9.10のAlpha2
Ubuntu 9.
現時点で期待される新機能としては、
- usb-creatorの非Linux環境向けバージョン
(おもにWindows版とOS X版) - ARM関連の機能強化
- Android互換機能
- KMSのサポート
- Eucalyptusのmainリポジトリ収容
- 積極的なSuspend/
Hivernate利用による低消費電力サーバー - Gnome3のサポート開始
こうした大きな目標を含めて、
GRUB2への移行
9.
- 新規インストール時のブートローダーとしてGRUB2を利用。
- インストール済み環境における、
GRUB1からGRUB2への移行。 - 将来的な
(10. 04で?) GRUB1サポートの終了。
この移行計画に基づいて作業を進めることになりますが、
Linux Kernel 2.6.30のリリースとTOMOYO Linux(LSM版)のサポート
Karmicで採用される予定のLinux Kernel 2.
目立った新機能はkernelnewbies.
また、
なお、
9.10・10.04の起動速度
Ubuntuでは9.
9.
なお、
Ubuntu Weekly Newletter #145
Ubuntu Weekly Newsletterの#145がリリースされています。日本語版も公開予定です。『うぶんちゅ!』の各国語版
以前にお伝えした
その他のニュース
- Google ChromeのLinux版の開発者向けプレビュー版がリリースされています。バイナリを開発者向けサイトから入手することができます。
- 今週のチュートリアル。
『Create a FTP server with user access (proftpd)』 (ユーザーが利用可能なFTPサーバーの構築方法・ proftpd編) - Launchpadで翻訳作業を行っている人向けの調査。
- 9.
10で行われる、 アーカイブ構造の変更について。Ubuntuの開発作業やリポジトリ管理上、 main/ restricted/ universe/ multiverseという区切りから、 もう少し細かな区切りが導入される予定です。現時点では開発者にしか影響しませんが、 いずれ情報が確定した段階であらためてお伝えする予定です。
今週のセキュリティアップデート
今週は
特にeCryptfsを利用した暗号化ディレクトリを利用している場合、
また、
- usn-780-1:cupsのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-June/ 000907. html - 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04) 用のアップデータがリリースされています。CVE-2009-0949を修正します。 - CVE-2009-0949は、
cupsの処理上、 IPP_ TAG_ UNSUPPORTEDパラメータの処理に問題があり、 cupsdがヌルポインタ参照によってクラッシュする問題です。 - 対処方法:通常の場合、
アップデータの適用だけで問題を解決できます。
- https://
- usn-781-1:Pidginのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-June/ 000909. html - Ubuntu 8.
04 LTS・ 8. 10・ 9. 04用のアップデータがリリースされています。CVE-2009-1373, CVE-2009-1374, CVE-2009-1375, CVE-2009-1376を修正します。 - CVE-2009-1373は、
Pidgin上に実装されているJabberのファイル転送プロトコルXMPPに問題があり、 転送処理の開始時に不正なパケットを送り込むことで、 バッファオーバーフローを発生させることが可能な問題です。これによりファイル転送の相手のコンピューター上での不正なコードの実行や、 Pidginのクラッシュを発生させることが可能です。 - CVE-2009-1374は、
QQ (主に中国で利用されているインスタントメッセンジャーのプロトコル) に問題があり、 受け取ったパケットの種別を判定するためにdecrypt_ out()を行った際にバッファオーバーフローが発生します。ただし、 このオーバーフローはスタックバッファ上に発生し、 かつ8バイトに限定されるため 、影響はクラッシュに限定されると考えられます。これによりPidginのクラッシュを発生させることが可能です。この問題は8. 10・ 9. 04にのみ影響します。 - CVE-2009-1375は、
Pidginが利用するlibpurpleに含まれるリングバッファ (PurpleCircBuffer) の処理に問題があり、 バッファがいっぱいになった状態でデータを保存しようとした際、 誤って以前のデータを上書きしてしまう問題です。これによりデータの意図しない欠損・ 変質やPidginのクラッシュが発生する可能性があります。この機構はXMPPとSametime protocolでのみ利用されています。 - CVE-2009-1376は、
PidginのMSNプロトコルの実装の問題で、 CVE-2008-2927の修正 (Ubuntuではusn-675-1) において、 サイズチェックを行う変数型の取り扱いミスが含まれてしまい、 これによりサイズチェック時に整数オーバーフローが発生する問題です。これにより、 MSNメッセンジャーのサーバーを偽装した上で不正なパケットを送出することで、 リモートのコンピューター上での不正なコードの実行や、 Pidginのクラッシュを発生させることが可能です。 - 対処方法:アップデータを適用した上で、
Pidinを再起動してください。 - 備考:6.
06LTS用に、 同じ問題によりusn-781-2としてGaimパッケージのアップデータが用意されています。GaimはPidginの昔の名称です。 - 備考2:CVE-2009-1376は型変換の問題のため、
64bit環境では発生しません。
- https://
- usn-781-2:Gaimのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-June/ 000908. html - CVE-2009-1373, CVE-2009-1376については、
上述のusn-781-1の記述を参照してください。 - 対処方法:アップデータを適用した上で、
Gaimを再起動してください。
- https://
- usn-783-1:ecryptfs-utilsのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-June/ 000910. html - Ubuntu 9.
04用のアップデータがリリースされています。CVE-2009-1296を修正します。 - CVE-2009-1296は、
eCryptfsを利用した状態でインストールを行った場合、 暗号化ファイルシステムを管理するためのパスワードが記録されたインストールログファイルが、 通常のファイルシステム上に平文で置かれてしまう問題です。これにより、 パスワードの漏洩が生じる可能性があります。より詳細な情報は、 LP#383650を参照してください。 - 対処方法:アップデータを適用することで、
インストールログからパスワード情報が削除されます。
- https://
- usn-784-1:ImageMagickのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-June/ 000911. html - 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04) 用のアップデータがリリースされています。CVE-2009-1882を修正します。 - CVE-2009-1882は、
ImageMagickがTIFFファイルを処理する際の問題で、 XMakeImage()関数実行時にヒープバッファオーバーフローに繋がる整数バッファオーバーフローが発生します。これにより、 悪意ある加工を施したTIFFファイルを開かせることで、 任意のコードの実行、 あるいはImageMagickのクラッシュを発生させることが可能です。 - 対処方法:通常の場合、
アップデータの適用だけで問題を解決できます。
- https://
- usn-785-1:ipsec-toolsのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-June/ 000912. html - 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04) 用のアップデータがリリースされています。CVE-2009-1574, CVE-2009-1632を修正します。 - CVE-2009-1574は、
ipsec-toolsが断片化したパケットを再構築する処理の問題で、 悪意あるパケットが送付された際にヌルポインタ参照が発生するものです。これにより、 リモートからipsec-toolsをクラッシュさせることが可能でした。 - CVE-2009-1632は、
ipsec-tools内の複数の処理において、 メモリを過大消費する可能性がある問題です。これにより、 悪意あるパケットを送付することでメモリ使用量を肥大させ、 サービス不能攻撃を成立させることが可能でした。 - 対処方法:通常の場合、
アップデータの適用だけで問題を解決できます。
- https://
- USN-775-2:Quaggaのバグフィックス