Ubuntu Weekly Topics

2009年5月15日号Ubuntu Oneのクローズドベータ・9.10のAlpha1・UWN#141

Ubuntu Oneのクローズドベータテスト

Ubuntu Oneのクローズドベータテストが始まり、希望すればベータテストに参加することができるようになりました。Ubuntu Oneは、Launchpadと同じようにCanonical社が提供するオンラインストレージサービスです。⁠Ubunet」と呼ばれていたものの一部です。

主な機能は次のようなもので、今のところ、ほぼDropboxの劣化コピーです[1]⁠。

  • ユーザーが指定したファイルを保存できる領域を、2GBないし10GB提供する。
  • Ubuntu Oneパッケージ(ubuntu-one-client)をインストールしたマシン間で、この領域をホームの下の特定のディレクトリ[2]として見せることができる。つまり、複数のマシンの間で「自動的に同期される領域」として使うことができる。
  • この領域には、Webインターフェース経由でもアクセスできる。
  • 指定した領域を、他のユーザーと共有することもできる。

公開後はその名の通り、Ubuntuユーザーに広く提供されるものと思われます。

クローズドベータテストに参加するには(そして、おそらく正式公開後も⁠⁠、Launchpadのアカウントが必要になります。参加される場合は、Ubuntu Oneのページを開き、⁠Request an invitation」して招待メールを取得してください。

現在のところ、無料・有料の2つのプランが準備される予定で、使える容量に差があります。

  • 容量2GB:無料
  • 容量10GB:月額$10.00(USD)

なお、⁠それ高いよ!」⁠なにその高額版mobile meといったツッコミ(バグレポート)が飛んでいるようですので、価格などはこれから変わっていく可能性があります。また筆者が登録した時点では、invitation mailに書かれたURLをクリックしても「Internal Server Error」とだけ書かれたページが表示されてしまい、あらためてトップページを開くとログインできた、というトラブルにも遭遇していますので、試す方は多少気合いを入れて頂いた方がよいと思われます。

9.10関連

Alpha1リリース

9.04のリリースからほとんど時間が経っていませんが、9.10の開発の「たたき台」となるAlpha1がFreezeの上リリースされました。Alpha1はまだ9.04とほぼ同じで、⁠新機能の体験」という目的では一切役に立ちません(新機能はまだ何も実装されていません⁠⁠。あくまで開発者向けのリリースとなります。

ここからスケジュールに従って開発が進んでいきます。⁠機能」に着目した場合、6月18日のFeature Definition Freeze(アイデアの確定)を経て、6月25日にDebian sidからのImport Freeze(=Universe・Multiverseのベースバージョンの確定⁠⁠、8月27日のFeature Freeze(仕様の確定⁠⁠、という順番で開発が進んでいきます。

WebMirrorManager

企業などでUbuntuを導入する場合には、アーカイブサーバーへのアクセスによる帯域消費を抑えるために、ローカルにアーカイブミラーを設置することがあります。こうした作業を楽にするための機能として、WebMirrorManagerというものが提案されています。これはWebベースの操作だけでローカルミラーを構築できるようにし、企業内管理者がUbuntuを導入する際の敷居を下げるためのものです。実現すれば、企業でUbuntuを導入しやすくなると考えられます。

また、WebMirrorManagerの機能のひとつとして、管理者が必要に応じてアップデートパッケージを選定できるように、WindowsのWSUS(Windows Server Update Services)に相当する「アップデートの取捨選択」も提案されています。

ただしこの機能はまだ提案段階ですので、9.10の新機能になるとは限りません。

その他のニュース

UWN#141

Ubuntu Weekly Newsletter #141がリリースされています。日本語版は翻訳作業中です。

今週のセキュリティアップデート

今週リリースされたセキュリティアップデートは以下の通りです。デスクトップ環境としてUbuntuを利用している場合、pangoのアップデートに注意してください。このアップデータを適用した上で、一度ログアウトする必要があります。また、8.04・8.10環境でKVMを使っている方向けのアップデータがリリースされています。アップデート(2回リリースされているうちの、新しい方)を適用した上で、KVMを利用した仮想マシンを再起動する必要があることに注意してください。

usn-771-1:libmodplugのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-May/000899.html
  • 現在サポートされている全てのUbuntu(Ubuntu 6.06 LTS・8.04 LTS・8.10・9.04)用のアップデータがリリースされています。CVE-2009-1438, CVE-2009-1513を修正します。
  • CVE-2009-1438は、libmodplugのMEDファイル(Amiga MED等のサウンドファイル)の読み込みルーチンの問題で、song commentもしくはsong nameに悪意ある細工の施されたファイルを開くことにより、整数オーバーフローが生じる可能性があります。これにより任意のコードの実行やアプリケーションのクラッシュが引き起こされると考えられます。
  • CVE-2009-1513はPATファイル(Gravis UltraSound GF1のパッチファイル)を開く処理の問題で、悪意ある細工を施したファイルを開いた際に任意のコードの実行やアプリケーションのクラッシュが引き起こされる可能性があります。この問題は9.04にのみ影響します。また、PATファイルの読み込みは通常、ユーザーによる操作を必要とするため、攻撃者がこの脆弱性を悪用するためには何らかの形でユーザーにファイルを読み込ませるための操作を行わせる必要があります。
  • 対処方法:通常の場合、アップデートを行うことでこの問題を解決できます。
  • 備考:libmodplugに相当する機能を提供するコードが、他のコーデックパッケージにコピーされて含まれている可能性があります。このような場合はlibmodplugのアップデートでは問題を解決できません。
usn-772-1:MPFRのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-May/000898.html
  • Ubuntu 9.04用のアップデータがリリースされています。CVE-2009-0757を修正します。
  • CVE-2009-0757は、MPFR(高品質多倍長浮動小数点ライブラリ)の出力部の問題で、悪意ある細工を施されたデータを処理した場合に任意のコードの実行、もしくはアプリケーションのクラッシュが発生する可能性がありました。
  • 対処方法:通常の場合、アップデートを行うことでこの問題を解決できます。libmpfrをリンクしているアプリケーションを実行している場合は、アプリケーションを一度終了させ、起動しなおしてください。
  • 備考:MPFR関連のパッケージは8.04以降に含まれていますが、8.04・8.10は該当する機能が実装されていない2.3系のバージョンであるため、この問題の影響を受けません。
usn-773-1:Pangoのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-May/000900.html
  • 6.06 LTS・8.04 LTS・8.10用のアップデータがリリースされています。CVE-2009-1194を修正します。
  • CVE-2009-1194は、pangoのフォント処理の問題で、サイズパラメータに不正な値をセットした状態でフォントをレンダリングさせることで整数オーバーフローが発生し、任意のコードの実行やアプリケーションのクラッシュを発生させることが可能です。この問題を利用してFirefox上で任意のJavaScriptを実行できることが示されています。
  • 対処方法:アップデートを適用した上で、再ログインしてください。
  • 備考:9.04ではこの問題は修正済みです。pangoはGTKやFirefoxなどの多くのソフトウェアで利用されている、多言語処理のためのバックエンドです。
usn-774-1:MoinMoinのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-May/000901.html
  • Ubuntu 8.10・9.04用のアップデータがリリースされています。CVE-2009-1482を修正します。
  • 対処方法:通常の場合、アップデートを行うことでこの問題を解決できます。
  • 「添付ファイル」ページに用いられるAttachFile.pyにおいて、添付ファイルのリネーム時に与えられたファイル名をエスケープせずに利用していたため、XSSが可能でした。
  • 備考:8.04等、より古いMoinMoinでの同種の問題はCVE-2008-0781としてCVE IDを付与されています。これらはusn-716-1として対処されています2009年2月6日号参照⁠⁠。
usn-776-1usn-776-2 KVM vulnerabilities
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-May/000903.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-May/000904.html
  • 8.04LTS・8.10用のアップデータがリリースされています。CVE-2008-1945, CVE-2008-2004, CVE-2008-2382, CVE-2008-4539, CVE-2008-5714を修正します。
  • 備考:USN-776-2は、USN-776-1で行われた修正にエンバグが含まれており、libvirt経由で仮想マシンを起動できなくなる問題に対処したものです。
  • CVE-2008-1945CVE-2008-2004は、いずれもKVMの仮想ディスクファイルの読み込み処理の問題です。悪意ある細工を施したパーティション情報を持つ仮想ディスクファイルを読み込ませることで、ホストマシンのファイルを読み出すことが可能でした。
  • CVE-2008-2382は、KVM-QEMUが利用するVNCのプロトコル処理の問題です。悪意ある細工を施したVNCメッセージを送付することで、CPUを浪費させ、結果としてDoSを発生させることが可能でした。
  • CVE-2008-4539は、KVM-QEMUがエミュレーションする(Cirrus LogicのLGD-54XXチップに見える)仮想ビデオカードの実装の問題です。VNCコンソールで接続した状態で細工を施したbitblt命令を実行させることで、ヒープバッファオーバーフローを発生させ、任意のコードの実行・DoSなどを引き起こすことが可能でした。
  • CVE-2008-5714は、KVM-QEMUの問題で、VNCのパスワード認証を行う際、8文字目を無視してしまう問題です。これによりパスワードの強度が想定よりも下がってしまっています。
  • 対処方法:アップデータを適用した上で、KVMベースの仮想マシンを再起動してください。
usn-775-1:Quaggaのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-May/000902.html
  • 現在サポートされている全てのUbuntu(Ubuntu 6.06 LTS・8.04 LTS・8.10・9.04)用のアップデータがリリースされています。CVE-2009-1572を修正します。
  • CVE-2009-1572は、Quaggaが4byte ASNを含むASNパスを処理する際の問題で、悪意ある細工を施したデータを送付することでbgpdをクラッシュさせることができるものです。この攻撃には、攻撃元が認証を通過していることが条件です。
  • 対処方法:通常の場合、アップデートを行うことでこの問題を解決できます。

おすすめ記事

記事・ニュース一覧