10.04の開発進捗

一部の重要な機能はまだ確定していませんが（特にドライバ関連。Clarkdale/ArrandaleベースのCore i7/i5/i3・Pentium Gの内蔵グラフィックスはこれからです⁠）⁠、Debian Import Freezeがかかり、Feature Freezeも2月18日(木)をもって完了し、10.04の姿が見え始めました。

Import Freeze後のarhive rebuild（≒Lucid環境を使ってLucidのパッケージをビルドするテスト）で多くのFailが報告されている状態ですが、ここに修正を加えることでuniverseリポジトリが完成します。一方で、mainやUbuntu起源のソフトウェアの開発も比較的順調に進められています。

2D UNEランチャー

2009年12月11日号でお伝えした、「⁠非力な環境用の2D UNEランチャー」の形が見えてきました。これは、Netbook LauncherをE17 foundation libraries（Englithenment DR17用ライブラリ）を用いて再実装したもので、グラフィックアクセラレータが非力な環境でもスムーズなアニメーションを実現できるものです。スクリーンショットやインストール方法はこちら。このUIはARM向けNetbook Editionなどでデフォルトで採用される予定です。

現時点で体験してみたい方は、Lucid環境を準備して「sudo apt-get install netbook-launcher-efl」を実行した上で、「⁠netbook-launcher-efl」を実行してください。スクリーンショットにある青空ベースの背景（ドック風ランチャ付）を体験したい場合は「cd /usr/share/netbook-launcher-efl/data/themes/ ; sudo mv default.edj default.edj.bak; sudo ln -s alternative.edj default.edj」などとしてみるといいかもしれません。

日本語デスクトップ環境のフォント

10.04では、デフォルトフォントの再選定が行われ、各言語の実情に合わせた（かつライセンス的に支障のない）フォントが採用される予定です。日本語フォントに関しては、IPAフォントライセンスに基づいてIPAフォントを派生させた「Takaoフォント」（⁠「⁠Takao」はIPAフォントの基になったフォントの制作者のお名前に依拠したものです）を採用する予定です。現時点では「ほぼ採用」のフェーズにあり、致命的なバグが発覚しなければこのままUbuntu本体へ取り込まれ、10.04ではインストール時点からのデフォルトフォントとなるはずです[1]⁠。

より詳しくは、ubuntu-jp MLに流れたリリースアナウンスと、IRCミーティングのログを参照してください。

Ground Control

Ubuntuの開発の中心は“⁠Launchpad⁠”（発射台）と名付けられたBTS（bugs⁠）⁠・Blueprint・翻訳・コード共有などが行えるWebサイトです。現在はAPIも公開され、外部ツールから利用することもできます。

このAPIを利用したソフトウェアとして、Ubuntuのデスクトップ環境からLaunchpadの各種機能を操作することができる“⁠Ground Control⁠”（地上管制）がリリースされました。

Launchpad上で様々な作業をしている人にとっては非常に役に立つツールになるはずです。どういうものか把握したい方はビデオもありますので、あわせて確認してください。なお、翻訳作業も並行して実施されています。

その他の10.04の開発状況

• LiveCDの起動速度が33％ほど速くなりました。
• Nouveauの二次テストが開始されています。
• LVM2とdmsetupのテストが開始されました。
• UEC（Eucalyptus）のインストール形態として、「⁠1物理マシンでEucalyptus環境フルセット」を構築できるようになりました。また、CLC/Walrus/CC/SC/NCのそれぞれを別の物理マシンに構成することが可能になっています。

Ubuntu Global Jam

10.04のリリースに向けて作業が進む中で、今回もUbuntu Global Jamが企画されています[2]⁠。これは世界中のUbuntuユーザーや開発者がオンライン上で集まり、分散して様々な作業を行うイベントです。今回は3月26～28日の週末に行われる予定です。詳しくはFridgeを見るのが早いでしょう。もちろん日本からも参加できますので、参加してみてはいかがでしょうか。

Ubuntu Weekly Newsletter #180

Ubuntu Weekly Newsletter #180がリリースされています。

その他のニュース

• VirtualPC2007でUbuntuを動かす方法。
• Ubuntuのあまり知られていない5つの機能。
• 将来的に実現されるであろう、Launchpadの認証を用いたシングルサインオンについて。

今週のセキュリティアップデート

usn-897-1：MySQLのセキュリティアップデート

• 現在サポートされている全てのUbuntu（6.06 LTS・8.04 LTS・8.10・9.04・9.10)用のアップデータがリリースされています。CVE-2008-4098, CVE-2008-4456, CVE-2008-7247, CVE-2009-2446, CVE-2009-4019, CVE-2009-4030, CVE-2009-4484を修正します。
• CVE-2009-4030は、CVE-2008-2079ならびにCVE-2008-4098の再修正で、ローカルユーザー（シェルアカウント）が、MySQLのテーブル作成（create tables）権限を持っている場合に本来の権限を越えてMySQLを操作可能になる問題です。以前の対処では完全には抑止できていませんでした。この問題はUbuntu 8.10にのみ影響します。
• CVE-2008-4456は、MySQLのコマンドラインクライアントのHTML出力オプションにおいて、クロスサイトスクリプティングが可能になる問題です。この問題は9.10には影響しません。
• CVE-2008-7247は、MySQLのDATA/INDEX DIRECTORYにおいて、異なるファイルシステムへのシンボリックリンクが張られている場合に正しく認証処理が行われない問題です。この問題は9.10にのみ影響します。
• CVE-2009-2446は、MySQLの操作ログ出力機能において、文字列処理上、入力されたデータベース名を正しく検証しない問題です。これによりMySQLがクラッシュする可能性があります。この問題は9.10には影響しません。
• CVE-2009-4019は、特定のサブクエリを利用したWHERE文が実行された場合に、MySQLがクラッシュする問題です。
• CVE-2009-4484は、SSL証明書検証ルーチンに問題があり、外部から悪意ある細工の施されたパケットが送信された際に、任意のコードの実行やDoSにつながるものです。この問題は6.06には影響しません。また、デフォルトのコンパイルオプションによりアドレス予測が困難なため、悪意あるコードの実行は難しいと考えられます。仮に悪意あるコードの実行に成功した場合も、AppArmorにより被害範囲は限定的なものになると考えられます。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-898-1：gnome-screensaverのセキュリティアップデート

• Ubuntu 9.10用のアップデータがリリースされています。CVE-2010-0414を修正します。
• CVE-2010-0414は、gnome-screensaverが「物理的なモニタの追加」を考慮していない問題です。攻撃者が追加のモニタを物理的に接続し、マウスカーソルを新しいモニタ上の領域に移動させることで、スクリーンセーバーによるマシンのロックを迂回することが可能でした。
• 対処方法：アップデータを適用した上で、セッションをリスタートして（一度ログアウトしてログインし直して）ください。

usn-899-1：Tomcatのセキュリティアップデート

• Ubuntu 8.10・9.04・9.10用のアップデータがリリースされています。CVE-2009-2693, CVE-2009-2901, CVE-2009-2902を修正します。
• Tomcat 6.0.24で行われたセキュリティアップデートに相当するアップデートです。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-900-1：Rubyのセキュリティアップデート

• Ubuntu 8.10・9.04・9.10用のアップデータがリリースされています。CVE-2009-1904, CVE-2009-4124, CVE-2009-4492を修正します。
• CVE-2009-1904は、RubyのBigDicimalに極端に大きな数字を解釈させた際に、クラッシュが発生する問題です。Ruby on Railsで利用されるActiveRecordsにおいて、外部から与えられた値をこの処理にかけるルーチンがあるため、RoR環境において外部からDoSを発生させることが可能と考えられます。より詳しくはruby-lang.orgのアドバイザリを参照してください。
• CVE-2009-4124は、Rubyに含まれるWEBrick HTTPサーバの問題で、ログに外部から任意のエスケープ文字を挿入することが可能な問題です。この問題を悪用することで、外部からログファイルに危険性のあるエスケープ文字を挿入し、結果としてログを閲覧したシステムに影響を与える可能性があります。より詳しくはruby-lang.orgのアドバイザリを参照してください。
• CVE-2009-4492は、RubyのString#ljust・String#center・String#rjustにヒープオーバーフローが発生する可能性がある問題です。より詳しくはruby-lang.orgのアドバイザリを参照してください。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-901-1：Squidのセキュリティアップデート

• 現在サポートされている全てのUbuntu（6.06 LTS・8.04 LTS・8.10・9.04・9.10)用のアップデータがリリースされています。CVE-2009-2855, CVE-2010-0308を修正します。
• CVE-2009-2855は、Squidがauthヘッダを処理する際の問題で、悪意ある細工を施したauthヘッダを送りつけることでSquidを無限ループに陥らせることが可能な問題です。
• CVE-2010-0308は、SquidがDNSパケットを正しく処理しない問題です。短縮されたDNSパケットを送りつけることで、Squidの子プロセスをクラッシュさせることが可能です。より詳しくは、元発見者のプレゼンテーション（70枚目）を参照してください。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。