuntu 9.10 "Karmic Koala"

Ubuntu 9.10のコードネームと開発目標がMark Shuttleworth氏によって発表されました。9.10のコードネームは「Karmic Koala」（⁠宿業の/霊的な コアラ）です。Ubuntuの通例に従い、リポジトリ名や愛称として「Karmic」が、壁紙などはコアラをモチーフにしたものが使われるはずです。

Ubuntu 9.10 "Karmic Koala"では、主に次の点に重点が置かれます（ただし現時点で発表された内容はあくまで「現時点での概要」であり、将来的に変更が行われる可能性があります⁠）⁠。

• Cloud Computingの積極的なサポート（python-vmbuilderによるAmazon EC2用イメージのサポートの強化と、EC2互換のオープンソーススタックである「Eucalyptus」のサポート。これにより、自宅や自前のデータセンターに設置したサーバをAmazon EC2互換のクラスタとして扱うことができるようになります。すでに9.04にはEucalyptusがUniverseリポジトリに入っており、利用可能です⁠）⁠。
• サーバーの省電力機能の強化。サスペンドやレジュームを含む省電力機能のサポート[1]⁠。
• デスクトップ版での現在の起動スプラッシュ（usplash）に変わる、新しい（より綺麗な）起動画面のサポート。
• Dell Mini 9をはじめとするNetbookにより適したMobile Editionの開発。
• テーマカラーを茶色以外の新しい色に。

より詳しい仕様の策定や議論は、Ubuntu Developer Summit（UDS）で行われます。今年のUDSはスペインのバルセロナで行われます。また、各TeamでKarmicへ向けた新機能の提案・ブレーンストーミングなどが行われています（たとえばServer Teamでは、以前にもお伝えしたdovecot-postfixの機能強化案として、Webメールとの連携・アンチウイルスソフトウェアの動作・簡易スパムフィルタなどの搭載が検討されています⁠）⁠。

Ubuntu Developer News #2

Ubuntu Developer News #2が発行されました。主な内容は次の通りです。

• Karmic Koala（9.10）のアナウンス。
• Jaunty（9.04）のFeature Freeze。
• パッケージ単位でのアップロード/開発を行うteamの構成について。
• 9.04でのPython 2.6の導入にともなう各種変更について。
• KDE3用のサウンドシステムであるaRtsの削除（aRtsはKDE4では使われません⁠）⁠。
• Mono 2.0への移行について。
• 大規模なJavaソフトウェアのパッケージ手法に関する議論。
• 非純正リポジトリのホワイトリスト。
• 9.04のKernelで有効になっている機能について。

その他の内容については原文を参照してください。

9.04の開発状況

9.10のコードネームが決定した一方で、4月23日にリリースされる予定の9.04の開発も進んでいます。

Alpha5のFreezeが行われ、まもなくリリースされる予定です。

2月21日頃のアップデートでNotification機能が実装され、「⁠Notify-OSD」による通知機能を利用できるようになっています（Notificationの完全な実装である「Notify Bubble」（⁠仮称）はまだ実装されておらず、ダイアログ的な通知が行われるだけです⁠）⁠。もし8.10を利用していて、Notification機能に興味があるなら、Stefano Forenzaさんのblog記事にある手順でnotification-daemonを入れ替えることで利用することもできます（ただし問題に遭遇する可能性もあるので、腕に覚えのない方は9.04のリリースまで待った方が良いでしょう⁠）⁠。なおNotificationを利用するには、Compizが有効であることが前提になります。

併せてログイン画面を含む、いくつかの画面のデザインが変更されています。SoftpediaのNewsで概要をつかむことができるでしょう。

Ubuntu Weekly Newsletter #130

Ubuntu Weekly Newsletter #130がリリースされています。主な内容は次の通りです。

• Ubuntu 9.10 "Karmic Koala"について
• Karmic KoalaのUDS
• Jauntyのfeature freeze
• Kubuntu 8.04.2のリリース（Kubuntu 8.04はUbuntuとは異なりLTSではないため、これが8.04系の最後のリリースとなります）
• 新しく立ち上げられたAmericaのRegional Boardについて
• アメリカの各州のLoCoがLoCo Team立ち上げのためのアドバイザーを募集していることについて
• Ubuntu Weekly Newsletterのスペイン語版
• Mark Shuttleworthへのインタビュービデオ（ビデオその1・ビデオその2）

Launchpad関連

Launchpad blog上で、いくつかの新機能（まだ実装されていないものも含む）が公開されています。その中でも影響が大きいものは次の通りです。

• AJAX対応のモックアップ
• 翻訳文字列に「壊れた文字列」（⁠期待されるフォーマットと異なる文字列）が含まれていた場合にエラーメールを送付する機能
• プロジェクト名のエイリアス

特にプロジェクト名のエイリアス機能は、いくつもの名前があるプロジェクト（blog.launchpad上ではPostgreSQLが挙げられています）へアクセスする際、正しいプロジェクト名を確認しなくても到達できるようになるため、地味ながら大きな変更となるはずです。

その他のニュース

• 2/10のTechboard meetingのサマリが公開されました。
• 2/19のFoundation teamのmeetingのサマリが公開されました。
• Oracle XEをUbuntuで使う方法を解説したblog記事があります。
• 9.04で採用される、/etc/以下をVCSで管理するetckeeperの背景を解説するblog記事があります。

今週のセキュリティアップデート

今週（2009年2月18日～2月25日）リリースされたセキュリティアップデートは次の通りです。

gitのWebインターフェースであるgitwebを用いている場合、外部の悪意ある第三者によるコード実行を許す可能性があります。gitwebを公開している場合、直ちにアップデートを行ってください。

同様に、multiverseに属するパッケージのためusnとしてはアドバイザリが出ていませんが、Adobe(Macromedia) Flashの脆弱性（APSB09-01）を修正するアップデートがリリースされています。この問題はFlashを利用する（＝おそらくほとんど全ての）Ubuntuユーザーに影響します。できるだけ速やかにアップデートを行ってください。なおAdobe AIRを利用している場合、同様の修正がAdobe AIR 1.5.1で適用されていますので、同じくアップデートを行ってください。

また、まだリリースされていませんが、Adobe Readerの脆弱性（APSA09-01）を修正するアップデートが予定されています。影響を受けるパッケージはadobereader-jpnです。adobereader-jpnはJapanese Teamが提供するパッケージで、Adobeからの3月11日のリリースを待ってJapanese Teamで対応を行い、アップデータを配信する予定ですLP#332503。

usn-723-1：gitのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-February/000843.html
• 6.06 LTS・7.10・8.04 LTS・8.10の全てに影響します。CVE-2008-3546, CVE-2008-5516, CVE-2008-5517, CVE-2008-5916を修正します。
• CVE-2008-3546は、gitが長いパス名を適正に処理できず、任意のコードを実行されてしまう脆弱性です。攻撃者が悪意あるgitリポジトリをホストすることで、gitコマンドでリポジトリを取得したユーザの権限で任意のコードが実行されるおそれがあります。
• CVE-2008-5516, CVE-2008-5517は、いずれもgitweb経由でのshell command injectionをもたらす脆弱性です。gitwebを公開している場合、検索ボックスなどに細工を施したクエリを投げ込むことで、任意のコマンドを実行することが可能です。この問題は7.10と8.04 LTSのみに影響します（8.10以降では修正済みで、6.06 LTSでは該当する機能がありません⁠）⁠。
• CVE-2008-5916は、gitwebのdiff.externalの処理時に、特権昇格の問題が発生する脆弱性です。攻撃者が悪意あるgitリポジトリをホストし、悪意あるdiff.externalを構成しておくことで、攻撃者がgitwebの動作権限（通常の場合Apacheと同じwww-data）を手に入れる可能性があります。この問題は7.10と8.04 LTSのみに影響します（8.10以降では修正済みで、6.06 LTSでは該当する機能がありません⁠）⁠。
• 対処方法：通常の場合、アップデートのみで問題を解決できます。gitweb.perlがキャッシュされている場合（mod_perlなどを介してgitwebを利用している場合）は、キャッシュ元プロセスに応じた方法で再読込を行う必要があるかもしれません。
• 備考：Ubuntu 9.04も影響を受けます（CVE-2008-5916⁠）⁠。9.04用のアップデートパッケージがリリースされています。

flashplugin-nonfreeのセキュリティアップデート

• LP#334134
• 6.06 LTS・7.10・8.04 LTS・8.10の全てに影響します。各バージョンに向けたアップデータがアップデートパッケージがリリースされています。CVE-2009-0519, CVE-2009-0520, CVE-2009-0114, CVE-2009-0521を修正します（CVE-2009-0522はWindowsにのみ影響する問題であり、Ubuntuは影響を受けません⁠）⁠。
• CVE-2009-0520は、誤ったオブジェクトの参照によりDoSまたは任意のコード実行を引き起こす脆弱性です。これは不正な細工を施した.swfファイル（Flash形式のファイル）により引き起こされます。
• CVE-2009-0519は、入力値の検証の不足によりDoS・コードの実行を引き起こす可能性がある問題です。ただし、現実的な実証は行われておらず、かつ、コードの実行は難しいと考えられます。
• CVE-2009-0114は、adobe.com上で表示されるFlash Player settings manager（設定パネル）において、Clickjackingが可能であった問題です。
• CVE-2009-0521は、Linux環境でのみ有効な、特権の取得に繋がる情報の露出です。詳細は公開されていません。
• 対処方法：アップデートを行い、さらにFirefoxなどのブラウザを再起動してください。
• 備考：Ubuntuのバージョンに応じて、Flash 9（6.06 LTS・7.10）が9.0.159.0に、またはFlash 10（8.04 LTS・8.10）が10.0.22.87へアップデートされます。