9.04のAlpha 6
Ubuntu 9.
直近では3月19日にBetaのためのFreezeが行われ、
(Heads Up!) ext4使用時のデータロスト@9.04
Ubuntu 9.
基本的にはシステムクラッシュが起きなければ再現せず、
なお、
9.
9.10の開発スケジュール
開発が佳境になっている9.
- 6月18日:大まかな仕様の確定
(FeatureDefinitionFreeze) - 6月25日:Debian sidからのImport Freeze
- 8月27日:完全な仕様の確定
- 9月24日:Betaリリース
- 10月22日:RC
- 10月29日:Ubuntu 9.
10 “Karmic Koala” リリース
特に重要な仕様の決定が行われるDeveloper Summitは、
Ubuntu Weekly Notice #132
Ubuntu Weekly Notice #132がリリースされました。主な内容は次の通りです。
- Karmic Koala
(9. 10) のリリーススケジュール - アメリカのRegional boardで認定された新しいメンバーについて
- LoCoチーム一覧のディレクトリ構造の変更について
- Ubuntu Tunisiaチームが協力して行った、
National Engineering School of Sfax (ENIS)のコンピューターシステムをUbuntuに移行するための作業について - Encrypted Home Directoryで2ファクター認証
(注) するための手順についてを利用
より詳しい情報は、
- 注)
- パスワードやパスフレーズ
(こうした 「知っていること」 ベースの認証を “What you know” と呼びます) だけでなく、 キートークンや特定のUSBメモリ (“What you have”)を併用することで、 認証を強化する手法を 「2ファクター認証」 と呼びます。厳密には “What you know” と “What you have” 以外の組み合わせでも良いのですが、 元記事では暗号処理したパスフレーズファイル (をUSBメモリに保存したもの) に加えて、 ログインパスワードを利用する形を取っています。
その他
「うぶんちゅ!」が世界へ
瀬尾 浩史さんがWebで公開されているUbuntuマンガ 「うぶんちゅ!」がPlanet Ubuntu(Ubuntuメンバーのblog記事を集めて表示するサイト)に掲載されました。元となったblogの投稿はUbuntu-US-Massachusetts LoCoのdoctormoさんのpostです。
UbuntuオフラインミーティングTokyo 9.04
Ubuntu Japanese Team主催、
Ubuntuオフラインミーティング東京9.
概要を含め、
カーネルバージョンの対応表
ある程度ヘビーな開発を行っている場合、
こうしたケースに向けて、
パッケージングのトレーニング
Ubuntuの開発者になりたい人に向けて、
その他の情報
- Ubuntuで動くTwitterクライアントに関する情報がまとめられたblog記事があります。
- VMware ToolsをUbuntで利用するための手順がまとめられたblog記事があります。
今週のセキュリティアップデート
今週
2月10日にリリースされたFirefoxのアップデート
また、
usn-729-1:Python Cryptoのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/
2009-March/000851. html - 現在サポート対象となっている全てのUbuntu
(6. 06 LTS・ 7. 10・ 8. 04 LTS・ 8. 10) にアップデータがリリースされています。CVE-2009-0544を修正します。 - Python-cryptoパッケージ
(Python Cryptography Toolkit) に含まれるARC2ブロック暗号を処理するモジュールに問題があり、 悪意ある細工を施したストリームを処理させることでヒープバッファオーバーフローを引き起こし、 任意のコードを実行させることが可能でした (CVE-2009-0544)。 - 対処方法:通常の場合、
アップデートを適用することで問題を解決できます。
USN-728-1:Firefox・Xulrunnerのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/
2009-March/000853. html - USN-728-1はUbuntu 8.
04・ 8. 10に向けたアドバイザリです。7. 10はUSN-728-2を、 6. 06 LTSはUSN-728-3を参照してください。CVE-2009-0040, CVE-2009-0771, CVE-2009-0772, CVE-2009-0773, CVE-2009-0774, CVE-2009-0775, CVE-2009-0776, CVE-2009-0777を修正します。 - 対処方法:アップデートを適用した上で、
Firefoxを再起動してください。 - CVE-2009-0040は、
Firefoxに組み込まれたlibpngライブラリの問題です。同時にリリースされたlibpngの問題 (USN-730-1) を確認してください。Firefoxへの影響について、 より詳しくはMFSA2009-10を参照してください。 - CVE-2009-0771, CVE-2009-0772, CVE-2009-0773, CVE-2009-0774は、
いずれもブラウザエンジンの問題です。悪意ある第三者によるDoSないし任意のコード実行を許す可能性がありました。各脆弱性の情報はMFSA2009-07を参照してください。 - CVE-2009-0775は、
Firefox内蔵のガベージコレクション処理の問題により、 多段構成のXUL DOMにおいて、 解放されたオブジェクトの多重解放 (double free) が生じる問題です。攻撃者が悪意あるページをホストすることで、 ユーザーが当該ページを表示し、 さらにページをリロードした場合に任意のコードの実行、 ないしDoSを引き起こすことが可能でした。より詳しくはMFSA-2009-08を参照してください。 - CVE-2009-0776は、
ドメインをまたがったリダイレクトを利用することで、 リダイレクト先にある任意のXML情報が読み取れてしまう問題です。これにより悪意ある第三者がユーザーをリダイレクトさせ、 リダイレクト先にある秘密のデータを盗み見ることが可能でした。より詳しくはMFSA-2009-09を参照してください。 - CVE-2009-0777は、
一部の不可視文字がロケーションバーで正しく表示されないため、 本来のURLよりも短い文字列に見せかけることが可能な問題です。これにより、 攻撃者はWebページを訪れたユーザーに、 本来のものとはやや異なるURLを表示させることが可能でした。より詳しくはMFSA-2009-11を参照してください。
USN-728-2:Firefoxのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/
2009-March/000854. html - 7.
10向けのCVE-2009-0772, CVE-2009-0774, CVE-2009-0776の修正です。脆弱性に関する情報は前項USN-728-1を参照してください。 - 対処方法:アップデートを適用した上で、
Firefoxを再起動してください。
USN-728-3:Firefoxのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/
2009-March/000852. html - 6.
06 LTS向けのCVE-2009-0772, CVE-2009-0774, CVE-2009-0776の修正です。脆弱性に関する情報は前項USN-728-1を参照してください。 - 対処方法:アップデートを適用した上で、
Firefoxを再起動してください。
USN-730-1:libpngのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/
2009-March/000855. html - 現在サポート対象となっている全てのUbuntu
(6. 06 LTS・ 7. 10・ 8. 04 LTS・ 8. 10) にアップデータがリリースされています。CVE-2007-5268, CVE-2007-5269, CVE-2008-1382, CVE-2008-3964, CVE-2008-5907, CVE-2009-0040を修正します。 - CVE-2007-5268, CVE-2007-5269は、
いずれもlibpngの内部で行われる境界値チェックの問題により、 DoSが引き起こされる問題です。Ubuntu 8. 04 LTSにのみ影響します (8. 10以降では修正済み、 7. 10以前は問題の機能がありません)。 - CVE-2008-3964は、
libpngの幾つかの関数において、 適切でないメモリ空間にヌルを書き込んでしまうため、 DoSが引き起こされる問題です。理論上はDoS以外の何らかの影響を及ぼすことも不可能ではありませんが、 現実的には非常に困難と考えられます。 - CVE-2008-5907は、
libpngの文字列処理コードに問題があり、 特定のメモリを上書きできてしまう問題です。この問題を悪用することで、 攻撃者はメモリ空間の任意の位置にヌルを書き込むことが可能でした。 - CVE-2009-0040は、
libpngのメモリ初期化コードに問題があり、 システム負荷が高い状態では配列に割り当てたメモリの一部が適切に初期化されず、 配列の一部に初期化されていないポインタが発生してしまう問題です。これにより、 悪意ある攻撃者が細工を施したデータを何らかの形でメモリ空間上に配置し、 問題の挙動を発生させることで、 該当のメモリが解放されたタイミングでシステムへのDoS、 または任意のコードの実行が可能でした。ただし、 このアプローチによる任意のコード実行には強く運が関わってくるため、 組み込み機器や、 起動直後の特定の条件下など、 メモリ配置が特定されやすい状況でなければ単なるDoSとして機能すると考えられます。 - 対処方法:通常の場合、
アップデートを適用することで脆弱性を解決できます。ただし、 libpngを外部から利用しているアプリケーションが存在する場合、 それらの再起動が必要になる可能性があります。apt-cache rdepends libpng12-0などを実行し、 表示されたアプリケーションそれぞれを念のため再起動することを推奨します (もっとも手早い対処は、 システムを再起動することです)。 - 備考:これらの脆弱性は、
libpngをスタティックリンクしているアプリケーションでも同様に問題を生じ、 かつ、 アプリケーション単位でリンクライブラリを更新・ 再ビルドする必要があります (例:Firefox)。何らかの形でスタティックリンクしているアプリケーションを利用・ 開発している場合、 開発元の情報を確認する、 ライブラリの利用状況を確認するなど、 必要な対処を行ってください。
USN-731-1:Apache2のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/
2009-March/000856. html - 6.
06 LTS・ 7. 10・ 8. 04用のアップデータがリリースされています。CVE-2007-6203, CVE-2007-6420, CVE-2008-1678, CVE-2008-2168, CVE-2008-2364, CVE-2008-2939を修正します。Ubuntu 8. 10以降では既に修正されている問題です。 - CVE-2007-6203はApacheがHTTPリクエストを処理する際、
ヘッダの内容を適切に処理しないため、 クロスサイトスクリプテイングや悪意あるスクリプトの挿入など、 第三者による改ざんを許す問題です。この問題は6. 06 LTS・ 7. 10にのみ存在します。攻撃には特徴的な法則を持つ文字列が必要ですので、 アップデータを適用できない場合、 間接的にはWAFなどで特定のリクエストをフィルタすることで阻止することが可能と考えられます。 - CVE-2007-6420は、
Apacheのmod_ proxy_ balancerモジュール含まれる管理者用インターフェースが、 CSRF脆弱性を内包しているる問題です。悪意ある第三者がこの脆弱性を利用することで、 Apacheサーバの管理者がログインした状態で特定のリンクをクリックする、 あるいはJavaScriptなどによるリダイレクションを仕掛けることで、 管理画面から行える設定変更を任意に実行させることが可能でした。 - CVE-2008-1678は、
mod_ sslの圧縮処理に問題があり、 メモリを異常に消費する問題です。悪意ある攻撃者がこの脆弱性を突くことで、 サーバーのメモリを限界まで使用させ、 DoSが可能でした。 - CVE-2008-2168は、
Apacheがエラーメッセージを返す際に不適切な処理を行っているため、 エラーページにクロスサイトスクリプテイングを行うことが可能な問題です。攻撃には特定のUTF-7で構成された文字列が必要ですので、 WAFなどで検知・ ブロックすることが可能と考えられます。 - CVE-2008-2364は、
Apacheをproxyサーバとして設定している場合に、 interimレスポンスが返された際に処理回数を制限できず、 無限に処理してしまう問題です。 - CVE-2008-2939は、
mod_ proxy_ ftpがパス名にワイルドカードを含んだものを処理する際に適切に処理できず、 結果としてクロスサイトスクリプテイングが可能な問題です。 - 対処方法:通常の場合、
アップデートを適用することで問題を解決できます。アップデート時に自動的にApacheプロセスが再起動されるため、 高い可用性が求められるサーバーでは適用タイミングを検討し、 即座に適用できない場合は必要な緩和措置を取ってください。
USN-732-1:dashのセキュリティアップデート
- 8.
04 LTS・ 8. 10用のアップデータがリリースされています。CVE-2009-0854を修正します。 - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/
2009-March/000857. html - CVE-2009-0854は、
dashをログインシェルとして利用している場合、 .profileファイルをカレントディレクトリから読み込んでしまう問題です。これによりローカルユーザーが 「他のユーザーが利用しそうな場所」 に悪意ある細工を施した.profileを置くことで、 上位の権限を取得できる可能性があります。 - 対処方法:通常の場合、
アップデートを適用することで問題を解決できます。