9.10 Japanese RemixのHTTP配布開始

Ubuntu Japanese Teamでは、リリースからの間、BitTorrentのみで配布していた9.10のJapanese RemixのHTTP経由での配布を開始しました。ダウンロード可能なミラーサーバーのリストはリンク先にあります。

Ubuntu搭載Smartbook from Pegatron

Ubuntuを搭載した『Smartbook』（⁠ARM搭載のネットブック）の新モデルが“⁠Connected Community Technical Symposium 2009⁠”で公開されたことをレポートしている記事がshanzai.comに存在します。

公開されたのは台湾Pegatron社製[1]のFreescaleのARM SoC搭載マシン[2]で、2010/Q1のリリースとなっています。サイズはEeePCの8.9～10inchモデル程度で、$200以下の価格レンジ・長時間のバッテリ駆動時間と、日本のユーザーにとっても期待できるハードウェアとなりそうです。

こうした『Smartbook』は他のARM SoCを搭載したモデルも出てくる可能性が高く[3]⁠、2010年は多くの「Ubuntu搭載Smartbook」を市場で見ることができる年になりそうです。

10.04の開発

過去2回に引き続き、UDS-Lに向けて登録された、あるいはUDS-Lで議論されたBlueprintや周辺情報から、筆者の主観に基づいて「重要そうなもの」「⁠気になるもの」「⁠凄そうなもの」をお届けします。下記の文章のほとんどに「かもしれません」や「たぶん。きっと」といった語尾を補う必要があるのは、これまでと同様です。ただし、過去2回のものよりは若干実現度は高いものです。

なお、UDSでの議論や優先順位付けの結果を反映して、Blueprintが更新されています。一部のSpecにはすでにマイルストーンもセットされているため、開発が開始されていると考えられます（実際どうなのかは担当する開発者次第です⁠）⁠。

LPIAアーキテクチャの廃止

Intel Atomプロセッサ向けのアーキテクチャであるLPIA（Low Power Intel Architecture）が、Ubuntuでは廃止されることになりました（もともとUbuntu以外ではほとんど見かけず、また、実態はi386のコンパイラのオプションを変えたものとほぼイコールでした⁠）⁠。主な理由は以下のものです。

• LPIAプロセッサの利点は「i386と同じバイナリが動作すること」であり、別アーキテクチャとする必要はない。
• LPIA向けビルドを管理することが大きな手間である。
• サードパーティがバイナリでアプリケーションを提供する際に障壁となる。

これに加えて、9.04でLPIAアーキテクチャは事実上終了となり、LPIA→i386のアップグレードパスも準備されないことがアナウンスされています。また、9.10のLPIA版も通常のリリースよりも低いレベルでのサポートとなります。

結果として、LPIAアーキテクチャ向けリリースを利用しているユーザーは、将来のアップグレード時にi386版で再インストールを行う必要があります。今後Atom搭載マシンにUbuntuをインストールする場合、基本的にはi386版を利用するべきです[4]⁠。

デフォルトインストールされるソフトウェアの変更

9.10ではデフォルトのIMクライアントがPidginからEmpathyに変更となりましたが、10.04ではさらに多くのデフォルトソフトウェアの変更が行われそうです。主な内容は次の通りです。

• GIMPはデフォルトではインストールされなくなる。GIMPはきわめて強力なアプリケーションだが、同時に複雑すぎるソフトウェアでもあり、さらに基本的な編集はF-Spotでも可能であるため、「⁠使い始めた人」が扱う可能性があるデフォルトアプリケーションとしては妥当ではない。
• F-SpotはGIMPに代わる画像編集ソフトウェアとしても使われるため、ビューワとしての動作と編集モードの動作に統一性を持たせる。
• PiTiViをデフォルト候補としてテスト。Beta1時に状況を見て確定。
• 機能が重複していたvinagre（リモートデスクトップビューワ）とtsclient（ターミナルサーバクライアント）を統一し、vinagreに一本化することを検討。
• GNOME Gamesの選定を見直し。

また、後述の10.04サイクルのPapercutsの配分から考えると、次のことも浮かび上がってきます。

• Gwibberをデフォルトアプリケーションに変更。
• RhythmboxからBansheeへの変更は難しそう（10.04サイクルでもRhythmboxへの修正が加わる⁠）⁠。

LucidサイクルのPapercuts (with Paper Jam)

9.10で行われた「Papercuts」が、10.04でも行われます。10.04では9.10の残件を処理した後に、「⁠Paper Jam」（⁠Paper Jam＝プリンタなどで発生する用紙詰まり）という、「⁠特定のテーマに基づいて、必要な修正を加える」短いトラックを繰り返す形で100個（ぐらい）のバグを修正していく予定となっています。対象となるのは、Empathy（IMクライアント⁠）⁠・Gwibber（マイクロブログクライアント⁠）⁠・サウンド＆ビデオ（RhythmboxとPiTiVi⁠）⁠・F-Spot・Notification（Notify-OSD⁠）⁠・Compizの設定です。詳細な修正内容やテーマの絞り込みは次回以降にお届けする予定です。

Webkitベースの軽量ブラウザ（ARM向け）

ARMは消費電力：パフォーマンス比では非常に強力なプロセッサですが、絶対的な性能という面ではi386の多くのCPUに比べて非力で、快適なデスクトップ環境として利用するには困難な部分があります。こうした問題を解決するため、10.04ではFirefoxに代わる、ARM向けの軽量ブラウザを開発することになっています。これはWebkitをベースにしたもので、ARMの性能でも十分に快適な動作を提供するものとなる予定です。WebkitはiPhoneやGoogle Chromeでレンダリングエンジンとして利用されているツールキットです。

これが無事にリリースされた場合（実装ステータスは「Not Started」なのですが、目標マイルストーンがAlpha1、つまり12月10日となっています⁠）⁠、ARM版のデスクトップではFirefoxの代わりにデフォルトでインストールされる[5]予定です。

Ubuntu Weekly Newsletter #169

Ubuntu Weekly Newsletter #169がリリースされています。先日行われたUDS-Lの会議の様子のビデオの一覧が記載されています。興味がある方は確認してみてください。

その他のニュース

GoogleのChrome/Chromium OSに関連する、微妙に核心をぼかしたエントリがblog.canonical.comにあります。ちなみに、Chrome OSのinitデーモンには妙に新しめのUpstartが使われており、dpkgコマンドも導入されていて、何となく既視感のある構成となっています。

今週のセキュリティアップデート

usn-860-1：Apacheのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-November/001001.html
• 現在サポートされている全てのUbuntu（6.06 LTS・8.04 LTS・8.10・9.04・9.10）用のアップデータがリリースされています。CVE-2009-3094, CVE-2009-3095, CVE-2009-3555を修正します。
• CVE-2009-3555は、TLS・SSLv3のプロトコル設計上の問題で、セッションの再ネゴシエーション時に、HTTPSでのやりとりに含まれるリクエストの先頭に任意のテキストを挿入できる脆弱性です。このアップデータはクライアントから行われる再ネゴシエーションを抑制することで、問題の緩和を計ります。根本的な対応にはTLS・SSLv3の再設計が必要であるため、現時点では根治策は存在しません。
• CVE-2009-3094はmod_proxy_ftpの動作上の問題で、PASV・EPASVコマンドに含まれる文字列を正しく解釈せず、Apacheの子プロセスがクラッシュする問題です。
• CVE-2009-3095はmod_proxy_ftpをReverse Proxyとして動作させた際の問題で、HTTPリクエストヘッダに特定の文字列を含めたリクエストを送信することで、Reverse Proxy先のFTPサーバに、Apacheが動作しているマシンから任意のFTPコマンドを発行させることが可能な問題です。
• 対処方法：アップデータを適用することで問題を解決できます。ただし、アップデータの適用中にApacheが再起動されるため、可用性が重視される環境ではアップデートを実施するタイミングの検討が必要です。ただし、重要な情報を取り扱う可能性のあるサーバーでは可能な限り早期に対応する必要があります。
• 備考：CVE-2009-3555への対策は、クライアントからの再ネゴシエーションを抑制（切断）することで問題を回避します。サーバーから行われるセッションの再ネゴシエーション（Directory、あるいはLocation単位でSSLVerifyClientやSSLCipherSuiteを利用している場合に発生）は抑制しないため、該当する設定を行っている場合は完全な対策とはなりません。こうした設定を行っている場合、設定を一時的に無効にし、サーバー単位、あるいはバーチャルホスト単位で有効にする必要があります。

usn-861-1：libvorbisのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-November/001002.html
• デスクトップ向けサポートが提供されている全てのUbuntu（8.04 LTS・8.10・9.04・9.10）向けのアップデータがリリースされています。CVE-2008-2009, CVE-2009-3379を修正します。
• CVE-2008-2009は、libvorbisの_make_decode_tree()を実行する際、メモリ破壊が発生する問題です。これによりアプリケーションのクラッシュが発生する可能性(ならびに、現実的でないレベルでの、ごくわずかな任意のコードの実行の可能性）があります。不正な形式のOggファイルを実行させるファジングにより問題が発見されるため、クラッシュにつながるファイルの再現は容易であると考えられます。
• CVE-2009-3379は、MFSA 2009-63の一部として扱われているlibvorbisの複数の問題です。メモリ破壊やバッファオーバーフローを伴うため、任意のコードの実行、あるいはアプリケーションのクラッシュを引き起こす可能性があります。
• 対処方法：アップデータを適用した上で、libvorbisを利用するアプリケーション（Totemやgtkpodなど）を再起動してください。