Ubuntu 10.04 LTS “Lucid Lynx”

先週お伝えした「次」のUDSのアナウンスに続いて[1]⁠、9.10の次のリリース、10.04のコードネームがマーク・シャトルワースによって発表されました。

10.04は三度目のLTS[2]となり、“⁠Lucid Lynx⁠”⁠、あるいは慣例として形容詞部分だけを取って“⁠Lucid⁠”と呼ばれることになります。すでにリリーススケジュールも確定しており、Karmicのリリース後、約一ヶ月後の12月3日にはAlpha 1が予定されています。

この発表はAtlanta Linux Fest 2009で行われており、会場で公開されたビデオ映像が公開されています。なお、Atlanta Linux Festで行われたUbuntu関連のトピックスはWorksWithUの記事を参照してください。

“Lynx⁠”（オオヤマネコ）がネコ科の大型肉食獣であるあたり、なにかへの対抗意識を感じなくもないですが、開発のキーワードとなるメッセージとしては、「⁠The lynx likes to keep things in perspective, sticking to high ground. So do we.（Lynxは回りを見渡せる場所に居ることを好み、高い場所に居ようとする。そして、我々もそうする⁠）⁠」⁠、「⁠Speed is an essential ingredient in the attack of a lynx, and speed remains our goal.（スピードはLynxの攻撃の重要な要素である。そして、速度は我々の目標であり続けている⁠）⁠」などが挙げられます。

また、「⁠10秒での起動」も目標として発表レターに含まれており、Jaunty→Karmic→Lucidの3リリースに渡って行われてきた「起動の高速化」は、10.04 LTSでひとまずのゴールを迎えるはずです。

Ubuntu 10.04 LTS “⁠Lucid Lynx⁠”は、来年4月29日にリリースされる予定です。

Hundred Paper cuts round 7～8

10.04のコードネームの宣言の一方、9.10の開発は真の佳境を迎えつつあります。先週の予告通り、9.10の目玉の一つ、Hundred Papar cutsの内容を見ていきましょう。Hundred Paper cutsは、Ubuntuの「ちょっとしたバグ」（⁠すぐに直せそうなバグ）を修正するプロジェクトです。One Hundred Papercutsについては、2009年6月19日号・2009年8月21日号を参照してください。

Round 7

• XDG_DOWNLOAD_DIR（デフォルトのファイルのダウンロード先）が、現状なぜかデスクトップ・フォルダに向いているが、これは「~/Downloads」に向けるべき。
• ホームフォルダにホーム・「⁠Userのホーム⁠」⁠・「⁠ホーム・ディレクトリ」の3つの名称があるので、統一するべき。
• インストール時、既存のOSを残してデュアルブート設定を行う選択肢の表現がわかりにくい。
• デスクトップの壁紙の設定において、「Fill Screen」という表現があるが、これは「Stretch」が正しい。
• 何かの弾みでGNOMEの右側にあるべきアイコンが移動してしまうのを何とかしたい。
• インストール時、「一分以内」などと表示していても、後処理に時間がかかるのでそのような表示はすべきでない。
• Evolutionでだけロケール設定を無視してmm/dd/yyyyフォーマットの日付文字列が使われてしまうため、dd/mm/yyyyやyyyy-mm-ddを使う文化圏のユーザーにとって混乱をまねく。
• 「Filesystem」という表記と「File system」という表記が混在している。
• デスクトップ上で「取り出し」を選択した場合、たとえCDが入っていなくてもトレイを開閉すべき。
• いくつかのKDEアプリケーションで、「Abort Closing」などといった表記が使われているが、これは「Cancel」とすべき。
• 「場所」メニューの各アイテムを他のアイテムにドラッグアンドドロップすると、ショートカットではなくディレクトリ丸ごとがコピーされるのは正しくない。
• 印刷完了通知をNotificationで表示する際、Print job IDではなくファイル名を最初に持ってくるべき。

Round 8

• ログイン画面で表示される時刻表示に、24時間表記でもなぜかAM/PMが表示されている。
• 非常に長いディレクトリを作ってしまうと、ファイルマネージャのアドレスバーに表示されなくなってしまう。
• F-Spotのスクリーンセーバー機能が1秒と立たずに画面を切り替えてしまう。
• USBメモリなどの切断時、取り外しと取り外し拒否に同じアイコンを使っているので分かりにくい。
• ファイルのコピー中、残り時間が判明するまでは小さいウインドウが表示されているのに、残り時間が判明したとたんにウインドウが大きくなるのは望ましくない。
• OOoのデフォルト設定だと、ギャラリーにパスが通っていない。
• ゴミ箱に長いファイル名のファイルを移動させると、異常に横長なダイアログが表示される。
• ログアウト・シャットダウン時に指定したサウンドが再生されない。
• NetworkManagerの「編集」画面で表示されるneverの意味がわからない。
• NetworkManagerの接続候補が表示する選択肢に携帯電話の機種名が含まれているので、メニューが横長になりすぎる。
• KDEのインデクサであるStrigiが、サスペンドやハイバネーション後、延々とNotificationを表示し続ける。

Ubuntu Magazine Japan

株式会社アスキー・メディアワークスより、日本語で読めるUbuntuの専門誌が創刊されることになりました[3]⁠。中身も当然Ubuntuの特集を中心にした、史上初のUbuntu専門誌『Ubuntu Magazine Japan vol.01』は来週火曜日、9月29日に全国の書店で発売予定です。価格は1100円＋税で、特別付録に特製Ubuntuステッカーが付いています。

Ubuntu Weekly Newsletter #160

Ubuntu Weekly Newsletter #160がリリースされています。

その他のニュース

• Launchpad 3.0がリリースされます。
• Ubuntu 9.04にAndroid SDK 1.6をセットアップする方法。
• 9.10で標準から落とされてしまったtp_spapiモジュール（Thinkpad用各種ACPIデバイスドライバ）を導入する方法。
• UbuntuやDebianで自動起動スクリプトを作成するための簡単な方法。
• ACPIで使われるDSDTファイルを必要に応じて置き換える方法。
• Adobe CMAPファイルが3-Clause BSD Licenseで公開されるようになりました。これにより、poppler-dataなどのCMAPデータが含まれるファイルが、将来的に非フリーなパッケージではなくなり、PDFなどの日本語表示がこれまでよりもより『自由』に行えるようになるはずです。

今週のセキュリティアップデート

usn-832-1：freeradiusのセキュリティアップデート

• 8.04 LTSのアップデータがリリースされています。CVE-2009-3111を修正します。
• CVE-2009-3111は、RADIUSデータの特定のアトリビュート値の解釈における問題で、文字列長としてマイナスの値を与えることでradiusdがクラッシュする可能性があります。以前にCVE-2003-0967として報告されていた問題が再発しています。RADIUSベースの認証系を構築しているシステムでは、場合によってはサービスに致命的な結果をもたらす可能性があります。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-833-1：kde4libs・kdelibsのセキュリティアップデート

• 現在デスクトップ向けサポートが提供されている全てのUbuntu（8.04 LTS・8.10・9.04）用のアップデータがリリースされています。CVE-2009-2702を修正します。
• CVE-2009-2702は、X.509証明書のSubject DNにヌル文字が含まれていることにより、ホスト名の検証を適切に実施しない問題です。同種の問題として、2009年8月21日号のCVE-2009-2666の記述を参照してください。
• 対処方法：アップデータを適用した上で、セッションをリスタート（一度ログアウトしてから再ログイン）してください。

usn-834-1：postgresql-8.1・postgresql-8.3のセキュリティアップデート

• 現在サポートされている全てのUbuntu（6.06 LTS・8.04 LTS・8.10・9.04）用のアップデータがリリースされています。CVE-2009-3229, CVE-2009-3230, CVE-2009-3231を修正します。
• CVE-2009-3229は、PostgreSQLのLOADコマンドにおいて、すでにロードされているモジュールを一度アンロードしてから再ロードしてしまう問題です。これにより、LOADコマンドを発行できる一般ユーザーによって、DBを停止させられてしまう可能性があります。セキュリティ的な脆弱性としてよりも、運用上の思わぬトラブルとして結実する恐れが高いでしょう。この問題は6.06 LTSには影響しません。
• CVE-2009-3230は、一般ユーザーから発行されるRESET SESSION AUTHORIZATION・RESET ROLEの取り扱いの問題により、一般ユーザーから管理者ユーザーへの権限昇格が可能になるものです。この問題は、usn-568-1で修正されたCVE-2007-6600の修正が不完全だったために発生しました。
• CVE-2009-3231は、PostgreSQLのLDAPサポートの問題で、anonymous bindが有効に設定されていると、空のパスワードで認証を通過できてしまう問題です。この問題は6.06 LTSには影響しません。
• 対処方法：通常の場合、アップデータを適用することで問題が解決できます。アップデート時にPostgreSQL関連のプロセスが再起動される可能性があるため、適用タイミングに注意してください。

usn-835-1：neon・neon27のセキュリティアップデート

• 現在サポートされている全てのUbuntu（6.06 LTS・8.04 LTS・8.10・9.04）用のアップデータがリリースされています。CVE-2008-3746, CVE-2009-2474を修正します。
• CVE-2008-3746は、neonが提供するHTTP（含WebDAV）の実装において、ダイジェスト認証を行う際にヌルポインタ参照が発生し、neonを用いるアプリケーションがクラッシュする問題です。
• CVE-2009-2702は、X.509証明書のSubject DNにヌル文字が含まれていることにより、ホスト名の検証を適切に実施しない問題です。同種の問題として、2009年8月21日号のCVE-2009-2666の記述を参照してください。
• 対処方法：通常の場合、アップデータを適用することで問題が解決できます。アプリケーションの実装によっては、アプリケーション単位での再起動が必要になるかもしれません。

usn-836-1：WebKitのセキュリティアップデート

• 8.10・9.04用のアップデータがリリースされています。CVE-2009-0945, CVE-2009-1687, CVE-2009-1690, CVE-2009-1698, CVE-2009-1711, CVE-2009-1712, CVE-2009-1725を修正します。
• CVE-2009-0945は、WebKitに含まれるSVG画像レンダリングエンジンのSVGListオブジェクトの取り扱いに問題があり、悪意ある細工が施されたSVG画像を読み込ませることで、任意のコードの実行が可能になる問題です。これにより、ブラウザなどでSVG画像を表示させることにより、ユーザーの権限で悪意あるコードを実行させることが可能です。
• CVE-2009-1687, CVE-2009-1690, CVE-2009-1698, CVE-2009-1711, CVE-2009-1725は、いずれもWebKitのブラウザエンジン・JavaScriptエンジンに含まれる問題で、悪意ある細工の施されたHTML・JavaScriptを読み込ませることで任意のコードの実行が可能になる問題です。ブラウザ経由の攻撃が可能と考えられます。
• CVE-2009-1712はWebKitに含まれるJAVAアプレットローダの問題で、悪意ある細工の施されたJAVAアプレットをロードするHTMLを読み込ませることで任意のコードの実行が可能になる問題です。ブラウザ経由の攻撃が可能と考えられます。
• 対処方法：通常の場合、アップデータを適用した上でWebKitを利用するアプリケーションを再起動することで問題に対処できます。WebKitを利用するアプリケーションの代表例はEpiphany-webkitやMidoriです。