Ubuntu 9.10 "Karmic Koala"
Ubuntu 9.
Ubuntu 9.
- Cloud Computingの積極的なサポート
(python-vmbuilderによるAmazon EC2用イメージのサポートの強化と、 EC2互換のオープンソーススタックである 「Eucalyptus」 のサポート。これにより、 自宅や自前のデータセンターに設置したサーバをAmazon EC2互換のクラスタとして扱うことができるようになります。すでに9. 04にはEucalyptusがUniverseリポジトリに入っており、 利用可能です)。 - サーバーの省電力機能の強化。サスペンドやレジュームを含む省電力機能のサポート
[1]。 - デスクトップ版での現在の起動スプラッシュ
(usplash) に変わる、 新しい (より綺麗な) 起動画面のサポート。 - Dell Mini 9をはじめとするNetbookにより適したMobile Editionの開発。
- テーマカラーを茶色以外の新しい色に。
より詳しい仕様の策定や議論は、
Ubuntu Developer News #2
Ubuntu Developer News #2が発行されました。主な内容は次の通りです。
- Karmic Koala
(9. 10) のアナウンス。 - Jaunty
(9. 04) のFeature Freeze。 - パッケージ単位でのアップロード/開発を行うteamの構成について。
- 9.
04でのPython 2. 6の導入にともなう各種変更について。 - KDE3用のサウンドシステムであるaRtsの削除
(aRtsはKDE4では使われません)。 - Mono 2.
0 への移行について。 - 大規模なJavaソフトウェアのパッケージ手法に関する議論。
- 非純正リポジトリのホワイトリスト。
- 9.
04のKernelで有効になっている機能 について。
その他の内容については原文を参照してください。
9.04の開発状況
9.
Alpha5のFreezeが行われ、
2月21日頃のアップデートでNotification機能が実装され、
併せてログイン画面を含む、
Ubuntu Weekly Newsletter #130
Ubuntu Weekly Newsletter #130がリリースされています。主な内容は次の通りです。
- Ubuntu 9.
10 "Karmic Koala"について - Karmic KoalaのUDS
- Jauntyのfeature freeze
- Kubuntu 8.
04. 2のリリース (Kubuntu 8. 04はUbuntuとは異なりLTSではないため、 これが8. 04系の最後のリリースとなります) - 新しく立ち上げられたAmericaのRegional Boardについて
- アメリカの各州のLoCoがLoCo Team立ち上げのためのアドバイザーを募集していることについて
- Ubuntu Weekly Newsletterのスペイン語版
- Mark Shuttleworthへのインタビュービデオ
(ビデオその1・ ビデオその2)
Launchpad関連
Launchpad blog上で、
- AJAX対応のモックアップ
- 翻訳文字列に
「壊れた文字列」 (期待されるフォーマットと異なる文字列) が含まれていた場合にエラーメールを送付する機能 - プロジェクト名のエイリアス
特にプロジェクト名のエイリアス機能は、
その他のニュース
- 2/
10のTechboard meetingのサマリ が公開されました。 - 2/
19のFoundation teamのmeetingのサマリ が公開されました。 - Oracle XEをUbuntuで使う方法を解説したblog記事があります。
- 9.
04で採用される、 /etc/以下をVCSで管理するetckeeperの背景を解説するblog記事があります。
今週のセキュリティアップデート
今週
gitのWebインターフェースであるgitwebを用いている場合、
同様に、
また、
usn-723-1:gitのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-February/ 000843. html - 6.
06 LTS・ 7. 10・ 8. 04 LTS・ 8. 10の全てに影響します。CVE-2008-3546, CVE-2008-5516, CVE-2008-5517, CVE-2008-5916を修正します。 - CVE-2008-3546は、
gitが長いパス名を適正に処理できず、 任意のコードを実行されてしまう脆弱性です。攻撃者が悪意あるgitリポジトリをホストすることで、 gitコマンドでリポジトリを取得したユーザの権限で任意のコードが実行されるおそれがあります。 - CVE-2008-5516, CVE-2008-5517は、
いずれもgitweb経由でのshell command injectionをもたらす脆弱性です。gitwebを公開している場合、 検索ボックスなどに細工を施したクエリを投げ込むことで、 任意のコマンドを実行することが可能です。この問題は7. 10と8. 04 LTSのみに影響します (8. 10以降では修正済みで、 6. 06 LTSでは該当する機能がありません)。 - CVE-2008-5916は、
gitwebのdiff. externalの処理時に、 特権昇格の問題が発生する脆弱性です。攻撃者が悪意あるgitリポジトリをホストし、 悪意あるdiff. externalを構成しておくことで、 攻撃者がgitwebの動作権限 (通常の場合Apacheと同じwww-data) を手に入れる可能性があります。この問題は7. 10と8. 04 LTSのみに影響します (8. 10以降では修正済みで、 6. 06 LTSでは該当する機能がありません)。 - 対処方法:通常の場合、
アップデートのみで問題を解決できます。gitweb. perlがキャッシュされている場合 (mod_ perlなどを介してgitwebを利用している場合) は、 キャッシュ元プロセスに応じた方法で再読込を行う必要があるかもしれません。 - 備考:Ubuntu 9.
04も影響を受けます (CVE-2008-5916)。9. 04用のアップデートパッケージがリリースされています。
flashplugin-nonfreeのセキュリティアップデート
- LP#334134
- 6.
06 LTS・ 7. 10・ 8. 04 LTS・ 8. 10の全てに影響します。各バージョンに向けたアップデータがアップデートパッケージがリリースされています。CVE-2009-0519, CVE-2009-0520, CVE-2009-0114, CVE-2009-0521を修正します (CVE-2009-0522はWindowsにのみ影響する問題であり、 Ubuntuは影響を受けません)。 - CVE-2009-0520は、
誤ったオブジェクトの参照によりDoSまたは任意のコード実行を引き起こす脆弱性です。これは不正な細工を施した.swfファイル (Flash形式のファイル) により引き起こされます。 - CVE-2009-0519は、
入力値の検証の不足によりDoS・ コードの実行を引き起こす可能性がある問題です。ただし、 現実的な実証は行われておらず、 かつ、 コードの実行は難しいと考えられます。 - CVE-2009-0114は、
adobe. com上で表示されるFlash Player settings manager (設定パネル) において、 Clickjackingが可能であった問題です。 - CVE-2009-0521は、
Linux環境でのみ有効な、 特権の取得に繋がる情報の露出です。詳細は公開されていません。 - 対処方法:アップデートを行い、
さらにFirefoxなどのブラウザを再起動してください。 - 備考:Ubuntuのバージョンに応じて、
Flash 9 (6. 06 LTS・ 7. 10) が9. 0.159. 0に、 またはFlash 10 (8. 04 LTS・ 8. 10) が10. 0.22. 87へアップデートされます。