デフォルト検索エンジンの変更

10.04では、デフォルトの検索エンジンがGoogleからYahoo.comへ変更になることが決まりました。理由を端的に述べると「Yahooの方が支払いが良い」ということになります。ブラウザに特定の検索エンジンを初期設定しておくと、そこからのページビューに応じて、幾ばくかの金額がベンダーに支払われますから、これによってCanonicalが効率良く収入を得ることができるようになり、より多くの開発者を雇用できるようになるはずです（1回あたりは非常に小さな金額ですが、ブラウザを利用する限り検索も行うはずですから、ユーザー数x数百回x単価、といった大きな数字になります⁠）⁠。

当然こうした変更には多くの議論が寄せられたものの、それなりの経済的理由があるのか、「⁠I would say "financial" reasons rather than "marketing" reasons」（⁠訳：言ってみれば、これは「マーケティング的な」理由よりむしろ「財政的な」理由です）といった回答が出てきています。

ただし、日本語圏ではyahoo.com（切り替わるのは「yahoo.co.jp」ではなく「yahoo.com」です）の検索は事実上ほとんど実用にならないため、Japanese Remixでは何らのフォローを追加する予定です。

Ubuntu Developer Week

先週お伝えした通り、Ubuntu Developer Weekが開催中です。すでに開催された分については、プレゼンテーションのログが公開されています。Ubuntuの主要な開発者がIRCベースでプレゼンテーションを行うイベントですので[1]⁠、余裕があれば参加してみると良いでしょう。

Ubuntu 8.04.4

Ubuntu 8.04の最後のポイントリリース[2]⁠、8.04.4の公開準備が進められています。本日1月29日（金）中のリリースが予定されています。すでにショーストッパーは全て対応済みなので、リリース関連作業のみで公開が行われるはずです。

4月には次のLTSとなる10.4 LTSがリリースされるため、8.04のポイントリリースはこれが最後となります。8.04のデスクトップサポート期間は残り1年3ヶ月ほどと、9.10とサポート終了時期が重なりますので、デスクトップ用途には9.10を使うのが妥当です。8.04.4は、事実上、5年間（あと3年）のサポートが提供されるサーバー用途に使われることになるでしょう。

Ubuntu Weekly Newsletter #177

Ubuntu Weekly Newsletter #177がリリースされています。

その他のニュース

• Firefox 3.6を、mozilla-teamのPPAから導入する方法。firefox-stableという専用の（安定版のFirefoxしか落ちてこない）PPAなので、Firefox3.6を9.10などで利用したい場合は、比較的安全な方法となるはずです。
• Launchpad 10.1がリリースされ、Bug Heat（意訳すると、「⁠炎上度⁠」⁠）という指標が追加されました。ユーザーに与える影響を幾つかの指標で数値化し、数値が大きければ大きいほど炎のアイコンが増える、というものです。
• Webベースの操作でUbuntuやDebianのLiveCDを生成できるサービス。
• Ubuntuで使える壁紙x35枚。

今週のセキュリティアップデート

usn-888-1：bindのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-January/001031.html
• 現在サポートされている全てのUbuntu（6.06 LTS・8.04 LTS・8.10・9.04・9.10）用のアップデータがリリースされています。CVE-2009-4022、CVE-2010-0097、CVE-2010-0290を修正します。
• CVE-2010-0097は、DNSSECが有効な環境において、嘘のNXDOMAIN応答をキャッシュさせることが可能な脆弱性です。
• CVE-2010-0290は、CVE-2009-4022として登録（Ubuntuではusn-865-1）されたDNSSECの検証における脆弱性の再修正に相当します。CVE-2009-4022への対策が不十分だったため、DNSSECによる検証をすり抜ける可能性がありました。
• 対処方法：通常の場合、アップデータを適用することで問題を解決することができます。
• 備考：いずれも、DNSSECによる検証を無効化するタイプの脆弱性です。DNSSECが無効な環境では影響はありませんが、そもそもDNSSECがない環境はこれらの脆弱性以上に危険な状態にあります。

usn-889-1：gzipのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-January/001032.html
• 現在サポートされている全てのUbuntu（6.06 LTS・8.04 LTS・8.10・9.04・9.10）用のアップデータがリリースされています。CVE-2009-2624、CVE-2010-0001を修正します。
• CVE-2009-2624は、gzipを利用した圧縮解除時にデータストリームを正しく検証しないため、NULLポインタ参照が発生する問題です。これによりgzipのクラッシュや、限定された状況下では任意のコードの実行が可能と考えられます。
• CVE-2010-0001は、LZW方式を利用したデータストリームを圧縮解除する際、整数アンダーフローが発生する問題です。結果としてgzipのクラッシュや、任意のコードの実行の可能性があります。この問題はx86_64環境でのみ再現されます。
• 対処方法：通常の場合、アップデータを適用することで問題を解決することができます。

usn-890-1・usn-890-2・usn-890-3・usn-890-4：Expat/Python2.4/Python2.5/PyXMLのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-January/001033.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-January/001034.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-January/001035.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-January/001036.html
• 現在サポートされている全てのUbuntu（6.06 LTS・8.04 LTS・8.10・9.04・9.10）用のアップデータがリリースされています。CVE-2009-2625、CVE-2009-3560、CVE-2009-3720を修正します。
• CVE-2009-2625、CVE-2009-3720はいずれも、Expatが入力されたXMLを正しく検証しないために発生する問題で、アプリケーションのクラッシュ・無限ループを招きます。既知の再現コードが存在します。
• CVE-2009-3560は、ExpatがXML内のUTF-8文字列を処理する際に、バッファ長を超えて読み込みを行う問題です。これにより、アプリケーションがクラッシュします。
• 対処方法：アップデータを適用した上で、Expatをリンクしているあらゆるアプリケーションを（Pythonのpyexpatモジュールなどを利用しているソフトウェアも含めて）再起動してください。不明な場合はシステムの再起動を行うのが確実です。
• 備考1：Expatの脆弱性により、それを利用するPythonのpyexpatライブラリも影響を受けます。Python製ソフトウェアのうち、pyexpatライブラリをロード（from pyexpat import??）しているものだけが影響を受けます。
• 備考2：Ubuntu 6.06 LTSのみ、PyXMLがPython本体に含まれていない時代のもののため、単体でアップデートが出ています(usn-890-4)。