10.04の開発と周辺で行われている議論
10.
同時に、
また、
そうした新機能の開発・
Ubuntu Developer Week / Ubuntu User Days
Ubuntuの開発者を目指す人に向けたイベント、
また、
Ubuntu Weekly Newsletter #176
Ubuntu Weekly Newsletter #176がリリースされています。
その他のニュース
- Ubuntu 9.
10でXenを動かす方法。 - 将来のバージョンのGNOMEに搭載される、
GNOME Activity Journal (Zeitgeist)の体験方法。一ヶ月前に書いたメモをどこに置いたか忘れたり、 二日前に取得したスクリーンショットをなくしたり、 前日に書いた原稿を見失ってTopicsが遅れそうになったりする人 (いずれも筆者の実話。特に最後のは約5分前) には便利な機能になるはずです。 - 9.
10でCactiを導入する方法。 - Launchpad Web Service APIを通じて、
LaunchpadにAnonymousアクセスする方法。
今週のセキュリティアップデート
OpenSSL
- usn-882-1:PHPのセキュリティアップデート
- 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04・ 9. 10) 用のアップデータがリリースされています。CVE-2009-2626, CVE-2009-4142, CVE-2009-4143を修正します。 - CVE-2009-2626は、
function. ini-restore. phpによって提供される、 外部引数から設定パラメータを復元するための関数に問題があり、 ランダムなメモリ内容の表示やPHPのクラッシュを発生させる問題です。これによりPHPを稼働させているWebサーバへのDoSが可能です。詳細はsecurityreason. comのアドバイザリ を参照してください。 - CVE-2009-4142は、
PHPに含まれるhtmlspecialchars関数の問題で、 クロスサイトスクリプティングの危険性があります。また、 細工したHTMLを表示させることを通じて、 同一ドメイン内でホストされている別のサイトを偽装することでユーザーのクレデンシャルを奪取できる可能性があります。 - CVE-2009-4143は、
PHPがsafe_ modeとopen_ basedirによる制約を正しく取り扱わない問題です。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- 現在サポートされている全てのUbuntu
- usn-883-1:network-manager-appletのセキュリティアップデート
- Ubuntu 8.
10・ 9. 04用のアップデータがリリースされています。CVE-2009-4144, CVE-2009-4145を修正します。 - CVE-2009-4144は、
network-manager-appletがWPA Enterpriseや802. 1X認証の利用時に 「すでに削除された証明書」 を正しく取り扱わないためアクセスポイントの詐称が可能となり、 中間者攻撃を許す可能性がある問題です。 - CVE-2009-4145は、
D-Bus経由のシグナルハンドリングが正しく行われないため、 ローカルに存在する他のユーザーの認証情報を読み取ることが可能な問題です。 - 対処方法:アップデータを適用した上で、
セッションを再起動して (一度ログアウトしてログインし直して) ください。
- Ubuntu 8.
- usn-884-1:OpenSSLのセキュリティアップデート
- 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04・ 9. 10) 用のアップデータがリリースされています。CVE-2009-4355を修正します。 - CVE-2009-4355は、
SSLv3を処理するコード内にメモリリークがあり、 OpenSSLを用いたプロセスのメモリ使用量が肥大する問題です。顕著な例として、 Apache + mod_ php + mod_ ssl環境において、 ApacheのhttpdがSIGUSR1 (graceful stop) を受け取った後にSSLv3のリクエストを受け取った際に確実にメモリリークが生じる症状が報告されており、 これを悪用することでWebサーバへのDoSが可能です。 - 対処方法:アップデータを適用した上で、
OpenSSLを利用するアプリケーション (Apacheなど) を再起動してください。
- 現在サポートされている全てのUbuntu
- usn-885-1:Transmissionのセキュリティアップデート
- デスクトップ向けサポートが提供されている全てのUbuntu
(8. 04 LTS・ 8. 10・ 9. 04・ 9. 10) 向けのアップデータがリリースされています。CVE-2009-1757, CVE-2010-0012を修正します。 - CVE-2009-1757はTransmissionのWebインターフェースの問題です。CSRF脆弱性が存在します。Ubuntu 9.
04のみに影響します。 - CVE-2010-0012はtorrentファイルの解釈における問題で、
ディレクトリトラバーサルが可能です。 - 対処方法:アップデータを適用した上で、
Transmissionを再起動してください。
- デスクトップ向けサポートが提供されている全てのUbuntu
- usn-886-1:Pidginのセキュリティアップデート
- デスクトップ向けサポートが提供されている全てのUbuntu
(8. 04 LTS・ 8. 10・ 9. 04・ 9. 10) 向けのアップデータがリリースされています。CVE-2008-2955, CVE-2009-1376, CVE-2009-2703, CVE-2009-3026,CVE-2009-3083, CVE-2009-3085, CVE-2009-3615, CVE-2010-0013を修正します。 - IRCプロトコルを利用する際のTopicメッセージの解釈の問題による悪意あるコードの実行
(CVE-2009-2703)・ Jabberクライアントとして動作する際、 古い実装のJabberサーバへ接続する際のSSL設定の欠落 (CVE-2009-3026) などを含め、 多くの問題を修正します。また、 8. 04 LTS向けにはusn-675-1・ usn-781-1の再修正が含まれます。 - 対処方法:アップデータを適用した上で、
pidginを再起動してください。
- デスクトップ向けサポートが提供されている全てのUbuntu
- usn-887-1:LibThaiのセキュリティアップデート
- デスクトップ向けサポートが提供されている全てのUbuntu
(8. 04 LTS・ 8. 10・ 9. 04・ 9. 10) 向けのアップデータがリリースされています。CVE-2009-4012を修正します。 - CVE-2009-4012は、
LibThai (タイ語サポートのためのライブラリ) がきわめて長い文字列を受け取った際に整数オーバーフローが生じる問題です。結果としてユーザーの権限での悪意あるコードの実行が可能と考えられます。 - 備考:整数オーバーフローが生じるためには、
少なくとも1GBを超える入力文字列が必要です。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- デスクトップ向けサポートが提供されている全てのUbuntu