Ubuntu 9.04 “Jaunty Jackalope”がリリースされました
4月23日にUbuntuの新バージョン 9.
9.
- 起動時間の短縮
- 新しいファイルシステムとして、
ext4が利用可能 - 既存の、
ポップアップによる通知に代わる、 あたらしい通知システム [2] - OpenOffice.
org 3. 0.1の採用 - 起動時のスプラッシュやログイン画面のデザイン変更
以下から各種リリース文書を
ほとんどの環境でメリットがあるのは、
また、
- Gnome-Doが
「Docky」 styleをサポート - プライベートクラウド作成ソフトウェア
“Eucalyptus” (Amazon EC2/ S3互換ソフトウェア) のプレビュー [4] - postfix-dovecotパッケージによる、
「パッケージをインストールするだけで利用可能なメールサーバー」 のサポート
より詳しい内容については、
なお、
Ubuntu 9.04 “Jaunty Jackalope”日本語Remixを間もなくリリースします
オリジナルの9.
リリースされるまでの数時間が待ちきれない方は、
- http://
cdimage-u-toyama. ubuntulinux. jp/ misc/ 9. 04/ ubuntu-ja-9. 04-rc-desktop-i386. iso - http://
cdimage-ashisuto. ubuntulinux. jp/ misc/ 9. 04/ ubuntu-ja-9. 04-rc-desktop-i386. iso
リリース直後には各ISOイメージを配置したサーバーに大きなネットワーク負荷がかかり、
9.04のリリースパーティを開催します
これまでにも何度かお伝えしていますが、
開催日は、
なお懇親会は飲食物の調達の都合上、
Ubuntu Weekly Newsletter #138
Ubuntu Weekly Newsletter #138がリリースされています。https://
今週のセキュリティアップデート
先週で7.
- usn-757-1:Ghostscriptのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-April/ 000883. html - サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10) 用のアップデータがリリースされています。6. 06LTSではgs-espとgs-gplパッケージを、 8. 04LTS・ 8. 10ではlibgs8を更新します。CVE-2007-6725, CVE-2008-6679, CVE-2009-0196, CVE-2009-0583, CVE-2009-0584, CVE-2009-0792を修正します。 - CVE-2007-6725は、
PDFのCCITTFaxパラメータのデコード処理に問題があり、 アプリケーションがクラッシュする可能性がある問題です。理論上はコード実行に繋げられる可能性もありありますが、 現実性のあるコードは提示されていません。アプリケーションのクラッシュに繋がるコードはすでに存在します。 - CVE-2008-6679は、
Postscriptで記述されたファイル (.psファイル) の処理の問題で、 ps2pdfコマンドなどでPDFへ変換する際にバッファの確保量を誤り、 ヒープバッファオーバーフローが発生する問題です。これによりコマンドのクラッシュや、 任意のコードの実行に繋げられる可能性があります。 - CVE-2009-0792は、
CVE-2009-0583の再修正です。ICCカラープロファイルを取り扱う処理に問題があり、 PostScriptファイルやPDFファイルなど、 ICCカラープロファイルをファイル内に含めることが可能なファイルを開いた際にヒープバッファオーバーフローが生じる可能性があるため、 悪意ある攻撃者が作成したファイルを開いた場合に任意のコード実行・ ビューアアプリケーションのクラッシュなどを招く可能性がありました。Ubuntuではusn-743-1で行われた修正ですが、 この修正は不完全で、 攻撃が成立する余地が残っていました。 - CVE-2009-0196は、
gsに含まれるJBIG2画像のデコードライブラリの問題です。適切な境界値チェックが行われていなかったため、 特殊な細工が施されたPDFファイルを読み込ませることで、 ヒープバッファオーバーフローと、 悪意あるコードの実行 が可能でした。 - 対処方法:通常の場合、
アップデートを適用することで問題を解決できます。 - EOL情報:7.
10も影響を受けますが、 このアップデータの7. 10用のものはリリースされません。
- https://
- usn-758-1:udevのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-April/ 000884. html - リリース時点でサポートされていた全てのUbuntu
(6. 06 LTS・ 7. 10・ 8. 04 LTS・ 8. 10) 用のアップデータがリリースされています。CVE-2009-1185, CVE-2009-1186を修正します。 - CVE-2009-1185は、
udevが取り扱うNETLINKメッセージ (KOBJECT_ UEVENT) の送り元をチェックしないため、 ローカルユーザーによってroot権限が限定的に奪取される問題です。rootシェルの奪取が可能であると報告されています。ただし、 攻撃コードはまだ公開されていません。 - CVE-2009-1186は、
udevのパス名のデコードルーチンの問題で、 udevをクラッシュさせ、 システム停止に追い込むことが可能な問題です。 - 対処方法:アップデータを適用の上、
システムを再起動してください。
- https://
- usn-759-1:popplerのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-April/ 000885. html - サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10) 用のアップデータがリリースされています。CVE-2009-0146, CVE-2009-0147, CVE-2009-0166, CVE-2009-0799, CVE-2009-0800, CVE-2009-1179, CVE-2009-1180, CVE-2009-1181, CVE-2009-1182, CVE-2009-1183, CVE-2009-1187, CVE-2009-1188を修正します。 - いずれの脆弱性も、
JBIG2画像の処理に関連する問題です。これらによりアプリケーションのクラッシュないし任意のコードの実行が可能と考えられます。 - 対処方法:通常の場合、
アップデートを適用することで問題を解決できます。
- https://
- usn-760-1:CUPSのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-April/ 000886. html - リリース時点でサポートされていた全てのUbuntu
(6. 06 LTS・ 7. 10・ 8. 04 LTS・ 8. 10) 用のアップデータがリリースされています。CVE-2009-0163を修正します。 - CVE-2009-0163は、
CUPSのTIFF画像の処理に関する問題です。問題を開くようすることにより、 CUPSデーモンのクラッシュや任意のコードの実行に繋げることが可能と考えられますが、 6. 06LTS以外のUbuntuではAppArmorによりCUPSの動作が制約されているため、 悪用による影響を限定できるはずです。 - 対処方法:通常の場合、
アップデートを適用することで問題を解決できます。
- https://
- usn-761-1:PHPのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-April/ 000887. html - サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10) 用のアップデータがリリースされています。CVE-2008-5814, CVE-2009-0754, CVE-2009-1271を修正します。 - CVE-2008-5814は、
PHPのエラーメッセージ表示に関連する問題で、 メッセージ表示時にXSSが可能です。詳細は{http:// jvn. jp/ jp/ JVN50327700/ JVN#50327700}を参照してください - CVE-2009-0754は、
VirtualHostなどを利用した環境において、 ユーザーが自身の.htaccess上で設定を行うと、 そのサイト全体のPHPのmbstring. func_ overload設定を変更できてしまう問題です。 - CVE-2009-1271は、
PHPのjson_ decode関数の問題で、 PHPへのDoSが成立する問題です。この問題は8. 04と8. 10にのみ影響します。 - 対処方法:通常の場合、
アップデートを適用することで問題を解決できます。
- https://
- usn-763-1:xine-libのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-April/ 000888. html - サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10) 用のアップデータがリリースされています。CVE-2009-0698, CVE-2009-1274を修正します。 - CVE-2009-1274は、
xine-libのQuicktime形式の動画ファイル (.mov) ファイルの取り扱いに関する脆弱性で、 STTS Atomの処理が不適切であることにより、 悪意ある動画ファイルを再生する際に整数オーバーフローが発生し、 アプリケーションのクラッシュないし任意のコードの実行が行われる可能性があります。 - CVE-2009-0698は、
4xm動画ファイルの処理に問題があり、 ファイルの再生時にDoSまたは任意のコードの実行をもたらす可能性がある脆弱性です。USN-746-1でリリースされたパッチが不完全であったため、 CVE-2009-0698への対処は不完全なものでした。 - 対処方法:通常の場合、
アップデートを適用することで問題を解決できます。 - 備考:xine-libは多くのマルチメディアプレイヤーで利用されています。利用しているつもりがなくても暗黙でロードされていることが多いため、
動画ファイルなどを再生する前にアップデータを適用してください。
- https://
- usn-762-1:APTのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-April/ 000889. html - サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10) 用のアップデータがリリースされています。CVE-2009-1300, LP#356012を修正します。 - CVE-2009-1300は、
aptパッケージが暗黙で導入するcronエントリの問題で、 夏時間の処理に問題があり、 場合により自動アップデートが一切実行されなくなってしまう問題です。 - LP#356012は、
公開鍵で署名されたAPTリポジトリに関連する問題で、 リポジトリが単一の鍵で署名されており、 かつその鍵が取り消されて (revokeされて) いた場合にも、 aptコマンドが誤って正しいリポジトリとして認識してしまっていた問題です。 - 対処方法:通常の場合、
アップデートを適用することで問題を解決できます。
- https://