2009年3月13日号 9.04のAlpha6・ext4利用時の問題・9.10の開発カレンダー・UWN#132

9.04のAlpha 6

Ubuntu 9.04のAlphaフェーズの最終段階であるAlpha 6へ向けて、Freezeが行われ、リリース作業が行われています（この記事と前後してAlpha 6も公開されているはずです⁠）⁠。Alpha 6の次はいよいよBetaリリースのための作業が開始されます。

直近では3月19日にBetaのためのFreezeが行われ、3月26日にはBetaが、さらに4月9日に最終Freeze、4月16日にRCと、あと一ヶ月ほどで「ほぼリリース品質」の状態に達するはずです。

(Heads Up!) ext4使用時のデータロスト＠9.04

Ubuntu 9.04では、9.10でデフォルトとして採用されるext4をテスト的に利用することができます。まだ9.04すらAlphaフェーズを完了しただけの状態ですが、ext4を利用している環境において、システムクラッシュ時にファイルがゼロクリアされる可能性があることが報告されています（LP#317781⁠）⁠。

基本的にはシステムクラッシュが起きなければ再現せず、また、~/.kdeや~/.gnome以下など、一部の（アプリケーションが特定のファイルの開き方をしている）領域のみでゼロクリアなどが発生します。

なお、この問題から「POSIXでは定義されていない部分のファイルシステムの振る舞いはどうあるべきか？」「⁠それはアプリケーション側で本来対処すべきではないのか？」「⁠ext3で問題ないからといって、他のファイルシステムまで同じような挙動をしなければならないのか？」といった話まで始まり、当分の間は議論は収束しそうにありません……（問題もまだ解決していません⁠）⁠。

9.04をテスト利用しており、なおかつext4を利用している方は当該の報告を確認の上、適切なバックアップなどの自衛手段を取ってください。

9.10の開発スケジュール

開発が佳境になっている9.04に対して、9.10の開発カレンダーが公開されました。大まかなスケジュールは次の通りです。

6月18日：大まかな仕様の確定（FeatureDefinitionFreeze）
6月25日：Debian sidからのImport Freeze
8月27日：完全な仕様の確定
9月24日：Betaリリース
10月22日：RC
10月29日：Ubuntu 9.10 “⁠Karmic Koala⁠”リリース

特に重要な仕様の決定が行われるDeveloper Summitは、今年はスペインのバルセロナで、5月25～29日にかけて行われます。

Ubuntu Weekly Notice #132

Ubuntu Weekly Notice #132がリリースされました。主な内容は次の通りです。

Karmic Koala（9.10）のリリーススケジュール
アメリカのRegional boardで認定された新しいメンバーについて
LoCoチーム一覧のディレクトリ構造の変更について
Ubuntu Tunisiaチームが協力して行った、National Engineering School of Sfax (ENIS)のコンピューターシステムをUbuntuに移行するための作業について
Encrypted Home Directoryで2ファクター認証（注）を利用するための手順について

より詳しい情報は、原文を参照してください。

注）: パスワードやパスフレーズ（こうした「知っていること」ベースの認証を“⁠What you know⁠”と呼びます）だけでなく、キートークンや特定のUSBメモリ（⁠“⁠What you have⁠”⁠）を併用することで、認証を強化する手法を「2ファクター認証」と呼びます。厳密には“⁠What you know⁠”と“⁠What you have⁠”以外の組み合わせでも良いのですが、元記事では暗号処理したパスフレーズファイル（をUSBメモリに保存したもの）に加えて、ログインパスワードを利用する形を取っています。

その他

「うぶんちゅ!」が世界へ

瀬尾浩史さんがWebで公開されているUbuntuマンガ「うぶんちゅ!」がPlanet Ubuntu（Ubuntuメンバーのblog記事を集めて表示するサイト）に掲載されました。元となったblogの投稿はUbuntu-US-Massachusetts LoCoのdoctormoさんのpostです。

UbuntuオフラインミーティングTokyo 9.04

Ubuntu Japanese Team主催、広瀬電工株式会社様協賛で開催する“⁠オフライン⁠”イベントであるUbuntuオフラインミーティングTokyoの次回開催日が決定しました。

Ubuntuオフラインミーティング東京9.04と題して、東京秋葉原の廣瀬本社ビル5Fで4月25日に開催する予定です。直前の4月23日にUbuntu 9.04がリリースされているはずですので、9.04のリリースパーティを兼ねた形での開催となります。

概要を含め、より詳しい情報は決定次第お伝えする予定です。

カーネルバージョンの対応表

ある程度ヘビーな開発を行っている場合、UbuntuのカーネルパッケージとLinuxカーネルのMainlineリリースのバージョンの対応が気になる場合があります。

こうしたケースに向けて、UbuntuのカーネルパッケージとMainlineのマッピングリストが準備されました。この表を用いることで、カーネルパッケージのバージョンから、Mainlineのバージョンを調べることが可能です。

パッケージングのトレーニング

Ubuntuの開発者になりたい人に向けて、パッケージング作業の解説や質疑応答を定期的にIRCの#ubuntu-classroomで行おう、という提案が行われています。

その他の情報

Ubuntuで動くTwitterクライアントに関する情報がまとめられたblog記事があります。
VMware ToolsをUbuntで利用するための手順がまとめられたblog記事があります。

今週のセキュリティアップデート

今週（2009年3月4日から3月11日）リリースされたセキュリティアップデートは次の通りです。

2月10日にリリースされたFirefoxのアップデート（USN-717-1他）からそれほど時間が経っていませんが、別の脆弱性を修正するusn-728-1他がリリースされています。Firefoxの脆弱性は影響範囲が大きいものですので、できるだけ速やかにアップデートしてください。

また、Apacheのアップデータがリリースされていますので、サーバー管理を行っている方はアップデートを検討してください。このアップデータの適用時は、Apacheが自動的に再起動されますので、数秒間接続不能な瞬間が発生します。

usn-729-1：Python Cryptoのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/
2009-March/000851.html
現在サポート対象となっている全てのUbuntu（6.06 LTS・7.10・8.04 LTS・8.10）にアップデータがリリースされています。CVE-2009-0544を修正します。
Python-cryptoパッケージ（Python Cryptography Toolkit）に含まれるARC2ブロック暗号を処理するモジュールに問題があり、悪意ある細工を施したストリームを処理させることでヒープバッファオーバーフローを引き起こし、任意のコードを実行させることが可能でした（CVE-2009-0544⁠）⁠。
対処方法：通常の場合、アップデートを適用することで問題を解決できます。

USN-728-1：Firefox・Xulrunnerのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/
2009-March/000853.html
USN-728-1はUbuntu 8.04・8.10に向けたアドバイザリです。7.10はUSN-728-2を、6.06 LTSはUSN-728-3を参照してください。CVE-2009-0040, CVE-2009-0771, CVE-2009-0772, CVE-2009-0773, CVE-2009-0774, CVE-2009-0775, CVE-2009-0776, CVE-2009-0777を修正します。
対処方法：アップデートを適用した上で、Firefoxを再起動してください。
CVE-2009-0040は、Firefoxに組み込まれたlibpngライブラリの問題です。同時にリリースされたlibpngの問題（USN-730-1）を確認してください。Firefoxへの影響について、より詳しくはMFSA2009-10を参照してください。
CVE-2009-0771, CVE-2009-0772, CVE-2009-0773, CVE-2009-0774は、いずれもブラウザエンジンの問題です。悪意ある第三者によるDoSないし任意のコード実行を許す可能性がありました。各脆弱性の情報はMFSA2009-07を参照してください。
CVE-2009-0775は、Firefox内蔵のガベージコレクション処理の問題により、多段構成のXUL DOMにおいて、解放されたオブジェクトの多重解放（double free）が生じる問題です。攻撃者が悪意あるページをホストすることで、ユーザーが当該ページを表示し、さらにページをリロードした場合に任意のコードの実行、ないしDoSを引き起こすことが可能でした。より詳しくはMFSA-2009-08を参照してください。
CVE-2009-0776は、ドメインをまたがったリダイレクトを利用することで、リダイレクト先にある任意のXML情報が読み取れてしまう問題です。これにより悪意ある第三者がユーザーをリダイレクトさせ、リダイレクト先にある秘密のデータを盗み見ることが可能でした。より詳しくはMFSA-2009-09を参照してください。
CVE-2009-0777は、一部の不可視文字がロケーションバーで正しく表示されないため、本来のURLよりも短い文字列に見せかけることが可能な問題です。これにより、攻撃者はWebページを訪れたユーザーに、本来のものとはやや異なるURLを表示させることが可能でした。より詳しくはMFSA-2009-11を参照してください。

USN-728-2：Firefoxのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/
2009-March/000854.html
7.10向けのCVE-2009-0772, CVE-2009-0774, CVE-2009-0776の修正です。脆弱性に関する情報は前項USN-728-1を参照してください。
対処方法：アップデートを適用した上で、Firefoxを再起動してください。

USN-728-3：Firefoxのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/
2009-March/000852.html
6.06 LTS向けのCVE-2009-0772, CVE-2009-0774, CVE-2009-0776の修正です。脆弱性に関する情報は前項USN-728-1を参照してください。
対処方法：アップデートを適用した上で、Firefoxを再起動してください。

USN-730-1：libpngのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/
2009-March/000855.html
現在サポート対象となっている全てのUbuntu（6.06 LTS・7.10・8.04 LTS・8.10）にアップデータがリリースされています。CVE-2007-5268, CVE-2007-5269, CVE-2008-1382, CVE-2008-3964, CVE-2008-5907, CVE-2009-0040を修正します。
CVE-2007-5268, CVE-2007-5269は、いずれもlibpngの内部で行われる境界値チェックの問題により、DoSが引き起こされる問題です。Ubuntu 8.04 LTSにのみ影響します（8.10以降では修正済み、7.10以前は問題の機能がありません⁠）⁠。
CVE-2008-3964は、libpngの幾つかの関数において、適切でないメモリ空間にヌルを書き込んでしまうため、DoSが引き起こされる問題です。理論上はDoS以外の何らかの影響を及ぼすことも不可能ではありませんが、現実的には非常に困難と考えられます。
CVE-2008-5907は、libpngの文字列処理コードに問題があり、特定のメモリを上書きできてしまう問題です。この問題を悪用することで、攻撃者はメモリ空間の任意の位置にヌルを書き込むことが可能でした。
CVE-2009-0040は、libpngのメモリ初期化コードに問題があり、システム負荷が高い状態では配列に割り当てたメモリの一部が適切に初期化されず、配列の一部に初期化されていないポインタが発生してしまう問題です。これにより、悪意ある攻撃者が細工を施したデータを何らかの形でメモリ空間上に配置し、問題の挙動を発生させることで、該当のメモリが解放されたタイミングでシステムへのDoS、または任意のコードの実行が可能でした。ただし、このアプローチによる任意のコード実行には強く運が関わってくるため、組み込み機器や、起動直後の特定の条件下など、メモリ配置が特定されやすい状況でなければ単なるDoSとして機能すると考えられます。
対処方法：通常の場合、アップデートを適用することで脆弱性を解決できます。ただし、libpngを外部から利用しているアプリケーションが存在する場合、それらの再起動が必要になる可能性があります。apt-cache rdepends libpng12-0などを実行し、表示されたアプリケーションそれぞれを念のため再起動することを推奨します（もっとも手早い対処は、システムを再起動することです⁠）⁠。
備考：これらの脆弱性は、libpngをスタティックリンクしているアプリケーションでも同様に問題を生じ、かつ、アプリケーション単位でリンクライブラリを更新・再ビルドする必要があります（例：Firefox⁠）⁠。何らかの形でスタティックリンクしているアプリケーションを利用・開発している場合、開発元の情報を確認する、ライブラリの利用状況を確認するなど、必要な対処を行ってください。

USN-731-1：Apache2のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/
2009-March/000856.html
6.06 LTS・7.10・8.04用のアップデータがリリースされています。CVE-2007-6203, CVE-2007-6420, CVE-2008-1678, CVE-2008-2168, CVE-2008-2364, CVE-2008-2939を修正します。Ubuntu 8.10以降では既に修正されている問題です。
CVE-2007-6203はApacheがHTTPリクエストを処理する際、ヘッダの内容を適切に処理しないため、クロスサイトスクリプテイングや悪意あるスクリプトの挿入など、第三者による改ざんを許す問題です。この問題は6.06 LTS・7.10にのみ存在します。攻撃には特徴的な法則を持つ文字列が必要ですので、アップデータを適用できない場合、間接的にはWAFなどで特定のリクエストをフィルタすることで阻止することが可能と考えられます。
CVE-2007-6420は、Apacheのmod_proxy_balancerモジュール含まれる管理者用インターフェースが、CSRF脆弱性を内包しているる問題です。悪意ある第三者がこの脆弱性を利用することで、Apacheサーバの管理者がログインした状態で特定のリンクをクリックする、あるいはJavaScriptなどによるリダイレクションを仕掛けることで、管理画面から行える設定変更を任意に実行させることが可能でした。
CVE-2008-1678は、mod_sslの圧縮処理に問題があり、メモリを異常に消費する問題です。悪意ある攻撃者がこの脆弱性を突くことで、サーバーのメモリを限界まで使用させ、DoSが可能でした。
CVE-2008-2168は、Apacheがエラーメッセージを返す際に不適切な処理を行っているため、エラーページにクロスサイトスクリプテイングを行うことが可能な問題です。攻撃には特定のUTF-7で構成された文字列が必要ですので、WAFなどで検知・ブロックすることが可能と考えられます。
CVE-2008-2364は、Apacheをproxyサーバとして設定している場合に、interimレスポンスが返された際に処理回数を制限できず、無限に処理してしまう問題です。
CVE-2008-2939は、mod_proxy_ftpがパス名にワイルドカードを含んだものを処理する際に適切に処理できず、結果としてクロスサイトスクリプテイングが可能な問題です。
対処方法：通常の場合、アップデートを適用することで問題を解決できます。アップデート時に自動的にApacheプロセスが再起動されるため、高い可用性が求められるサーバーでは適用タイミングを検討し、即座に適用できない場合は必要な緩和措置を取ってください。

USN-732-1：dashのセキュリティアップデート

8.04 LTS・8.10用のアップデータがリリースされています。CVE-2009-0854を修正します。
https://lists.ubuntu.com/archives/ubuntu-security-announce/
2009-March/000857.html
CVE-2009-0854は、dashをログインシェルとして利用している場合、.profileファイルをカレントディレクトリから読み込んでしまう問題です。これによりローカルユーザーが「他のユーザーが利用しそうな場所」に悪意ある細工を施した.profileを置くことで、上位の権限を取得できる可能性があります。
対処方法：通常の場合、アップデートを適用することで問題を解決できます。