Ubuntu Weekly Topics

2009年7月3日号9.10のDebian Import Freeze・OpenOffice.orgの日本語環境改善拡張機能・Firefox 3.5・UWN#148・Full Circle Magazine #26

9.10関連

リリースまであと4ヶ月(開発作業の大半はベータ時点で完了するので、実質あと3ヶ月)となった9.10ですが、6月25日にDebian Import Freezeが実施されました。以降、Debian sidからのパッケージのインポートは、バグ登録によるリクエストベースとなります(逆に言えば、リクエストがなければuniverseにあるパッケージは既に9.10のリリース時点のものとほぼ同じ状態になっています⁠⁠。

以降、次のようなスケジュールで開発が進められます。

  • 7/23:Alpha 3
  • 8/13:Alpha 4
  • 8/27:Feature Freeze・アートワークのインポート開始
  • 9/3:Alpha 5
  • 9/10:User Interface Freeze
  • 9/24:Beta Freeze
  • 10/1:Betaリリース・Document String Freeze
  • 10/15:Non Language Pack Translation Deadline
  • 10/22:RCリリース 兼 Language Pack Translation Deadline
  • 10/29:Ubuntu 9.10 "Karmic Koala"

毎リリースにおいて、Alpha2後半からBetaまでの時期(つまり、今頃から9月末まで)はいわゆる「人柱仕様」ですので、試す場合にはよく検討するようにしてください。ただし、アルファ版やベータ版という単語に思わず惹かれてしまう方には、大変楽しい環境のはずです。たとえば、Karmicのカーネルは2.6.31になることがほぼ確定しているのですが[1]⁠、日々、元気にアップデートがかかっています。

OpenOffice.orgの日本語環境改善拡張機能

OpenOffice.orgの日本語関連のデフォルト設定を改善する、日本語環境改善拡張機能がリリースされています。

Ubuntu環境の場合も、拡張機能ファイルをダウンロードし、デスクトップ上でダブルクリックすればインストールすることが可能です。

Firefox 3.5

Windows・Linux・OS Xなどの環境で利用できるブラウザ、Firefoxの3.5がリリースされました。

Firefox 3.5が正式にUbuntuに含まれるのは、10月リリースの9.10からです。Ubuntuのリリース版のユーザーにとっては、3.5は少しの間「おあずけ」です。

ただし、どうしても今すぐにFirefox 3.5を使いたい場合、PPAを利用することでインストールできます(直接バイナリを落として導入するのはパッケージの整合性を破壊する可能性があり、システムを壊してしまう危険があるので、PPAを使ってインストールしてください⁠⁠。

9.04を使っている場合はUbuntu Mozilla Security TeamのPPAを使うことで、リリース版をインストールすることが可能です。8.10・8.04の場合はUbuntu Mozilla Daily Build TeamのPPAを用いてください(9.04でもUbuntu Mozilla Daily Build TeamのPPAを使うことができますが、より良くテストされていることが期待できるUbuntu Mozilla Security TeamのPPAを使ってください⁠⁠。

Ubuntu Weekly Newsletter #148

Ubuntu Weekly Newsletter #148がリリースされています。

Full Circle Magazine #26

Ubuntuに関する記事を集めた月刊のWebマガジンであるFull Circle Magazineの26号がリリースされました。主な内容は次の通りです。

  • ターミナル操作のすすめ。今回はターミナルから操作するメディアプレイヤークライアント、MOCと、IRCクライアントのIRSSIの紹介です。
  • HowTo: Inkscapeの紹介の第三回。今回はInscapeを使って、ちょっと凶暴そうな犬のイラストを描きます。
  • HowTo: VirtualBoxの使い方。Ubuntuを、Windows上で動かしたVirtualBoxのゲストOSとして利用する方法についてです。
  • HowTo: 複数台のPCを利用する際、apt-cacherを使うことでアップデートを効率良く行う方法。
  • 体験談(My Story): OS無しのノートPCを購入後、Ubuntu 8.04を導入して「使える」状態になるまで。
  • レビュー: HTTrackによるオフラインブラウジング
  • MOTUであるStefan Ebner(irc:sebner)さんへのインタビュー
  • などなど

より詳しい内容は原文を参照してください。紹介のたびに書いていますが、Full Circle Magazineは平易な英語で書かているため、日本人でもあまり問題なく読めるはずです。

その他のニュース

  • プリインストールされたWindowsの代金を返金してもらった人の事例。
  • ksplice(Kernelを再起動せずにパッチを当てられる、*大変すばらしい*ものの*誰も積極的にはメインラインカーネルにマージしようとしない*パッチ)9.04で試した話。
  • QEMUのBTSがLPにやってきました
  • UbuntuにおけるMONOの位置づけに関するアナウンス。要約すると、⁠MONOをベースにしたアプリケーションであっても、他のアプリケーションと同じように扱う。MONOベースであることをもって拒否することはない」⁠デスクトップ版を含めた、多くのUbuntu RemixでMONOは用いられており、それを拒絶することは行わない」⁠特許上の問題が起きた場合、真摯に対応する用意がある」となります。

今週のセキュリティアップデート

Thunderbirdのアップデータがリリースされています。メーラーとして利用されている方はアップデートを適用し、Thunderbirdを一度終了させてください。また、OpenSSLのアップデータがリリースされていますが、DTLS通信関連のアップデータですので、大抵の環境では影響はありません。

usn791-1:Moodleのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-June/000920.html
  • Ubuntu 8.04LTS・8.10用のアップデータがリリースされています。CVE-2007-3215, CVE-2008-4796, CVE-2008-4810, CVE-2008-4811, CVE-2008-5153, CVE-2008-5432, CVE-2008-5619, CVE-2008-6124, CVE-2009-0499, CVE-2009-0500, CVE-2009-0501, CVE-2009-0502, CVE-2009-1171, CVE-2009-1669 を修正します。
  • CVE-2007-3215は、Moodleが利用するPHPMailerがEメールアドレスを適切にデコードしないことによる問題で、Eメールを送信する権限を持ったユーザーが、Webサーバ(通常はApacheのwww-data)の権限で任意のコマンドを実行できる問題です。
  • CVE-2008-4796は、HTTPSスキーマで始まるURLを取得する際に、不適切なシェルメタキャラクタを正しく除去しないことにより、curlコマンドが問題です。これにより、Moodleにアカウントを持つユーザーが不正なHTTPSサーバーへ誘導することで、Webサーバ(通常はApacheのwww-data)の権限で任意のOSコマンドを実行できる問題です。脆弱性の詳細はJVNDB-2008-000074を参照してください。
  • CVE-2008-4810, CVE-2008-4811, CVE-2009-1669は、いずれもMoodleに含まれるSmartyの問題で、入力に含まれる文字列を正しく検証しないことにより、Webサーバ(通常はApacheのwww-data)の権限で任意のPHPコード、もしくは限定的なOSコマンドを実行されうる問題です。CVE-2009-1669のみ、usn-791-3の記述も参照してください。
  • CVE-2008-5153はスペルチェッカのバグによるローカルファイルの上書きの可能性を、CVE-2008-5432はWikiページのクロスサイトスクリプティングの問題です。
  • CVE-2008-5619, CVE-2009-0500, CVE-2009-0502はいずれも「Login as」欄に出力されるユーザー名を正しくエスケープ処理しない問題です。これによりクロスサイトスクリプティングを発生させ、JavaScriptを埋め込む等の方法により、同一ドメインにある別サイトが存在する場合にCookie等の情報を不正に読み取ることが可能になります。
  • CVE-2008-6124は、HotPotモジュールが入力値を適切にエスケープしないことにより発生するSQLインジェクションです。
  • その他、複数の(大量の)脆弱性を修正します。詳細はUSNのオリジナルアドバイザリを参照してください。
  • 対処方法:アップデータを適用した上で、Moodleインスタンスに接続し、不適切なデータのキャッシュをクリアしてください。
  • 備考:Ubuntu 9.04向けのアップデータはusn-791-2としてリリースされています。
usn-791-2:Moodleのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-June/000921.html
  • Ubuntu 9.04用のアップデータです。CVE-2009-1171を修正します。usn-791-1に相当するこれ以外の脆弱性は9.04のMoodleではすでに修正済みです。
  • CVE-2009-1171は、Moodleが備えるTeX出力フィルタが、外部から入力されたTeXファイルの書式を完全にチェックしないため、不正なTeXファイルを作成・入力することで任意のTeX関数を実行できてしまう問題です。これによりWebサーバ(通常はApacheのwww-data)の権限で任意のファイルの読み取り・書き込みが可能です。
  • 対処方法:アップデータを適用した上で、Moodleインスタンスに接続し、不適切なデータのキャッシュをクリアしてください。
  • 備考:Moodleが暗黙で利用するSmartyのアップデートも必要です。usn-791-3もあわせて確認してください。
usn-791-3:Smartyのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-June/000922.html
  • Ubuntu 9.04用のアップデータがリリースされています。CVE-2009-1669を修正します。
  • CVE-2009-1669は、Smartyのmath関数が入力を適切に解釈しないため、OSコマンドが実行可能な問題です。サイトの設定に依存しますが、攻撃コードがすでに存在します。
  • 対処方法:通常の場合、アップデートのみで問題を解決できます。ただし、mod_phpなどによりコードがキャッシュされる仕組みを利用している場合は、これらのキャッシュをクリアするためにWebサーバープロセスを再起動した方がよいでしょう。
usn-792-1:OpenSSLのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-June/000923.html
  • 現在サポートされている全てのUbuntu(6.06LTS・8.04LTS・8.10・9.04)用のアップデータがリリースされています。CVE-2009-1377, CVE-2009-1378, CVE-2009-1379, CVE-2009-1386, CVE-2009-1387を修正します。いずれもDTLSに関連する脆弱性です。
  • CVE-2009-1377は、DTLSの処理上、基準時間を未来にしたデータを送付した際にメモリ上にストアする容量を制限していない問題です。DTLSを用いてサービスをホストするサーバー環境において、攻撃者が意図的に改ざんしたデータを送出し続け、この処理を繰り返し発生させることで、メモリを使い尽くす形のDoSを行うことが可能です。
  • CVE-2009-1378もDTLSの処理上の問題で、同じシーケンス番号のメッセージをメモリ上にストアし続けてしまうことにより、攻撃者が意図的に改ざんした過大なデータを送り込むことでメモリを使い尽くす形のDoSを行うことが可能なものです。この問題もサーバーとして動作する場合に影響します。
  • CVE-2009-1386もDTLSの問題で、これもサーバーとして動作している場合に影響します。本来送付されるべきでない早期にchange cihper specリクエストが送付されてきた場合、ヌルポインタへのアクセスによってクラッシュします。攻撃者が意図的にパケットを送付することで、容易にDoSが行えると考えられます。
  • CVE-2009-1379もDTLSの問題ですが、クライアント側として機能する場合の問題です。DTLSによる通信中にx509v3エクステンションのついた証明書を検証する際、ポインタをfreeした後にアクセスするため、クライアントがクラッシュします。これはDoSとしてのセキュリティ上のリスクより、x509v3エクステンションを利用した証明書を利用できないアプリケーションバグとして深刻です。
  • CVE-2009-1387もDTLSの問題で、サーバー・クライアントの双方で影響を受ける可能性があります。ハンドシェイク処理上、不当なメッセージ番号を持ったパケットを受け取った場合、処理を継続していく過程でヌルポインタへのアクセスによるクラッシュが発生します。ただし、DoSの意味があるのはサーバーとして利用している場合がほとんどと考えられます。
  • 備考:CVE-2009-1386CVE-2009-1379CVE-2009-1387は無効なポインタへのアクセスによるクラッシュです。きわめて限定的な状況を構成できれば任意のコード実行が可能かもしれませんが、OpenSSLの動作を考慮するとほぼDoSとしてのみ機能します。
  • 対処方法:アップデータを適用した上で、システムを再起動してください。
usn-782-1:Thunderbirdのセキュリティアップデート

おすすめ記事

記事・ニュース一覧