9.10関連
リリースまであと4ヶ月
以降、
- 7/
23:Alpha 3 - 8/
13:Alpha 4 - 8/
27:Feature Freeze・ アートワークのインポート開始 - 9/
3:Alpha 5 - 9/
10:User Interface Freeze - 9/
24:Beta Freeze - 10/
1:Betaリリース・ Document String Freeze - 10/
15:Non Language Pack Translation Deadline - 10/
22:RCリリース 兼 Language Pack Translation Deadline - 10/
29:Ubuntu 9. 10 "Karmic Koala"
毎リリースにおいて、
OpenOffice.orgの日本語環境改善拡張機能
OpenOffice.
Ubuntu環境の場合も、
Firefox 3.5
Windows・
Firefox 3.
ただし、
9.
Ubuntu Weekly Newsletter #148
Ubuntu Weekly Newsletter #148がリリースされています。
Full Circle Magazine #26
Ubuntuに関する記事を集めた月刊のWebマガジンであるFull Circle Magazineの26号がリリースされました。主な内容は次の通りです。
- ターミナル操作のすすめ。今回はターミナルから操作するメディアプレイヤークライアント、
MOCと、 IRCクライアントのIRSSIの紹介です。 - HowTo: Inkscapeの紹介の第三回。今回はInscapeを使って、
ちょっと凶暴そうな犬のイラストを描きます。 - HowTo: VirtualBoxの使い方。Ubuntuを、
Windows上で動かしたVirtualBoxのゲストOSとして利用する方法についてです。 - HowTo: 複数台のPCを利用する際、
apt-cacherを使うことでアップデートを効率良く行う方法。 - 体験談
(My Story) : OS無しのノートPCを購入後、 Ubuntu 8. 04を導入して 「使える」 状態になるまで。 - レビュー: HTTrackによるオフラインブラウジング
- MOTUであるStefan Ebner
(irc:sebner) さんへのインタビュー - などなど
より詳しい内容は原文を参照してください。紹介のたびに書いていますが、
その他のニュース
- プリインストールされたWindowsの代金を返金してもらった人の事例。
- ksplice
(Kernelを再起動せずにパッチを当てられる、 *大変すばらしい*ものの*誰も積極的にはメインラインカーネルにマージしようとしない*パッチ) を9. 04で試した 話。 - QEMUのBTSがLPにやってきました。
- UbuntuにおけるMONOの位置づけに関するアナウンス。要約すると、
「MONOをベースにしたアプリケーションであっても、 他のアプリケーションと同じように扱う。MONOベースであることをもって拒否することはない」 「デスクトップ版を含めた、 多くのUbuntu RemixでMONOは用いられており、 それを拒絶することは行わない」 「特許上の問題が起きた場合、 真摯に対応する用意がある」 となります。
今週のセキュリティアップデート
Thunderbirdのアップデータがリリースされています。メーラーとして利用されている方はアップデートを適用し、
- usn791-1:Moodleのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-June/ 000920. html - Ubuntu 8.
04LTS・ 8. 10用のアップデータがリリースされています。CVE-2007-3215, CVE-2008-4796, CVE-2008-4810, CVE-2008-4811, CVE-2008-5153, CVE-2008-5432, CVE-2008-5619, CVE-2008-6124, CVE-2009-0499, CVE-2009-0500, CVE-2009-0501, CVE-2009-0502, CVE-2009-1171, CVE-2009-1669 を修正します。 - CVE-2007-3215は、
Moodleが利用するPHPMailerがEメールアドレスを適切にデコードしないことによる問題で、 Eメールを送信する権限を持ったユーザーが、 Webサーバ (通常はApacheのwww-data) の権限で任意のコマンドを実行できる問題です。 - CVE-2008-4796は、
HTTPSスキーマで始まるURLを取得する際に、 不適切なシェルメタキャラクタを正しく除去しないことにより、 curlコマンドが問題です。これにより、 Moodleにアカウントを持つユーザーが不正なHTTPSサーバーへ誘導することで、 Webサーバ (通常はApacheのwww-data) の権限で任意のOSコマンドを実行できる問題です。脆弱性の詳細はJVNDB-2008-000074を参照してください。 - CVE-2008-4810, CVE-2008-4811, CVE-2009-1669は、
いずれもMoodleに含まれるSmartyの問題で、 入力に含まれる文字列を正しく検証しないことにより、 Webサーバ (通常はApacheのwww-data) の権限で任意のPHPコード、 もしくは限定的なOSコマンドを実行されうる問題です。CVE-2009-1669のみ、 usn-791-3の記述も参照してください。 - CVE-2008-5153はスペルチェッカのバグによるローカルファイルの上書きの可能性を、
CVE-2008-5432はWikiページのクロスサイトスクリプティングの問題です。 - CVE-2008-5619, CVE-2009-0500, CVE-2009-0502はいずれも
「Login as」 欄に出力されるユーザー名を正しくエスケープ処理しない問題です。これによりクロスサイトスクリプティングを発生させ、 JavaScriptを埋め込む等の方法により、 同一ドメインにある別サイトが存在する場合にCookie等の情報を不正に読み取ることが可能になります。 - CVE-2008-6124は、
HotPotモジュールが入力値を適切にエスケープしないことにより発生するSQLインジェクションです。 - その他、
複数の (大量の) 脆弱性を修正します。詳細はUSNのオリジナルアドバイザリを参照してください。 - 対処方法:アップデータを適用した上で、
Moodleインスタンスに接続し、 不適切なデータのキャッシュをクリアしてください。 - 備考:Ubuntu 9.
04向けのアップデータはusn-791-2としてリリースされています。
- https://
- usn-791-2:Moodleのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-June/ 000921. html - Ubuntu 9.
04用のアップデータです。CVE-2009-1171を修正します。usn-791-1に相当するこれ以外の脆弱性は9. 04のMoodleではすでに修正済みです。 - CVE-2009-1171は、
Moodleが備えるTeX出力フィルタが、 外部から入力されたTeXファイルの書式を完全にチェックしないため、 不正なTeXファイルを作成・ 入力することで任意のTeX関数を実行できてしまう問題です。これによりWebサーバ (通常はApacheのwww-data) の権限で任意のファイルの読み取り・ 書き込みが可能です。 - 対処方法:アップデータを適用した上で、
Moodleインスタンスに接続し、 不適切なデータのキャッシュをクリアしてください。 - 備考:Moodleが暗黙で利用するSmartyのアップデートも必要です。usn-791-3もあわせて確認してください。
- https://
- usn-791-3:Smartyのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-June/ 000922. html - Ubuntu 9.
04用のアップデータがリリースされています。CVE-2009-1669を修正します。 - CVE-2009-1669は、
Smartyのmath関数が入力を適切に解釈しないため、 OSコマンドが実行可能な問題です。サイトの設定に依存しますが、 攻撃コードがすでに存在します。 - 対処方法:通常の場合、
アップデートのみで問題を解決できます。ただし、 mod_ phpなどによりコードがキャッシュされる仕組みを利用している場合は、 これらのキャッシュをクリアするためにWebサーバープロセスを再起動した方がよいでしょう。
- https://
- usn-792-1:OpenSSLのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-June/ 000923. html - 現在サポートされている全てのUbuntu
(6. 06LTS・ 8. 04LTS・ 8. 10・ 9. 04) 用のアップデータがリリースされています。CVE-2009-1377, CVE-2009-1378, CVE-2009-1379, CVE-2009-1386, CVE-2009-1387を修正します。いずれもDTLSに関連する脆弱性です。 - CVE-2009-1377は、
DTLSの処理上、 基準時間を未来にしたデータを送付した際にメモリ上にストアする容量を制限していない問題です。DTLSを用いてサービスをホストするサーバー環境において、 攻撃者が意図的に改ざんしたデータを送出し続け、 この処理を繰り返し発生させることで、 メモリを使い尽くす形のDoSを行うことが可能です。 - CVE-2009-1378もDTLSの処理上の問題で、
同じシーケンス番号のメッセージをメモリ上にストアし続けてしまうことにより、 攻撃者が意図的に改ざんした過大なデータを送り込むことでメモリを使い尽くす形のDoSを行うことが可能なものです。この問題もサーバーとして動作する場合に影響します。 - CVE-2009-1386もDTLSの問題で、
これもサーバーとして動作している場合に影響します。本来送付されるべきでない早期にchange cihper specリクエストが送付されてきた場合、 ヌルポインタへのアクセスによってクラッシュします。攻撃者が意図的にパケットを送付することで、 容易にDoSが行えると考えられます。 - CVE-2009-1379もDTLSの問題ですが、
クライアント側として機能する場合の問題です。DTLSによる通信中にx509v3エクステンションのついた証明書を検証する際、 ポインタをfreeした後にアクセスするため、 クライアントがクラッシュします。これはDoSとしてのセキュリティ上のリスクより、 x509v3エクステンションを利用した証明書を利用できないアプリケーションバグとして深刻です。 - CVE-2009-1387もDTLSの問題で、
サーバー・ クライアントの双方で影響を受ける可能性があります。ハンドシェイク処理上、 不当なメッセージ番号を持ったパケットを受け取った場合、 処理を継続していく過程でヌルポインタへのアクセスによるクラッシュが発生します。ただし、 DoSの意味があるのはサーバーとして利用している場合がほとんどと考えられます。 - 備考:CVE-2009-1386・
CVE-2009-1379・ CVE-2009-1387は無効なポインタへのアクセスによるクラッシュです。きわめて限定的な状況を構成できれば任意のコード実行が可能かもしれませんが、 OpenSSLの動作を考慮するとほぼDoSとしてのみ機能します。 - 対処方法:アップデータを適用した上で、
システムを再起動してください。
- https://
- usn-782-1:Thunderbirdのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-June/ 000924. html - Ubuntu 8.
04 LTS・ 8. 10・ 9. 04向けのアップデータがリリースされています。Thunderbird 2. 0.0. 22へのアップグレードです。CVE-2009-1303, CVE-2009-1305, CVE-2009-1306, CVE-2009-1307, CVE-2009-1308, CVE-2009-1309, CVE-2009-1392, CVE-2009-1833, CVE-2009-1836, CVE-2009-1838, CVE-2009-1841を修正します。 - 詳細な情報はThunderbird 2.
0.0. ならびに、22のリリース情報 CVE-2009-1306に対応するMFSA2009-16、 CVE-2009-1308に対応するMFSA2009-18、 CVE-2009-1309に対応するMFSA2009-19を参照してください。 - 対処方法:アップデータを適用した上で、
Thunderbirdを再起動してください。
- https://