10.04の開発進捗
一部の重要な機能はまだ確定していませんが
Import Freeze後のarhive rebuild
2D UNEランチャー
2009年12月11日号でお伝えした、
現時点で体験してみたい方は、
日本語デスクトップ環境のフォント
10.
より詳しくは、
Ground Control
Ubuntuの開発の中心は
このAPIを利用したソフトウェアとして、
Launchpad上で様々な作業をしている人にとっては非常に役に立つツールになるはずです。どういうものか把握したい方はビデオもありますので、
その他の10.04の開発状況
- LiveCDの起動速度が33%ほど速くなりました。
- Nouveauの二次テストが開始されています。
- LVM2とdmsetupのテストが開始されました。
- UEC
(Eucalyptus) のインストール形態として、 「1物理マシンでEucalyptus環境フルセット」 を構築できるようになりました。また、 CLC/ Walrus/ CC/ SC/ NCのそれぞれを別の物理マシンに構成することが可能になっています。
Ubuntu Global Jam
10.
Ubuntu Weekly Newsletter #180
Ubuntu Weekly Newsletter #180がリリースされています。
その他のニュース
- VirtualPC2007でUbuntuを動かす方法。
- Ubuntuのあまり知られていない5つの機能。
- 将来的に実現されるであろう、
Launchpadの認証を用いたシングルサインオンについて。
今週のセキュリティアップデート
- usn-897-1:MySQLのセキュリティアップデート
- 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04・ 9. 10)用のアップデータがリリースされています。CVE-2008-4098, CVE-2008-4456, CVE-2008-7247, CVE-2009-2446, CVE-2009-4019, CVE-2009-4030, CVE-2009-4484を修正します。 - CVE-2009-4030は、
CVE-2008-2079ならびにCVE-2008-4098の再修正で、 ローカルユーザー (シェルアカウント) が、 MySQLのテーブル作成 (create tables) 権限を持っている場合に本来の権限を越えてMySQLを操作可能になる問題です。以前の対処では完全には抑止できていませんでした。この問題はUbuntu 8. 10にのみ影響します。 - CVE-2008-4456は、
MySQLのコマンドラインクライアントのHTML出力オプションにおいて、 クロスサイトスクリプティングが可能になる問題です。この問題は9. 10には影響しません。 - CVE-2008-7247は、
MySQLのDATA/ INDEX DIRECTORYにおいて、 異なるファイルシステムへのシンボリックリンクが張られている場合に正しく認証処理が行われない問題です。この問題は9. 10にのみ影響します。 - CVE-2009-2446は、
MySQLの操作ログ出力機能において、 文字列処理上、 入力されたデータベース名を正しく検証しない問題です。これによりMySQLがクラッシュする可能性があります。この問題は9. 10には影響しません。 - CVE-2009-4019は、
特定のサブクエリを利用したWHERE文が実行された場合に、 MySQLがクラッシュする問題です。 - CVE-2009-4484は、
SSL証明書検証ルーチンに問題があり、 外部から悪意ある細工の施されたパケットが送信された際に、 任意のコードの実行やDoSにつながるものです。この問題は6. 06には影響しません。また、 デフォルトのコンパイルオプションによりアドレス予測が困難なため、 悪意あるコードの実行は難しいと考えられます。仮に悪意あるコードの実行に成功した場合も、 AppArmorにより被害範囲は限定的なものになると考えられます。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- 現在サポートされている全てのUbuntu
- usn-898-1:gnome-screensaverのセキュリティアップデート
- Ubuntu 9.
10用のアップデータがリリースされています。CVE-2010-0414を修正します。 - CVE-2010-0414は、
gnome-screensaverが 「物理的なモニタの追加」 を考慮していない問題です。攻撃者が追加のモニタを物理的に接続し、 マウスカーソルを新しいモニタ上の領域に移動させることで、 スクリーンセーバーによるマシンのロックを迂回することが可能でした。 - 対処方法:アップデータを適用した上で、
セッションをリスタートして (一度ログアウトしてログインし直して) ください。
- Ubuntu 9.
- usn-899-1:Tomcatのセキュリティアップデート
- Ubuntu 8.
10・ 9. 04・ 9. 10用のアップデータがリリースされています。CVE-2009-2693, CVE-2009-2901, CVE-2009-2902を修正します。 - Tomcat 6.
0.24 で行われたセキュリティアップデートに相当するアップデートです。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- Ubuntu 8.
- usn-900-1:Rubyのセキュリティアップデート
- Ubuntu 8.
10・ 9. 04・ 9. 10用のアップデータがリリースされています。CVE-2009-1904, CVE-2009-4124, CVE-2009-4492を修正します。 - CVE-2009-1904は、
RubyのBigDicimalに極端に大きな数字を解釈させた際に、 クラッシュが発生する問題です。Ruby on Railsで利用されるActiveRecordsにおいて、 外部から与えられた値をこの処理にかけるルーチンがあるため、 RoR環境において外部からDoSを発生させることが可能と考えられます。より詳しくはruby-lang. orgのアドバイザリ を参照してください。 - CVE-2009-4124は、
Rubyに含まれるWEBrick HTTPサーバの問題で、 ログに外部から任意のエスケープ文字を挿入することが可能な問題です。この問題を悪用することで、 外部からログファイルに危険性のあるエスケープ文字を挿入し、 結果としてログを閲覧したシステムに影響を与える可能性があります。より詳しくはruby-lang. orgのアドバイザリ を参照してください。 - CVE-2009-4492は、
RubyのString#ljust・ String#center・ String#rjustにヒープオーバーフローが発生する可能性がある問題です。より詳しくはruby-lang. orgのアドバイザリ を参照してください。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- Ubuntu 8.
- usn-901-1:Squidのセキュリティアップデート
- 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04・ 9. 10)用のアップデータがリリースされています。CVE-2009-2855, CVE-2010-0308を修正します。 - CVE-2009-2855は、
Squidがauthヘッダを処理する際の問題で、 悪意ある細工を施したauthヘッダを送りつけることでSquidを無限ループに陥らせることが可能な問題です。 - CVE-2010-0308は、
SquidがDNSパケットを正しく処理しない問題です。短縮されたDNSパケットを送りつけることで、 Squidの子プロセスをクラッシュさせることが可能です。より詳しくは、 元発見者のプレゼンテーション (70枚目) を参照してください。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- 現在サポートされている全てのUbuntu