Ubuntu 10.10のリリース

2010年10月10日に、Ubuntu 10.10がリリースされました。アナウンスメールは「Date: Sun, 10 Oct 2010 11:10:10 +0100」に投げられ、UTCで見ると『2010/10/10 10:10:10のリリース』ということになります[1]⁠。通常、リリース前後にはかなりのパッケージにバグが発見されるため、安全を期す場合は11月に入ってから利用するのが無難でしょう。なお、CanonicalからのアナウンスはDesktopとServerに分けて行われています。

リリースに関連する情報は、Japanese Teamのリリース案内を参照してください。特にアップグレードを行う場合、リリースノートの確認は必須です。

10.10を新規にインストールする時間が取れない方のために、各所でスクリーンショットが公開されています。

また、Server版については、55分間使えるEC2インスタンスが無償で提供されています（WordPressとMoinMoinインストール済⁠）⁠。Launchpadアカウントさえあればテスト的に「触ってみる」ことが可能です。

10.10 日本語Remix のリリース予定日

10.10の正式リリースが行われたため、Japanese Teamでリリースしている日本語Remixの作業も進んでいます。リリース予定日は明日10月16日(土)です。リリースアナウンスはML・Webサイトで行いますので、ubuntu-jp MLなどで確認してください。

なお、すでに10.10の非Remix版ISOを入手している場合、リポジトリを追加することで、Remixと同じ状態にすることが可能ですので、新規のダウンロードは不要です。

0-day Kernel update

以前にお伝えした通り、Ubuntu 10.10では、リリースと同時に新しいカーネルパッケージがリリースされています（LP#647071⁠）⁠。比較的シビアなバグ（AppArmorのネットワークプロファイルが更新されるたびに、すべてのコネクションが一度切断される）が存在し、かつ幾つかのセキュリティアップデートを含むものであるため、確実に適用しておいた方が安全です。

10.10のアップデート後のパッケージ変更状況を追跡したい場合、Maverick-changesを購読してください[2]⁠。

10.10のdpkgの仕様変更について

リリースノートにもある通り、dpkgの仕様チェックが厳格化されたため、ポリシーに従っていないパッケージはインストールできなくなっています。これにより、次の制限が生じています。本質的にはパッケージのバグであるため、パッケージ側で対処が行われる必要があります。

• バージョン文字列にアンダースコア（_）が含まれるパッケージは、新規インストールが行えません。既にインストールされたものは削除されませんが、dpkgによるなんらかの操作が行われるたびに警告が表示されます。
• 依存関係を示すDepends行が、複数含まれるパッケージはインストールできません。

これにより、ATOK X3などの商用ソフトの一部が、「⁠新規では」インストールできません。言い換えると、10.04 LTSでATOK X3をインストールして10.10にアップグレードすれば、dpkgからは警告が出力され続けますが、利用は可能です。現時点ではこれらのソフトウェアを利用する場合、10.04で利用する方が無難な状態です。

10.10でのsymlink/hardlinkとデバッグ

Ubuntu 10.10では、Yama LSMの特別版がカーネルに含められ、標準カーネルでは存在しないピンポイントなセキュリティ強化が行われています。具体的には、Sticky SymlinkとNon Access Hardlink Protection・Ptrace Scopeが導入されています。端的には、「⁠誰でも書けてstickyフラグが立っているディレクトリでは、シンボリックリンクとリンク先のオーナーが一致していないとたどらない」「⁠本来読めないファイルへのハードリンクは作れない」「⁠root権限がないとptraceできない」です。デバッグやトリッキーなテクニックを用いる場合、10.10以降では実質的にroot権限が必要となります。

今週のセキュリティアップデート

usn-999-1：Kerberosのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-October/001173.html
• Ubuntu 10.04 LTS・10.10用のアップデータがリリースされています。CVE-2010-1322を修正します。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。
• CVE-2010-1322は、KDCがTGSリクエストを受信した際、初期化していないポインタを利用してしまう問題です。通常はクラッシュとして顕在化しますが、確率論的に誤って正規の処理が行われてしまい、本来付与されるべきでない権限の付与等の誤った認証処理が行われる可能性があります。詳細はMITKRB5-SA-2010-006を確認してください。

usn-1001-1：LVM2のセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-October/001174.html
• Ubuntu 6.06 LTS・8.04 LTS・9.04・9.10・10.04 LTS（＝10.10以外）用のアップデータがリリースされています。CVE-2010-2526を修正します。
• LVM2に含まれるclvmdが、ソケット経由の通信時にアクセス元を確認せず、メタデータ操作をクラスタ内のすべてのマシンに対して許してしまう問題です。これにより、root権限等の特権がなくとも論理ボリュームの不正操作が可能です。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。クラスタなどclvmdが起動している環境の場合、アップデート後にclvmdを再起動する必要があります。通常、問題の影響を受ける環境ではclvmdが起動していると考えられます。

usn-1003-1：OpenSSLのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-October/001175.html
• 現在サポートされている全てのUbuntu（6.06 LTS・8.04 LTS・9.04・9.10・10.0 4 LTS・10.10）用のアップデータがリリースされています。CVE-2009-3245, CVE-2010-2939を修正します。
• CVE-2009-3245は、OpenSSLに含まれる一部の関数呼び出し、返り値のNullチェックが省略されている問題です。一定の状況を仮定すると、メモリの過大消費・クラッシュなどが発生することが確認されています。厳密な影響範囲は不確定です。この問題は6.06 LTS・8.04 LTS・9.04・9.10にのみ影響します。
• CVE-2010-2939は、OpenSSLが秘密鍵ファイルを取り扱う際、不正に構成され、素数ではない数字に基づく鍵ファイルを開いた際に解放済みのメモリをさらに解放してしまう問題です。これにより理論上任意のコードの実行やDoSが可能です。ただしUbuntuのデフォルト設定では、コンパイルオプションにより問題が緩和され、任意のコード実行は行えず、クラッシュが請じます。なお、同様のコードをコピーして用いている実装において、同様の問題が発生する可能性があります。
• 対処方法：アップデータの適用の上、システムを再起動してください。

usn-1002-1・usn-1002-2：PostgreSQLのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-October/001176.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-October/001177.html
• 現在サポートされているすべてのUbuntu（6.06 LTS・8.04 LTS・9.04・9.10・10.04 LTS・10.10）用のアップデータがリリースされています。CVE-2010-3433を修正します。
• CVE-2010-3433は、PostgreSQL内でPL/Perl・PL/Tclでコマンドの再定義を行った場合、他のユーザーからでも再定義を行ったユーザーと同じ権限でコマンドを実行できてしまう問題です。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。
• 備考：10.10以外のリリースへのアップデータは、PostgreSQL開発元の各系統の最新バージョンをベースにしています。該当のセキュリティアップデート以外のバグフィックスも含まれます。