10.10の開発

Ubuntu 10.10は、9月末のRelease Candidateに向かい、最後のバグ潰しが開始されました。すでにmainに含まれるパッケージはFreezeされているので、今後のアップロードはRelease Teamがチェックした上で許可する、という形に切り替わります。

ただし、universe/multiverseに属するパッケージの更新は10月9日まで続けられます。10月6日～9日はRelease Teamによるレビューの上でのアップロードになるため比較的安全になりますが、それまでの間、universe/multiverseに属するパッケージは駆け込みアップロードが続出により、かなり激しく更新されるはずです。

ちなみにmain側のFreezeではもうすぐFreezeされるよというアナウンスがFreezeの26分前に出たり（アナウンスが出たのがBST 15:34 = UTC 16:34。FreezeはUTC 17:00⁠）⁠、Kernel FreezeではFreeze間際になってgccが更新されてカーネルのリビルドが必須になったり、開発上の問題とはまったく異なるものの、天災に巻き込まれてアップロードが滞ったり[1]⁠、Freeze後にAppArmorにクリティカルな問題が見つかったり[2]と、スムーズながらも小さなイベントは大量に起きています。Freezeの前後で予想外のイベントが発生するのがお約束ですので、まだ油断はできません。

10.10のPapercuts(6)

Ubuntuでは、リリース毎に「すぐに直せる」「⁠ユーザーの使い勝手を損ねる」バグをだいたい100個修正する、『⁠Hundred Papercuts』と呼ばれるプロジェクトを実施しています。Ubuntu 10.10で行われるPapercutsの内容をその1・その2・その3・その4・その5に引き続いて見ていきましょう。

Paper Jam: Gtk+ , notify-osd , misc dialogue windows

• LP#16492 マウスが利用されていない状況でキーボード入力があった場合、マウスカーソルを隠すべき。
• LP#44082 何かの弾みでGNOMEの右側にあるべきアイコンが移動してしまうのを何とかしたい。
• LP#206837 geditのウインドウの右端に、なぜか1ピクセル分の空きがある。
• LP#386900 「⁠Auto eth0」ではなく「eth0」と表記されるべき。
• LP#387799 Nautilusと、GTKのファイルダイアログの間でファイルの並び替え機能が合致していない。
• LP#410636 右クリックで開かれるメニューにおいて、「⁠右クリックによってメニュー項目を実行できる」ようになっているため、油断するとメニューを開いた瞬間に処理を実行してしまうことがある。
• LP#530751 「⁠バッテリが放電中」ではなく「バッテリで動作中」とすべき。感電しそう。
• LP#376966 gdebiがパッケージをインストールする際、「⁠完了したら閉じる」チェックボックスを一度チェックしたら、それ以降のgdebiの利用時にも覚えておいてほしい。
• LP#509656 ファイルの「詳細」表示時、時刻で並び替えを行った際、右端に表示される矢印の向きがNautilusとファイルダイアログで逆転している。
• LP#550955 Software CenterのAboutダイアログが、設計と違ってモーダルダイアログになってしまっている。
• LP#616569 Jockyの処理中、タイトルのついていないウインドウが表示される。

Ubuntu Weekly Newsletter #211

Ubuntu Weekly Newsletter #211がリリースされています。

Ubuntu Hardware Summit

Ubuntuを支援するCanonical社の主催で、「⁠Hardware Summit」が9月24日に台湾で[3]開催されました。このイベントはODMベンダを対象にしたもの[4]で、主に「Ubuntuがうまく動作するハードウェアはどんなものか」「⁠Canonicalにはどのようなサポート体制があるのか」といったことを紹介する、ビジネス的なイベントです。

CanonicalはUbuntuのOEMビジネスを収益源の一つとしているため、対応ハードウェアが増えることは非常に重要です。一般的な利用者に直接影響するイベントではありませんが、Agendaは公開されています。内容に興味がある場合は、何らかの形で公開されるのを待ちましょう[5]⁠。

その他のニュース

• Gumstix OveroでUbuntu 10.04を動かす話。Gumstixはその名の通り「チューインガムサイズ」の小型コンピュータです。Overoは最新世代のボードの一つで、Ti OMAP 3503と256MB Memoryを搭載した、小さな高性能マシンです。
• HTC HD2（Snapdragonを搭載した、Windows Mobileスマートフォン）上でUbuntu 9.10を動かす話。7月頃にはすでに「とりあえず動いている」状態ではあったのですが、uTouchの対応が進んでいたりします。
• UbuntuをMac風にする簡単な方法。
• NVIDIAの音声出力に対応したHDMI対応のGPUで、オーディオ出力をHDMIで行う方法。

今週のセキュリティアップデート

ローカルからの確実な権限奪取が可能なカーネルの脆弱性が存在します。通常の環境ではブラウザ等からの攻撃を、Webサーバーなどでは「Apache権限での任意のコードの実行」といったタイプの脆弱性に注意してください。特に、何らかの形でファイルのアップロードを許可している環境の場合、脆弱性を突くコードをアップロードした上でそのファイルを実行、といった二段構えの攻撃でroot権限を奪われる恐れがあります。なお、maverickではKernel Freeze直前のバージョン、2.6.35-22.32で対策済みです。

usn-975-2：Firefox・Xulrunnerの再アップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-September/001157.html
• Ubuntu 8.04 LTS・9.04・9.10・10.04 LTS用のアップデータがリリースされています。Firefox 3.6.10に相当します。Firefox 3.6.9で発生した、特定環境での安定性の問題を修正します。
• 対処方法：アップデータを適用した上で、Firefox、ならびにXulrunnerを利用するアプリケーションを再起動してください。

usn-978-2 Thunderbirdの再アップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-September/001158.html
• Ubuntu 10.04 LTS用のアップデータがリリースされています。Thunderbird 3.0.8に相当します。Thunderbird 3.0.7で発生した、特定環境での安定性の問題を修正します。
• 対処方法：アップデータを適用した上で、Thunderbirdを再起動してください。

usn-988-1 Linux kernelのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-September/001159.html
• 現在サポートされているすべてのUbuntu（6.06 LTS・8.04 LTS・9.04・9.10・10.04 LTS）用のアップデータがリリースされています。CVE-2010-3081, CVE-2010-3301を修正します。
• CVE-2010-3081, CVE-2010-3301とも、64bit環境における32bitシステムコールの処理上のチェック漏れにより、悪意あるコードの実行でroot権限が奪取される問題です。攻撃のためのきわめて安定した攻略コードが存在します。
• 対処方法：アップデータを適用した上で、システムを再起動してください。

usn-986-1・usn-986-2・usn-986-3：bzip2・ClamAV・dpkgのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-September/001160.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-September/001161.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-September/001162.html
• 現在サポートされている全てのUbuntu（6.06 LTS・8.04 LTS・9.04・9.10・10.04 LTS）用のアップデータがリリースされています。CVE-2010-0405を修正します。
• CVE-2010-0405は、bzip2ライブラリの処理上、整数オーバーフローによりヒープバッファオーバーフローが発生する問題です。悪意ある細工を施したbzip2圧縮ファイルを処理させることで、任意のコードの実行・アプリケーションのクラッシュを発生させることが可能です。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。
• 備考：bzip2ライブラリの更新により、リンクしているClamAV・dpkgもあわせて更新されます。

usn-989-1 PHPのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-September/001163.html
• 現在サポートされている全てのUbuntu（6.06 LTS・8.04 LTS・9.04・9.10・10.04 LTS）用のアップデータがリリースされています。CVE-2010-0397, CVE-2010-1128, CVE-2010-1129, CVE-2010-1130, CVE-2010-1866, CVE-2010-1868, CVE-2010-1917, CVE-2010-2094, CVE-2010-2225, CVE-2010-2531, CVE-2010-2950, CVE-2010-3065を修正します。
• PHPに含まれる多数の脆弱性を修正します。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-990-1・usn-990-2：OpenSSL・Apacheのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-September/001164.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-September/001165.html
• 現在サポートされている全てのUbuntu（6.06 LTS・8.04 LTS・9.04・9.10・10.04 LTS）用のアップデータがリリースされています。CVE-2009-3555を完全に修正します。usn-860-1ではTLS renegotiationを無効にする形で脆弱性を回避する一次対処が行われています。
• TLS・SSLv3のプロトコル設計上の問題で、セッションの再ネゴシエーション時に、HTTPSでのやりとりに含まれるリクエストの先頭に任意のテキストを挿入できる脆弱性です。プロトコルの修正（RFC5746）により、問題の解決が行われました。
• 対処方法：アップデータを適用した上で、システムを再起動してください。
• 備考：アップデート後は、新しいプロトコルに基づいて接続を行うクライアントからのrenegotiation要求を受け取るようになります。未パッチのクライアントからのrenegotiationは拒否します。SSLInsecureRenegotiationディレクティブを用い、未パッチのクライアントからの要求を受け取るように設定することも可能です。http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslinsecurerenegotiationを参照してください。
• 備考2：CVE-2009-3555の詳細については、2009年11月27日号を参照してください。