10.04のBeta1
10.
この後、
Ubuntuを含め、
また、
Beta1と同時期に各種Freezeがかかるため、
また、
10.04の新ウインドウテーマに関する議論
10.
- ウインドウの左側に操作ボタンを配置するのは、
現状ではテスト的なものである。 - 意見と客観的なデータを募り、
その結果によって最終的な結論を決めたい。それは10. 04フェーズとは限らない。 - 10.
04では、 Beta2以降のリリースまでの間に、 もともとの場所に戻す可能性が高い……だろう。
Mark Shuttleworthのできれば10.
Google Summer of Code2010
検索エンジンやGmail・
腕に自信があり、
Ubuntu Weekly Newsletter #184
Ubuntu Weekly Newsletter #184がリリースされています。
その他のニュース
- HTC Touch Pro2
(Windows Mobile搭載のスマートフォン) で動くUbuntu、 という動画。こちらにもあります。 - Broadcom bcm4322無線LANチップをうまく動作させる方法。
今週のセキュリティアップデート
- usn-908-1:Apacheのセキュリティアップデート
- 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04・ 9. 10) 用のアップデータがリリースされています。CVE-2010-0408, CVE-2010-0434を修正します。 - CVE-2010-0408は、
mod_ proxy_ ajpが有効な環境において、 BODYが含まれていないリクエストを送出することで、 システムで指定されたタイムアウト時間が経過するまで利用を阻害することが可能な問題です。この問題は6. 06LTSには影響しません。 - CVE-2010-0434は、
Apache MPMで動作している環境において、 スレッド間でヘッダ情報の部分的な漏洩が発生する問題です。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
usn-909-1:dpkgのセキュリティアップデート
- 現在サポートされている全てのUbuntu
- 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04・ 9. 10) 用のアップデータがリリースされています。CVE-2010-0396を修正します。 - CVE-2010-0396は、
dpkgパッケージに含まれるdpkg-sourceコマンドのdiffの適用アプローチに問題です。悪意ある細工が施されたパッケージのソースを展開した際、 上位のディレクトリへのディレクトリトラバーサルが生じ、 本来意図したものとは異なる場所にファイルが投下される可能性があります。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- 現在サポートされている全てのUbuntu
- usn-911-1:MoinMoinのセキュリティアップデート
- 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04・ 9. 10) 用のアップデータがリリースされています。CVE-2010-0668, CVE-2010-0669, CVE-2010-0717を修正します。 - CVE-2010-0668, CVE-2010-0717は、
いずれもMoinに含まれるCSRF脆弱性への対応です。 - CVE-2010-0669は、
ユーザーのプロファイルで指定可能な入力値を適切に検証していないため、 プロファイルページを閲覧したユーザーのブラウザに偽造された内容を表示させることが可能な問題です。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- 現在サポートされている全てのUbuntu
- usn-912-1:Audio File Libraryのセキュリティアップデート
- 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04・ 9. 10) 用のアップデータがリリースされています。CVE-2008-5824を修正します。 - CVE-2008-5824は、
Audio FIle LibraryのWAVファイル再生処理の問題で、 悪意ある細工の施されたファイルを再生した際、 ヒープオーバーフローが発生する問題です。これにより、 プロセスのクラッシュや任意のコードの実行が可能です。ただし、 Ubuntu環境においてはコンパイルオプションにより攻略コードの開発を困難にしており、 通常の場合はプロセスのクラッシュに影響が限定されます。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。 - 備考:問題の発見から改善パッチの完成までに1年以上を要した珍しいケースです。
- 現在サポートされている全てのUbuntu
- usn-913-1:libpngのセキュリティアップデート
- 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04・ 9. 10) 用のアップデータがリリースされています。CVE-2009-2042, CVE-2010-0205を修正します。 - CVE-2009-2042は、
libpngが1bitで、 かつ 「幅が8で割り切れない」 インターレース画像を表示する際、 誤ってメモリの初期化を正しく行わずに利用してしまう問題です。これを利用することで、 ランダムにメモリ内のデータのごく一部を読み出すことが可能です。 - CVE-2010-0205は、
圧縮された情報を含むPNGイメージを展開する際、 利用可能なメモリを食い尽くしてしまう可能性がある問題です。悪用することで、 システム内のリソースを異常消費させ、 DoSが可能と考えられます。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- 現在サポートされている全てのUbuntu
- usn-914-1:Linux kernelのセキュリティアップデート
- 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04・ 9. 10) 用のアップデータがリリースされています。CVE-2010-0307, CVE-2010-0309, CVE-2010-0410, CVE-2010-0415, CVE-2010-0622, CVE-2010-0623を修正します。 - CVE-2010-0307は、
x64環境において32bitプログラムを実行している際、 32bitプログラムから64bitプログラムをexecve()すると、 カーネルが正しいインタープリタを選択できず、 最終的にkernel panicが発生する問題です。ユーザーが意図的にそうしたバイナリを実行することで、 システムをクラッシュさせることが可能です。 - CVE-2010-0309は、
KVMゲストから/dev/ portへアクセスすると、 システムが停止する問題です。これによりゲストマシンからホストOSを停止させることが可能です。仮想化環境を外部に提供しているケース (特にUECを外部に解放している環境) では大きなリスクとなります。 - CVE-2010-0410は、
drivers/ connector/ connector. cに含まれるNETLINK_ CONNECTORメッセージの処理系に問題があり、 このメッセージがカーネルに送り込むことで、 メモリの過大消費を引き起こすことが可能な問題です。 - CVE-2010-0415は、
do_ move_ pages()の引数のノード指定を検証せずに実行してしまうため、 ユーザ空間のノードをセットすることによるカーネルメモリの過大消費・ 任意のカーネルメモリの読み出しが可能となる問題です。 - CVE-2010-0622とCVE-2010-0623はいずれもfutex処理上の問題で、
前者はPI-futexの格納値が、 後者はinodeリストが消去されることにより、 システムクラッシュが発生するものです。 - 対処方法:アップデータを適用の上、
システムを再起動してください。
- 現在サポートされている全てのUbuntu