Ubuntu Weekly Topics

2009年4月24日号Ubuntu 9.04とJapanese Remixのリリース、UWN#138

Ubuntu 9.04 “Jaunty Jackalope”がリリースされました

4月23日にUbuntuの新バージョン 9.04⁠Jaunty Jackalope⁠がリリースされました。Kubuntu、UNR(Ubuntu Netbook Remix)など、派生ディストリビューションの多くも同じタイミングでリリースされています。

9.04はLinux Kernel 2.6.28とGNOME 2.26を中心に、多くの新機能を搭載しています[1]⁠。デスクトップ用途に関連する大きな修正は、以下の通りです。

  • 起動時間の短縮
  • 新しいファイルシステムとして、ext4が利用可能
  • 既存の、ポップアップによる通知に代わる、あたらしい通知システム[2]
  • OpenOffice.org 3.0.1の採用
  • 起動時のスプラッシュやログイン画面のデザイン変更

以下から各種リリース文書を(日本語で)参照できます。ただし、Ubuntuのリリース関連文書は正式版の公開直前まで延々と追加されるため、英語版の内容からの反映は少しだけ遅れるはずです。

ほとんどの環境でメリットがあるのは、起動時間が非常に短くなったことです。ハードウェア構成にもよりますが、SSDなどの高速ストレージを搭載した環境では、Bootchartで計測できる起動時間が10秒を切ることも珍しくありません[3]⁠。

また、構成ソフトウェアの一部がアップデート、あるいは新規搭載されたことにより、以下のような変化も加わっています。

  • Gnome-Doが「Docky」styleをサポート
  • プライベートクラウド作成ソフトウェア⁠Eucalyptus⁠(Amazon EC2/S3互換ソフトウェア)のプレビュー[4]
  • postfix-dovecotパッケージによる、⁠パッケージをインストールするだけで利用可能なメールサーバー」のサポート

より詳しい内容については、リリース文書を参照するか、実際にインストールして体験してみてください。

なお、8.10やAlpha・Betaなどからのアップグレードの場合、アップグレード時に幾つかの作業を行わないとシステムがうまく動作しないかもしれません。リリースノートを必ず確認し、必要な対処を行ってください。

Ubuntu 9.04 “Jaunty Jackalope”日本語Remixを間もなくリリースします

オリジナルの9.04がリリースされたことに伴い、Japanese Teamでリリースしている日本語Remixも間もなくお届けできる予定です。本日中のリリースを予定しています[5]⁠。

リリースされるまでの数時間が待ちきれない方は、9.04 RCを元にした9.04 Japanese Remix RCを利用してみてください。インストール後、アップデートを適用すれば9.04の正式リリースと同等になります。

  • http://cdimage-u-toyama.ubuntulinux.jp/misc/9.04/ubuntu-ja-9.04-rc-desktop-i386.iso
  • http://cdimage-ashisuto.ubuntulinux.jp/misc/9.04/ubuntu-ja-9.04-rc-desktop-i386.iso

リリース直後には各ISOイメージを配置したサーバーに大きなネットワーク負荷がかかり、ダウンロード速度がそれほど出ないかもしれません。どうしても待ちきれない方以外は、月末ぐらいまで待ってダウンロードすることで快適に入手できるはずです[6]⁠。

9.04のリリースパーティを開催します

これまでにも何度かお伝えしていますが、Ubuntu Japanese Teamでは、広瀬電工株式会社様の会場提供のもと、UbuntuオフラインミーティングTokyo 9.04を開催します。9.04のリリースパーティを兼ねたイベントです。

開催日は、明日 4月25日(土)です。イベントへの参加予約等は必須ではありませんので、当日飛び入りでの参加も可能です。皆様のお越しをお待ちしております。

なお懇親会は飲食物の調達の都合上、参加には事前登録をお願いします。

Ubuntu Weekly Newsletter #138

Ubuntu Weekly Newsletter #138がリリースされています。https://wiki.ubuntu.com/UbuntuWeeklyNewsletter/Issue138/JPは現在翻訳作業中です。

今週のセキュリティアップデート

先週で7.10がEOLしたため、7.10用のセキュリティアップデートがリリースされなくなっていることに注意してください(作業手順の関係で部分的にはアップデータがリリースされていますが、今週分が最後のはずです⁠⁠。最低限のアップデートを行いたい場合、http://old-releases.ubuntu.com/にアーカイブサーバを切り替えることでも過去にリリースされたアップデータを利用できますが、新規のアップデートは準備されませんので、7.10のユーザーは8.04へのアップグレードが必要です。

usn-757-1:Ghostscriptのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-April/000883.html
  • サポートされている全てのUbuntu(6.06 LTS・8.04 LTS・8.10)用のアップデータがリリースされています。6.06LTSではgs-espとgs-gplパッケージを、8.04LTS・8.10ではlibgs8を更新します。CVE-2007-6725, CVE-2008-6679, CVE-2009-0196, CVE-2009-0583, CVE-2009-0584, CVE-2009-0792を修正します。
  • CVE-2007-6725は、PDFのCCITTFaxパラメータのデコード処理に問題があり、アプリケーションがクラッシュする可能性がある問題です。理論上はコード実行に繋げられる可能性もありありますが、現実性のあるコードは提示されていません。アプリケーションのクラッシュに繋がるコードはすでに存在します。
  • CVE-2008-6679は、Postscriptで記述されたファイル(.psファイル)の処理の問題で、ps2pdfコマンドなどでPDFへ変換する際にバッファの確保量を誤り、ヒープバッファオーバーフローが発生する問題です。これによりコマンドのクラッシュや、任意のコードの実行に繋げられる可能性があります。
  • CVE-2009-0792は、CVE-2009-0583の再修正です。ICCカラープロファイルを取り扱う処理に問題があり、PostScriptファイルやPDFファイルなど、ICCカラープロファイルをファイル内に含めることが可能なファイルを開いた際にヒープバッファオーバーフローが生じる可能性があるため、悪意ある攻撃者が作成したファイルを開いた場合に任意のコード実行・ビューアアプリケーションのクラッシュなどを招く可能性がありました。Ubuntuではusn-743-1で行われた修正ですが、この修正は不完全で、攻撃が成立する余地が残っていました。
  • CVE-2009-0196は、gsに含まれるJBIG2画像のデコードライブラリの問題です。適切な境界値チェックが行われていなかったため、特殊な細工が施されたPDFファイルを読み込ませることで、ヒープバッファオーバーフローと、悪意あるコードの実行が可能でした。
  • 対処方法:通常の場合、アップデートを適用することで問題を解決できます。
  • EOL情報:7.10も影響を受けますが、このアップデータの7.10用のものはリリースされません。
usn-758-1:udevのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-April/000884.html
  • リリース時点でサポートされていた全てのUbuntu(6.06 LTS・7.10・8.04 LTS・8.10)用のアップデータがリリースされています。CVE-2009-1185, CVE-2009-1186を修正します。
  • CVE-2009-1185は、udevが取り扱うNETLINKメッセージ(KOBJECT_UEVENT)の送り元をチェックしないため、ローカルユーザーによってroot権限が限定的に奪取される問題です。rootシェルの奪取が可能であると報告されています。ただし、攻撃コードはまだ公開されていません。
  • CVE-2009-1186は、udevのパス名のデコードルーチンの問題で、udevをクラッシュさせ、システム停止に追い込むことが可能な問題です。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
usn-759-1:popplerのセキュリティアップデート
usn-760-1:CUPSのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-April/000886.html
  • リリース時点でサポートされていた全てのUbuntu(6.06 LTS・7.10・8.04 LTS・8.10)用のアップデータがリリースされています。CVE-2009-0163を修正します。
  • CVE-2009-0163は、CUPSのTIFF画像の処理に関する問題です。問題を開くようすることにより、CUPSデーモンのクラッシュや任意のコードの実行に繋げることが可能と考えられますが、6.06LTS以外のUbuntuではAppArmorによりCUPSの動作が制約されているため、悪用による影響を限定できるはずです。
  • 対処方法:通常の場合、アップデートを適用することで問題を解決できます。
usn-761-1:PHPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-April/000887.html
  • サポートされている全てのUbuntu(6.06 LTS・8.04 LTS・8.10)用のアップデータがリリースされています。CVE-2008-5814, CVE-2009-0754, CVE-2009-1271を修正します。
  • CVE-2008-5814は、PHPのエラーメッセージ表示に関連する問題で、メッセージ表示時にXSSが可能です。詳細は{http://jvn.jp/jp/JVN50327700/ JVN#50327700}を参照してください
  • CVE-2009-0754は、VirtualHostなどを利用した環境において、ユーザーが自身の.htaccess上で設定を行うと、そのサイト全体のPHPのmbstring.func_overload設定を変更できてしまう問題です。
  • CVE-2009-1271は、PHPのjson_decode関数の問題で、PHPへのDoSが成立する問題です。この問題は8.04と8.10にのみ影響します。
  • 対処方法:通常の場合、アップデートを適用することで問題を解決できます。
usn-763-1:xine-libのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-April/000888.html
  • サポートされている全てのUbuntu(6.06 LTS・8.04 LTS・8.10)用のアップデータがリリースされています。CVE-2009-0698, CVE-2009-1274を修正します。
  • CVE-2009-1274は、xine-libのQuicktime形式の動画ファイル(.mov)ファイルの取り扱いに関する脆弱性で、STTS Atomの処理が不適切であることにより、悪意ある動画ファイルを再生する際に整数オーバーフローが発生し、アプリケーションのクラッシュないし任意のコードの実行が行われる可能性があります。
  • CVE-2009-0698は、4xm動画ファイルの処理に問題があり、ファイルの再生時にDoSまたは任意のコードの実行をもたらす可能性がある脆弱性です。USN-746-1でリリースされたパッチが不完全であったため、CVE-2009-0698への対処は不完全なものでした。
  • 対処方法:通常の場合、アップデートを適用することで問題を解決できます。
  • 備考:xine-libは多くのマルチメディアプレイヤーで利用されています。利用しているつもりがなくても暗黙でロードされていることが多いため、動画ファイルなどを再生する前にアップデータを適用してください。
usn-762-1:APTのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-April/000889.html
  • サポートされている全てのUbuntu(6.06 LTS・8.04 LTS・8.10)用のアップデータがリリースされています。CVE-2009-1300, LP#356012を修正します。
  • CVE-2009-1300は、aptパッケージが暗黙で導入するcronエントリの問題で、夏時間の処理に問題があり、場合により自動アップデートが一切実行されなくなってしまう問題です。
  • LP#356012は、公開鍵で署名されたAPTリポジトリに関連する問題で、リポジトリが単一の鍵で署名されており、かつその鍵が取り消されて(revokeされて)いた場合にも、aptコマンドが誤って正しいリポジトリとして認識してしまっていた問題です。
  • 対処方法:通常の場合、アップデートを適用することで問題を解決できます。

おすすめ記事

記事・ニュース一覧