10.04以前のUbuntu用Firefox 3.6

Ubuntu 8.04・9.04・9.10を利用している方にうれしいニュースがあります。10.04よりも前の、デスクトップサポートが提供されているバージョンのUbuntuにもFirefox 3.6.4が提供されることになりました。Firefox/Xulrunnerの動作には多くのライブラリが必要ですが、これらはFirefoxパッケージに含まれる形になり、システム側のライブラリとは別個のものとなります[1]⁠。

気になる提供時期は、10.04向けFirefox 3.6.4リリースと同じタイミングか、テストのためにそれよりやや遅れたあたりとなります。アドオンを追加している場合は、今のうちに互換性を確認しておきましょう。また、テスターが募集されています。Ubuntu 8.04・9.04・9.10を利用している方で、余裕のある方はテストに参加してみてください。

Ubuntuのソフトウェア管理ポリシーは本来「リリースされた時点でソフトウェアのバージョンは『フリーズ』され、細かなバグフィックス・セキュリティアップデートをのぞいて、メジャーバージョンアップは行わない」というものです[2]⁠。このFirefoxのメジャーアップデートは非常に例外的なものと言えます。ただし、Firefoxに限っては、Ubuntuのサポート期間中にMozilla.orgから提供されるセキュリティアップデートの期限が尽きてしまう場合[3]⁠、より新しいバージョンのFirefoxへのメジャーアップデートが行われる方針です。今回のバージョンアップはFirefox 3.0系のサポート終了に伴うものです。

10.10の開発

2010年10月10日にリリースされる予定のUbuntu 10.10の開発は順調に進み、Alpha1リリースのためのSoft Freezeが宣言され、比較的順調に開発が進んでいます。

現状では「10.04＋α」のレベルであるため、新しいKernelに興味がある・どうしても最新版がいい・日々トラブルが起きないと気が済まない、といった理由がない限り、アップグレードは行わない方が良いでしょう。なお、現状の10.10にはこのようなEmacsユーザーには致命的な問題があります[4]⁠。

UNEのデフォルトブラウザ

10.10のUbuntu Netbook Editionは、Desktop版とは大きく異なったものとなりそうです。最大の変更点は、標準ブラウザがChromiumになることです[5]⁠。

ただし、現状でもBlueprint関連の各種属性の設定が完了しておらず（＝公式には未承認⁠）⁠、さらにChromium/Chromeのセキュリティアップデートの効率的な取り込み方が未決定なことから、リスクが大きすぎるという理由で不採用となる可能性は残っています。

注5）

伏線として、UDS時のMark ShuttleworthのUbuntu Light環境のデスクトップでは、“⁠Unity⁠”テーマとともに「Chromeらしきブラウザ」が動作していました。

クロスコンパイル環境の整備

この1～2年のARMの躍進により、Chrome OS・Android・MeeGoなどのARM対応Linuxディストリビューションには、「⁠ARM市場におけるデファクトスタンダードを目指す」という目標が生まれています。これは単純に、現状のデスクトップにおける支配者であるMicrosoft WindowsやMac OS XにARM向け移植が存在しないためです[6]⁠。こうしたARM市場への参入はUbuntuも例外ではなく、9.04以降、ARM系SoC向けのリリースが継続して行われています。

しかしながら、ARM環境向けの開発環境はお世辞にも快適とは言い難く、非常に遅い[7]⁠・実際にターゲットにするARMマシンを持っていないとコンパイルすら無事に通らない・なぜだかARM環境でだけ再現するバグが出る等、非常に厳しい環境となっています。

Ubuntu 10.10では、この問題を少しでも改善するために、クロスコンパイル環境の整備が行われる予定です。この作業が完了することで、「⁠x86環境上でARM向けバイナリをビルドする」という作業が非常に簡単になる予定です。実際には「クロスコンパイラ環境を作るための、標準パッケージに対する差分」という形でリリースされ、若干のセットアップ作業は必要になる予定です。これにより、現在の「全工程を手で作業する必要があり、クロスコンパイル環境をセットアップするだけで一日かかる⁠」⁠、といった事態は改善されるでしょう。これは開発者以外には直接的なメリットはありませんが、ARM向けソフトウェアの開発環境が改善することで、最終的にARM上で利用できるソフトウェアの品質向上につながるため、ユーザーにとっても一定のメリットがあるはずです。

Full Circle Magazine#37

Ubuntuに関する記事を集めた月刊のWebマガジンである“⁠Full Circle Magazine⁠”の37号がリリースされました。主な内容は次の通りです。

• コマンド操作のすすめ。今回はSSHの利用方法を学びます。
• Pythonプログラミング入門。前回のXML操作に続き、今回はリモートにあるXMLファイルをパースし、結果を出力する方法（スクレイピングの初歩）を学びます。
• HowTo：Screenletの追加方法。
• HowTo：Xbox360とUbuntuを連携させる方法。
• などなど。

Ubuntu Weekly Newsletter #195

Ubuntu Weekly Newsletter #195がリリースされています。

その他のニュース

• NotifyOSDのGUIによるカスタマイズ方法。
• HyperV（Windows Serverで利用できる仮想化機能）上でUbuntuを動作させるチャレンジ。

今週のセキュリティアップデート

usn-944-1：glibc/eglibcのセキュリティアップデート

• 現在サポートされている全てのUbuntu（6.06 LTS・8.04 LTS・9.04・9.10・10.04 LTS）用のアップデータがリリースされています。CVE-2008-1391, CVE-2010-0296, CVE-2010-0830を修正します。
• CVE-2008-1391は、glibcに含まれるstrfmon()関数に整数オーバーフローが発生する箇所があり、結果としてヒープバッファオーバーフローが発生する問題です。これにより、アプリケーションのクラッシュを引き起こすことが可能です。きわめて限定された状況を仮定した場合、任意のコードの実行が可能な疑いがあります。この問題は10.04には影響しません。
• CVE-2010-0296は、glibcが/etc/mtabを操作する際、マウントポイントの文字エンコーディングを正しくハンドリングしないため、不正な行の挿入が可能となる問題です。なんらかのファイルシステムをmountできるユーザーがこの問題を悪用することで、/etc/mtabに不正な行を挿入することが可能です。結果としてシステムへのDoS攻撃・特権奪取の危険があります。
• CVE-2010-0830は、glibcに含まれるリンカのelf_get_dynamic_info()関数の問題により、悪意ある細工が施されたELFバイナリを扱う際に整数オーバーフローが発生し、ユーザー権限で任意のコードの実行が可能な問題です。現実的には信頼されていないバイナリをロードする時点で危険なため、セキュリティ的な影響範囲は小さいと考えられるものの、トロイの木馬的な攻撃手法として応用される可能性があります。
• 対処方法：アップデータを適用し、全てのサービスを再起動してください。単純な方法としてはシステムを再起動すると良いでしょう。

usn-945-1：ClamAVのセキュリティアップデート

• Ubuntu 9.04・9.10・10.04 LTS用のアップデータがリリースされています。CVE-2010-1639, CVE-2010-2077を修正します。
• CVE-2010-1639はPDFファイルの、CVE-2010-2077はPE形式の実行形式ファイルの検査における問題です。いずれも細工を施した不正なファイルを検査させることで、ClamAVをクラッシュさせることが可能です。CVE-2010-2077は10.04のみに影響します。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。
• 備考：Ubuntu 10.04 LTS向けのアップデータは、Upstreamのより新しいバージョンのClamAVを取り込んでいます。このため、これらのセキュリティ問題だけでなく、他のバグフィックスも含まれます。

usn-946-1：Net-SNMPのセキュリティアップデート

• Ubuntu 10.04 LTS用のアップデータがリリースされています。CVE-2008-6123を修正します。
• CVE-2008-6123は、SNMPdにTCP Wrappersによるアクセス制御をかけている場合においても、SNMPdへ接続できてしまうケースがある問題です。これにより、本来秘匿すべきSNMP経由での情報やWRITE操作が可能となります。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。