2009年11月13日号　10.04の開発と諸元の変更・9.10へのアップグレード・UWN#167・CUPSとWebkitのセキュリティアップデート

10.04の開発

9.10のリリース（と、リリース直後に毎回発生する怒濤のアップデート）と、リリース後の「お祭り」であるUbuntu Open Weekも終了し、Ubuntuの開発ベースは次バージョン10.04 “⁠Lucid Lynx⁠”へ移りつつあります。

Lucidの開発における主要な目標はUbuntu Developer Summit/Lucidで決まるのですが、UDSを前にBlueprintへの大量の登録が行われています。中には妙に印象的なものもありますので、これから何回かに分けて、筆者の主観に基づいて「気になるもの」「⁠凄そうなもの」をお届けします。

ただし、これらはまだUDSでの議論を経ていませんし、誰が責任を持つのか、本当に実装されるかといった点がまったく決まっていません。以下の「新機能」のいくつかは（場合によっては多くは）10.10回しになったり、あるいは日の目を見ずにそのまま忘れられていく可能性もあります。すなわち、下記の文章のほとんどには、「⁠かもしれません」や「たぶん。きっと」といった語尾を適切に補って頂く必要があります;)

Ubuntu ServerとCloudサポートのARM版

Ubuntu 9.10ではARMプロセッサ搭載マシンの「Desktop向け」サポートが提供されていましたが、10.04では「Server」用途へのサポートが追加される可能性があります。ターゲットとするアーキテクチャはARMv7（Cortex A8とA9）とあります[1]⁠。

これだけであればそれほど大きな話ではないのですが、wiki.ubuntu.comにあるSPECには、「⁠Bootloader」という項目があります。この項には、「⁠今のところu-bootがブートローダとして広く使われているが、このままであることはあまり望ましくない。Ubuntu Serverには標準的なARMのブートローダを開発し、それを用いることを検討すべきだ」といった記述があります。同様の議論は以前からあり[2]⁠、いずれCanonicalによる「ARM環境の標準的なブートローダ」の提供を期待できるかもしれません。

10秒で起動するデスクトップ

以前にも何度かお伝えしている、「⁠10.04では10秒でデスクトップが起動するようにする」という目標です。9.10でUpstart関連の大きな移植が終わり、チューニングによって十分に時間の短縮を積み上げることが可能になったため、かなり期待できるでしょう。

また、体感性能の改善にもつながる、スムーズな起動遷移も期待できるものです。「⁠Provide a smooth boot experience for the transitions between grub/KMS/usplash/xsplash/gdm/session.」ということで、GRUB時点から（GRUB2になって高解像度な画像も利用できるようになったので）グラフィカルなデザインを表示し、そこからスムーズにGDMやデスクトップ画面までつなげる、という動作が期待できるでしょう。

開発体制の変更

10.04の開発を円滑に行うため、9.10で得た知見を元に、開発体制やそれに付随するツールも更新されようとしています。

KVMを使ったテスト環境

10.04の開発では、よりの動的にKVMを使ったテスト環境を用いる方向になりそうです。UECを使ってテスト環境を作り、そこにVNCなどで接続してもらうのはどうだ、最新に近いKVMの新機能である、「⁠HTTP越しにISOイメージを取得しながら起動する」（⁠例：kvm -m 512 -cdrom http://example.org/ubuntu-10.04-desktop-amd64.iso）機能の利用・PC上にKVMを起動して随時テスト、などといった内容が話し合われています。

主な論点は、「⁠技術者以外のUbuntuユーザーにAlpha・Beta・RCを気軽にテストしてもらえる環境を作りたい」という点です。議論よりはブレインストーミングに近い形の議論ですが、この内容はおそらくUDSに持ち込まれ、何らかの形になって帰ってくることが期待されます。

Debianスタイルのパッチタグへの変更

これまでUbuntuのdebパッケージでのパッチに含まれるタグは、上流であるDebianとは微妙に異なるフォーマットを取っていました。これが、DebianのDEP-3形式のタグ方式に統一されることになりそうです。これにより、DebianとUbuntuでパッケージのパッチをより少ない作業で共用できるようになるため、Debian・Ubuntuの両方に手を出している開発者や、双方に存在するパッケージの管理負荷が軽減される見込みです。

9.10へのアップグレードは不安定？

英The Registerに、9.10へアップグレードしたらさんざんな目にあったという趣旨の記事が掲載されています。「⁠9.10にアップグレードしたユーザーの10％だけが上手くいって、あとの人はヒドい目に遭う」（⁠意訳）といった発言も掲載され、物議を醸していました。

この内容に、CanonicalのHead of platform marketingであるGerry Carrさんが、UbuntuForums.orgの投票結果を添えて反論しています。いわく、「⁠9.10で特別にアップグレードに失敗するユーザーが増えたという事実はない。10％の根拠を示すべきだ⁠」⁠。

もちろん、こうした投票のたぐいは母集団によって大きく左右されるので判断は冷静に行うべきですが、「⁠わざわざCanonicalの社員が能動的に（しかもblog.canonical.comで）批判する」というのは非常に珍しい事態のため、どのような形で収束するのかを眺めてみると、メディアの問題を考える一助になるかもしれません。

Ubuntu Weekly Newsletter #167

Ubuntu Weekly Newsletter #167がリリースされています。

その他のニュース

パッケージにロックをかけ、特定のバージョンを維持する方法。
今週のHowTo。Sambaの使い方です。
複数のDropboxインスタンスを同時に使う方法。
Windows 7のAero snapに似た操作をUbuntu上で利用する方法。

今週のセキュリティアップデート

usn-854-1：GDのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-November/000994.html
現在サポートされている全てのUbuntu（6.06 LTS・8.04 LTS・8.10・9.04・9.10）用のアップデータがリリースされています。CVE-2007-3475, CVE-2007-3476, CVE-2007-3477, CVE-2009-3293, CVE-2009-3546を修正します。
CVE-2009-3546はGDがGD形式の画像を扱う際、含まれる色数の情報を取り扱う際の問題で、悪意ある画像イメージを送りつけることで、任意のコードの実行、またはプロセスのクラッシュを引き起こすことが可能なものです。
CVE-2009-3293はlibgdが透明色を含んだファイルを取り扱う際の問題で、悪意ある画像イメージを送りつけることで、任意のコードの実行、またはプロセスのクラッシュを引き起こすことが可能なものです。libgdにリンクした全てのアプリケーションが影響を受けます。
CVE-2007-3475, CVE-2007-3476はいずれもGDがGIF形式の画像を扱う際の問題で、悪意ある画像イメージを送りつけることで、任意のコードの実行、またはプロセスのクラッシュを引き起こすことが可能なものです。この問題はUbuntu 6.06にのみ影響します。
CVE-2007-3477はlibgdの画像回転処理の問題で、角度の指定値を極端に大きな値にすることで、CPUを不当に占有することが可能な問題です。これにより、サービス停止や応答速度の劣化を引き起こすことが可能です。
対処方法：通常の場合、アップデータを適用することで問題を修正できます。

usn-855-1：libhtml-parser-perlのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-November/000995.html
現在サポートされている全てのUbuntu（6.06 LTS・8.04 LTS・8.10・9.04・9.10）用のアップデータがリリースされています。CVE-2009-3627を修正します。
CVE-2009-3627は、PerlのHTML::Parserにおいて、UTF-8ベースの不完全なHTMLエンティティを処理させることにより、無限ループに陥る問題です。
対処方法：通常の場合、アップデータを適用することで問題を修正できます。
備考：問題の発見者は、「⁠SPAMメールに含まれた、キリル文字のような何か外国語のメッセージを受け取った時に発生した」としています。SpamAssassinなどの、自動的にメール内容を解析するタイプのソフトウェアではこの問題が発生しやすくなると考えられます。

usn-856-1：CUPSのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-November/000997.html
現在サポートされている全てのUbuntu（6.06 LTS・8.04 LTS・8.10・9.04・9.10）用のアップデータがリリースされています。CVE-2009-2820を修正します。
CVE-2009-2820はCUPSのWebインターフェースがXSS・CSRFの双方に脆弱なため、CUPSのWebインターフェースにログインした状態で悪意あるサイトを閲覧した場合、Webインターフェース上で可能な操作の実行・表示されているデータの盗みだしが可能な問題です。
対処方法：通常の場合、アップデータを適用することで問題を修正できます。

usn-857-1：libqt4-webkitのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-November/000996.html
Ubuntu 8.10・9.04用のアップデータがリリースされています。CVE-2009-0945, CVE-2009-1687, CVE-2009-1690, CVE-2009-1698, CVE-2009-1699, CVE-2009-1711, CVE-2009-1712, CVE-2009-1713,CVE-2009-1725 を修正します。
いずれもQtWebKitの脆弱性です。SVGPathListの取り扱い（CVE-2009-0945⁠）⁠・JavaScriptエンジンの問題（CVE-2009-1687, CVE-2009-1690, CVE-2009-1698, CVE-2009-1711, CVE-2009-1725⁠）⁠・XSLスタイルシートの取り扱い（CVE-2009-1699, CVE-2009-1713⁠）⁠・ローカルにあるJavaアプレットの取り扱い（CVE-2009-1712）と問題の要素は様々ですが、悪意あるコードの実行・セキュリティサンドボックスの迂回・ローカルファイルの不当な読み取りなど、正常なブラウジングを妨げる問題が生じると考えられます。
対処方法：アップデータを適用した上で、セッションを再スタート（ログアウトしてログインしなおし）てください。