デフォルト検索エンジンの変更
10.
当然こうした変更には多くの議論が寄せられたものの、
ただし、
Ubuntu Developer Week
先週お伝えした通り、
Ubuntu 8.04.4
Ubuntu 8.
4月には次のLTSとなる10.
Ubuntu Weekly Newsletter #177
Ubuntu Weekly Newsletter #177がリリースされています。
その他のニュース
- Firefox 3.
6を、 mozilla-teamのPPAから導入する方法。firefox-stableという専用の (安定版のFirefoxしか落ちてこない) PPAなので、 Firefox3. 6を9. 10などで利用したい場合は、 比較的安全な方法となるはずです。 - Launchpad 10.
1がリリースされ、 Bug Heat (意訳すると、 「炎上度」)という指標が追加されました。ユーザーに与える影響を幾つかの指標で数値化し、 数値が大きければ大きいほど炎のアイコンが増える、 というものです。 - Webベースの操作でUbuntuやDebianのLiveCDを生成できるサービス。
- Ubuntuで使える壁紙x35枚。
今週のセキュリティアップデート
- usn-888-1:bindのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2010-January/ 001031. html - 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04・ 9. 10) 用のアップデータがリリースされています。CVE-2009-4022、 CVE-2010-0097、 CVE-2010-0290を修正します。 - CVE-2010-0097は、
DNSSECが有効な環境において、 嘘のNXDOMAIN応答をキャッシュさせることが可能な脆弱性です。 - CVE-2010-0290は、
CVE-2009-4022として登録 (Ubuntuではusn-865-1) されたDNSSECの検証における脆弱性の再修正に相当します。CVE-2009-4022への対策が不十分だったため、 DNSSECによる検証をすり抜ける可能性がありました。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決することができます。 - 備考:いずれも、
DNSSECによる検証を無効化するタイプの脆弱性です。DNSSECが無効な環境では影響はありませんが、 そもそもDNSSECがない環境はこれらの脆弱性以上に危険な状態にあります。
- https://
- usn-889-1:gzipのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2010-January/ 001032. html - 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04・ 9. 10) 用のアップデータがリリースされています。CVE-2009-2624、 CVE-2010-0001を修正します。 - CVE-2009-2624は、
gzipを利用した圧縮解除時にデータストリームを正しく検証しないため、 NULLポインタ参照が発生する問題です。これによりgzipのクラッシュや、 限定された状況下では任意のコードの実行が可能と考えられます。 - CVE-2010-0001は、
LZW方式を利用したデータストリームを圧縮解除する際、 整数アンダーフローが発生する問題です。結果としてgzipのクラッシュや、 任意のコードの実行の可能性があります。この問題はx86_ 64環境でのみ再現されます。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決することができます。
- https://
- usn-890-1・
usn-890-2・ usn-890-3・ usn-890-4:Expat/ Python2. 4/ Python2. 5/ PyXMLのセキュリティアップデート - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2010-January/ 001033. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2010-January/ 001034. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2010-January/ 001035. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2010-January/ 001036. html - 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04・ 9. 10) 用のアップデータがリリースされています。CVE-2009-2625、 CVE-2009-3560、 CVE-2009-3720を修正します。 - CVE-2009-2625、
CVE-2009-3720はいずれも、 Expatが入力されたXMLを正しく検証しないために発生する問題で、 アプリケーションのクラッシュ・ 無限ループを招きます。既知の再現コードが存在します。 - CVE-2009-3560は、
ExpatがXML内のUTF-8文字列を処理する際に、 バッファ長を超えて読み込みを行う問題です。これにより、 アプリケーションがクラッシュします。 - 対処方法:アップデータを適用した上で、
Expatをリンクしているあらゆるアプリケーションを (Pythonのpyexpatモジュールなどを利用しているソフトウェアも含めて) 再起動してください。不明な場合はシステムの再起動を行うのが確実です。 - 備考1:Expatの脆弱性により、
それを利用するPythonのpyexpatライブラリも影響を受けます。Python製ソフトウェアのうち、 pyexpatライブラリをロード (from pyexpat import??) しているものだけが影響を受けます。 - 備考2:Ubuntu 6.
06 LTSのみ、 PyXMLがPython本体に含まれていない時代のもののため、 単体でアップデートが出ています(usn-890-4)。
- https://