gihyo.jpサイトのロゴ

Ubuntu Weekly Topics

2010年1月22日号10.04の開発状況(Alpha2編)・Ubuntu Developer Day・Ubuntu Users Day・UWN#176

2010-01-22

10.04の開発と周辺で行われている議論

10.04のAlpha2がリリースされ、⁠最後のAlpha」であるAlpha3(2010/02/25)と、その前に行われるDebianからのImport Freeze(2010/02/11)やFeature Freeze(2010/02/18)へ向けて、新機能搭載のための多くの作業が行われています[1]⁠。Alpha2ではすでにPiTiVi(動画編集エディタ)がデフォルトで搭載され[2]⁠、Nautilus(ファイルマネージャ)では「F3」キーでペインを増やせるようになり、少しずつ10.04の形が見えてくるようになりました。

同時に、インストーラに「インストーラ自身」のアップデート機能が搭載されたり、ARM版はARMv7+thumb2向け最適化がデフォルトになったり、UECのインストールパターンが増えたりと、様々な強化が図られています。これらはFoundation TeamのLucid向け進捗ページなどから一覧できます。

また、Alpha3ではHALからudevへの移行や、NVIDIA製GPUドライバのオープンソース実装であるNouveauの搭載などがほぼ間に合い、その他の調整(Compizのデフォルトエフェクトの選定やブート時の画面表示などの「見た目」も含めた強化⁠⁠・Amazon EC2/S3向けライブラリの充実などが行われる予定ですし、各種Papercuts(今回からServer向けのPapercuts Projectも行われます)の対処されていくはずです。また、デフォルトにするという話は一切出てきていませんが、btrfsのユーザランドツールのサポートも追加されます。場合によっては、Server版についてはirqbalanceがデフォルトになるかもしれません。

そうした新機能の開発・搭載が行われる一方で、⁠オープンソースベースで開発されるUbuntuに、ソースコードが公開されていないサーバーで運用されるUbuntu Oneが搭載されているのはフリーソフトウェアの発想として正しくないという考えからDebianへ戻ったBradley Kuhnさん[3]のblogを元に、⁠クローズドソースのWebサービスを利用できるソフトウェアが搭載されているのは妥当か?」注4⁠UbuntuのCopyrightはどうあるべきか」⁠CanonicalがCopyrightを持っているソフトウェアの位置づけはどうなるのか」⁠Canonicalと契約してLaunchpadのコード書いてるけど、ボランティアとしてもUbuntuにコミットしてるから立場が微妙。どうしよう」⁠そもそも問題が複雑なんだから問題ドメインをちゃんと整理しろ」などといった議論や意見が大量に生じています。

Ubuntu Developer Week / Ubuntu User Days

Ubuntuの開発者を目指す人に向けたイベント、Ubuntu Developer Weekが1月25~29日にかけて行われます(UTCですので、日本時間では一日早くなります⁠⁠。Ubuntuの開発の最前線でパッケージを作成したり、独自機能を実装したりしている開発者がIRC上でプレゼンテーションを行います。IRCベースのイベントですので、時差を気にしなければ世界中どこからでも参加できます。主な内容はセッションリストからどうぞ。

また、ユーザー向けのイベントであるUbuntu User Daysが1月23日に行われます。日本時間では「1月29日(金)の25:00から」という厳しめの時間帯になりますが、コーヒー等を片手に参加してみてはいかがでしょうか。

Ubuntu Weekly Newsletter #176

Ubuntu Weekly Newsletter #176がリリースされています。

その他のニュース

  • Ubuntu 9.10でXenを動かす方法
  • 将来のバージョンのGNOMEに搭載される、GNOME Activity Journal (Zeitgeist)の体験方法。一ヶ月前に書いたメモをどこに置いたか忘れたり、二日前に取得したスクリーンショットをなくしたり、前日に書いた原稿を見失ってTopicsが遅れそうになったりする人(いずれも筆者の実話。特に最後のは約5分前)には便利な機能になるはずです。
  • 9.10でCactiを導入する方法。
  • Launchpad Web Service APIを通じて、LaunchpadにAnonymousアクセスする方法。

今週のセキュリティアップデート

OpenSSLusn-884-1⁠・PHPusn-882-1のアップデートなど、Webサーバーの管理者にとって非常に重要なアップデータがリリースされています。

usn-882-1:PHPのセキュリティアップデート
  • 現在サポートされている全てのUbuntu(6.06 LTS・8.04 LTS・8.10・9.04・9.10)用のアップデータがリリースされています。CVE-2009-2626, CVE-2009-4142, CVE-2009-4143を修正します。
  • CVE-2009-2626は、function.ini-restore.phpによって提供される、外部引数から設定パラメータを復元するための関数に問題があり、ランダムなメモリ内容の表示やPHPのクラッシュを発生させる問題です。これによりPHPを稼働させているWebサーバへのDoSが可能です。詳細はsecurityreason.comのアドバイザリを参照してください。
  • CVE-2009-4142は、PHPに含まれるhtmlspecialchars関数の問題で、クロスサイトスクリプティングの危険性があります。また、細工したHTMLを表示させることを通じて、同一ドメイン内でホストされている別のサイトを偽装することでユーザーのクレデンシャルを奪取できる可能性があります。
  • CVE-2009-4143は、PHPがsafe_modeとopen_basedirによる制約を正しく取り扱わない問題です。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-883-1:network-manager-appletのセキュリティアップデート
  • Ubuntu 8.10・9.04用のアップデータがリリースされています。CVE-2009-4144, CVE-2009-4145を修正します。
  • CVE-2009-4144は、network-manager-appletがWPA Enterpriseや802.1X認証の利用時に「すでに削除された証明書」を正しく取り扱わないためアクセスポイントの詐称が可能となり、中間者攻撃を許す可能性がある問題です。
  • CVE-2009-4145は、D-Bus経由のシグナルハンドリングが正しく行われないため、ローカルに存在する他のユーザーの認証情報を読み取ることが可能な問題です。
  • 対処方法:アップデータを適用した上で、セッションを再起動して(一度ログアウトしてログインし直して)ください。
usn-884-1:OpenSSLのセキュリティアップデート
  • 現在サポートされている全てのUbuntu(6.06 LTS・8.04 LTS・8.10・9.04・9.10)用のアップデータがリリースされています。CVE-2009-4355を修正します。
  • CVE-2009-4355は、SSLv3を処理するコード内にメモリリークがあり、OpenSSLを用いたプロセスのメモリ使用量が肥大する問題です。顕著な例として、Apache + mod_php + mod_ssl環境において、ApacheのhttpdがSIGUSR1(graceful stop)を受け取った後にSSLv3のリクエストを受け取った際に確実にメモリリークが生じる症状が報告されており、これを悪用することでWebサーバへのDoSが可能です。
  • 対処方法:アップデータを適用した上で、OpenSSLを利用するアプリケーション(Apacheなど)を再起動してください。
usn-885-1:Transmissionのセキュリティアップデート
  • デスクトップ向けサポートが提供されている全てのUbuntu(8.04 LTS・8.10・9.04・9.10)向けのアップデータがリリースされています。CVE-2009-1757, CVE-2010-0012を修正します。
  • CVE-2009-1757はTransmissionのWebインターフェースの問題です。CSRF脆弱性が存在します。Ubuntu 9.04のみに影響します。
  • CVE-2010-0012はtorrentファイルの解釈における問題で、ディレクトリトラバーサルが可能です。
  • 対処方法:アップデータを適用した上で、Transmissionを再起動してください。
usn-886-1:Pidginのセキュリティアップデート
  • デスクトップ向けサポートが提供されている全てのUbuntu(8.04 LTS・8.10・9.04・9.10)向けのアップデータがリリースされています。CVE-2008-2955, CVE-2009-1376, CVE-2009-2703, CVE-2009-3026,CVE-2009-3083, CVE-2009-3085, CVE-2009-3615, CVE-2010-0013を修正します。
  • IRCプロトコルを利用する際のTopicメッセージの解釈の問題による悪意あるコードの実行CVE-2009-2703⁠・Jabberクライアントとして動作する際、古い実装のJabberサーバへ接続する際のSSL設定の欠落CVE-2009-3026などを含め、多くの問題を修正します。また、8.04 LTS向けにはusn-675-1usn-781-1の再修正が含まれます。
  • 対処方法:アップデータを適用した上で、pidginを再起動してください。
usn-887-1:LibThaiのセキュリティアップデート
  • デスクトップ向けサポートが提供されている全てのUbuntu(8.04 LTS・8.10・9.04・9.10)向けのアップデータがリリースされています。CVE-2009-4012を修正します。
  • CVE-2009-4012は、LibThai(タイ語サポートのためのライブラリ)がきわめて長い文字列を受け取った際に整数オーバーフローが生じる問題です。結果としてユーザーの権限での悪意あるコードの実行が可能と考えられます。
  • 備考:整数オーバーフローが生じるためには、少なくとも1GBを超える入力文字列が必要です。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

おすすめ記事

記事・ニュース一覧