Ubuntu Weekly Topics

2009年8月28日号NetWalker PC-Z1、9.10のFeature Freeze・Encrypted swapのサポート・単位系の統一・UWN#156・Chromiumのx64サポート

NetWalker PC-Z1

シャープ株式会社から、NetWalker PC-Z1というUbuntuを搭載した小型デバイスがリリースされました。Linux Zaurusや電子辞書に近い大きさの(Zaurusや電子辞書よりは大柄な)ARM端末です。

Freescale i.MX51等を利用しているため、構成部品のレベルでは「スマートブック」「ネットブック」のカテゴリに含まれるデバイスとなり、アーキテクチャこそARMであるものの、フル機能のUbuntuが利用可能です。大きさからはMID(Mobile Internet Device)または「インターネットタブレット」に分類されるものですので、⁠フル機能のUbuntuが使えるMID」という、Ubuntuユーザーから見れば破格の高機能ガジェットです。

主な仕様は次の通りです。

  • OS: ARM版Ubuntu 9.04
  • CPU: Freescale i.MX515
  • Memory: 512MB
  • Storage: 4GB SSD
  • Display: タッチパネル付5型WSVGA(1024x600)
  • Keyborad: 68Keys
  • Network: Wirelss LAN(IEEE802.11b/g)
  • USB: USB2.0 TypeAx1, miniABx1(USB OTG not support)
  • 重量409g
  • マウスの代わりとしてオプティカルポイント(光学式ポインティングデバイス)を搭載

発売日は9月25日です(色によっては10月以降となります⁠⁠。

9.10のFeature Freeze

現地時間の8月27日(木⁠⁠、9.10のFeature Freezeが行われ、9.10の基本仕様が確定しました[1]⁠。以降、9月24日のBetaFreezeまでの間に「追い込み」にあたる実装が行われ、10月1日にはBetaが、そして10月22日にRCがリリースされる予定です。直近では、9月3日・9月17日にAlpha5・Alpha6がそれぞれリリースされる予定です。

なお、現時点では2009年5月8日号で紹介した機能は一部の例外を除いてOn Scheduleとなっています[2]⁠。

期待の機能の一つである、シャットダウン時にアップデータを適用する機能が、⁠this work cannot be completed in time for the 9.10 Feature Freeze」などと『Feature Freezeには間に合わないのでExceptionするよ』という宣言をしているあたりに不安を感じるかもしれませんが、Foundation TeamのWeekly Summaryを見る限りは順調そうなので、おそらくリリースには間に合うでしょう。

また、先日リリースされたAlpha4のスクリーンショットをまとめたblog記事が以下にあります。Alpha5?6にかけて新デザインが投入されるため、最終的なデザインとは異なりますが、試す環境がない方は確認してみてください。

Encrypted swap

以前のUbuntuから、⁠ホームディレクトリを暗号化する」機能として『Encrypted Home Directory』が提供されていました。これはログイン時のパスワードを鍵としてホームディレクトリをAESで暗号化しておき、⁠PCの紛失時などに)第三者にホームディレクトリの中身を見れなくする、という機能です。

9.10からはDesktop CDでこの機能を有効にしてインストールした場合、⁠Encrypted swap」⁠その名の通り、swap領域を暗号化する機能) 有効になる見込みです。Alpha4のDesktop CDで試す場合は、起動時のオプションとして「user-setup/encrypt-home=true」が必要です。

単位系の再検討

Ubuntuのインストーラやパーティション・エディタでは、容量の単位として「ギビバイト」⁠メビバイト」注3が使われてきています(Base-2 prefix names⁠⁠。しかし、⁠ギビバイト」⁠メビバイト」ともに一般的に使われる単位ではないので、かえって誤解を招くこと[4]や、単位系が統一されていない、といった問題が発生していました。

そこで、一般的に利用される「ギガバイト」⁠メガバイト」⁠SI base-10 prefix names)を利用するべきではないのか、という検討がTechnical Boardで行われています。

現時点では具体的な結論には至っておらず、⁠現状ではぐちゃぐちゃ(mess)なので整理しないといけない」という方向で、必要な検討材料を集めはじめた、という段階です。結論がどのような形になるかは不明ですが、少なくとも現状の混乱はある程度解決することが期待できるでしょう。

Ubuntu Weekly Newsletter #156

Ubuntu Weekly Newsletter#156がリリースされています。

その他のニュース

今週のセキュリティアップデート

usn-809-1:GnuTLSのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-August/000954.html
  • 現在サポートされている全てのUbuntu(6.06 LTS・8.04 LTS・8.10・9.04)用のアップデータがリリースされています。CVE-2009-2409, CVE-2009-2730と、usn-678-1usn-678-2に伴うバグを修正します。
  • CVE-2009-2730は、CVE-2009-2666などと同様にCNにNULL文字を含む証明書の検証ルーチンの問題です。8月21日号のCVE-2009-2666の説明を参照してください。
  • CVE-2009-2409は、⁠すでに危殆化している)MD2ハッシュを用いて署名された証明書を信頼チェインに含めてしまうことにより、証明書の偽造が現実的に可能になりうる問題です。
  • usn-678-1usn-678-2の修正に伴い、適切な証明書を誤って不正なものとして取り扱ってしまうバグが生じていました。このバグは6.06 LTS・8.10のみに影響します。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
  • 備考:この修正以降、MD2ハッシュのみで検証可能な証明書ならびに中間証明書を含む信頼チェインは、無効なものとして取り扱われます。また、RSA鍵のハッシュにMD5のみが利用されている証明書・中間証明書も同様に無効なものとして扱われます。これは他のSSL実装と同様ですが、何らかの理由で古い形式の証明書が利用されている場合、SSL/TLS接続に問題が生じる可能性があります。アップデート後に証明書検証の問題が発生した場合、証明書の形式やサイン方式を確認してください。
usn-820-1:Pidginのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-August/000955.html
  • デスクトップ向けサポートが提供されている全てのUbuntu(8.04 LTS・8.10・9.04)向けのアップデータがリリースされています。CVE-2009-2694を修正します。
  • CVE-2009-2694は、pidginに含まれるMSNプロトコルエンジンの問題で、細工を施したMSNメッセージを送付することで、pidginをクラッシュさせることが可能な問題です。NULLポインタ参照を伴うため、一定の条件を仮定すれば、理論上は任意のコードの実行も可能です。
  • 対処方法:通常の場合、アップデータを適用した上でPidginを再起動することで問題を解決できます。
usn-817-1:Thunderbirdのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-August/000956.html
  • デスクトップ向けサポートが提供されている全てのUbuntu(8.04 LTS・8.10・9.04)向けのアップデータがリリースされています。詳細情報が公開されていない脆弱性を修正します。
  • JavaScriptが有効な場合に、Thunderbirdのレンダリングエンジンがクラッシュする問題がありました。Mozilla Foundationの2.0.0.23のリリースノートには含まれていません。usn-817-1ではこの問題を修正します。
  • 対処方法:アップデータを適用した上でThunderbirdを再起動してください。
usn-822-1:KDE-Libsのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-August/000957.html
  • デスクトップ向けサポートが提供されている全てのUbuntu(8.04 LTS・8.10・9.04)向けのアップデータがリリースされています。CVE-2009-0945, CVE-2009-1687, CVE-2009-1690, CVE-2009-1698を修正します。
  • CVE-2009-0945は、KDE-Libsに含まれるSVG表示ルーチンの問題で、NULLポインタ参照が発生する問題です。アプリケーションのクラッシュならびに、困難ながら任意のコードの実行の可能性があります。
  • CVE-2009-1687は、KDE-Libsに含まれるWebkitのJavaScriptエンジンの問題で、メモリの割り当てに失敗した場合に、NULLポインタ参照が発生する問題です。これにより、該当するアプリケーションのクラッシュ、または任意のコードの実行が可能です。ほとんどの場合はKonqueror経由で影響を受けると推定されます。
  • CVE-2009-1690CVE-2009-1698は、KDE-Libsに含まれるWebkitのHTMLパーサ・CSSパーサの問題で、HTMLのheadエレメントの取り扱いCVE-2009-1690⁠・CSSのパース処理CVE-2009-1698に問題があり、該当するアプリケーションのクラッシュ、または任意のコードの実行が可能です。DoSを発生させるサンプルコードがそれぞれCVE-2009-1690CVE-2009-1698存在します。ほとんどの場合はKonqueror経由で影響を受けると推定されます。
  • 対処方法:アップデータを適用した上で、セッションを再起動(一度ログアウトしてから再度ログイン)してください。
usn-823-1:KDE-Graphicsのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-August/000958.html
  • Ubuntu 8.04 LTS用のアップデータがリリースされています。CVE-2009-0945, CVE-2009-1709を修正します。
  • CVE-2009-0945, CVE-2009-1709はいずれもKDE-Graphihcsに含まれるSVG表示ルーチンの問題で、NULLポインタ参照が発生する問題です。アプリケーションのクラッシュならびに、困難ながら任意のコードの実行の可能性があります。
  • 対処方法:アップデータを適用した上で、セッションを再起動(一度ログアウトしてから再度ログイン)してください。
  • 備考:CVE-2009-0945は8.10・9.04環境ではKDE-Libsに含まれる問題です。また、CVE-2009-1709の問題はKDE3のコードにのみ影響します。8.10・9.04ではKDE4のみが採用されているため、この問題の影響を受けません。問題の多くはKonquerer(ブラウザ)などで、外部にある画像を表示させるアプリケーションで発生するでしょう。
usn-824-1:PHPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-August/000959.html
  • 現在サポートされている全てのUbuntu(6.06 LTS・8.04 LTS・8.10・9.04)用のアップデータがリリースされています。CVE-2009-2687を修正します。
  • CVE-2009-2687は、PHPに含まれるexif_read_data()関数の問題で、壊れた・あるいは不正なEXIFデータが含まれたJPEG画像ファイルを開くことでPHPプロセスがクラッシュする問題です。詳細は{http://bugs.php.net/bug.php?id=48378 PHP Bugs#48378}を参照してください。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-825-1:libvorbisのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-August/000960.html
  • デスクトップ向けサポートが提供されている全てのUbuntu(8.04 LTS・8.10・9.04)向けのアップデータがリリースされています。CVE-2009-2663ならびにusn-682-1で行われた修正に伴うバグを修正します。
  • CVE-2009-2663は、libvorbisがOggファイルをデコードする際の問題で、悪意ある細工が施されたOggファイルを読み込ませることで、アプリケーションのクラッシュ、または任意のコードを実行できる可能性があるものです。この問題はFirefox/ThunderbirdではMFSA2009-045の一部に含まれており、UbuntuのFirefox・Thunderbirdではusn-811-1usn-817-1として解決済みです。
  • usn-682-1で行われたCVE-2008-1420の修正により、libvorbis 1.0beta1でエンコードされたファイルが再生できなくなっていました。
  • 対処方法:アップデータを適用した上で、libvorbisを利用するアプリケーションを再起動してください。Vorbis(ogg)を再生することが可能なアプリケーションの多くはlibvorbisを利用しているでしょう。典型的なアプリケーションはtotemやgtkpodです。

おすすめ記事

記事・ニュース一覧