Upstart 0.6.7
Ubuntu以外のLinuxディストリビューションでも利用されている次世代init[1]、Upstartの0.6.7がリリースされています。現在のNattyに導入されている0.6.6からスタンザが追加され("manual"と"debug")、開発者やコアなユーザーにとっては嬉しいリリースです[2]。大きなバグや新版の公開がなければ、リリース版のNattyにはこのバージョンが搭載されるでしょう。
PS3用CDのDaily Build停止
Ubuntuには「Community Release」として、Canonical社やUbuntu Projectとしての全面支援は提供されないが、「公式」のプロジェクトとして、PPCなどの「x86以外」(厳密には「x86とx64以外」とすべきですが、Linux的にはx64とx86はしばしば同一視されます)のアーキテクチャに向けたリリースが行われています[3]。Community Release対象のものは、開発期間中は毎日CDをビルドし[4]、cdimage.ubuntu.comで公開する、というフローが行われる等、有形・無形の支援を受けることができます。
このCommunity Releaseの対象の中には、PPCのバリエーションとして「PlayStation3用」というものがあります。これは、(現在販売されている世代のPS3では出荷時点から無効に、そして以前のPS3でも最新ファームウェアにすると無効になってしまう)PS3の「他のシステムのインストール」機能を用いてUbuntuを導入し、PS3をデスクトップPCのように利用できる、というものです。
このPS3版も日々のCDビルドの対象だったのですが、(ビルド作業の主担当者である)Colin Watson氏から、「もうビルドの対象にしないつもりだ」という提案がなされています。主な理由は「普通は新規にPS3へUbuntuを導入するケースが考えられない」(Sony側の方針変更により、「他のシステムのインストール」機能が無効にされているので、新規にPS3へ導入する可能性が低い)・「PPCと別にビルドするリソースが確保できない」ことです。PS3用のCDのビルドを継続すべきであれば、意見がほしいということですので、論理的な妥当性が提案できる場合は、ubuntu-develメーリングリストへ意見を寄せてみてください。
Patch Pilotスタート
以前にお伝えしたPatch Pilotが開始され、各担当者(Barry Warsaw氏、Jamie Strandboge氏、Kees Cook氏、Dustin Kirkland氏)によるレポートが出されています。パッケージへのパッチを投稿する場合の参考になるでしょう。
Ubuntu Server関連パッケージのFTBFS
Nattyの開発において、Ubuntu Serverに関連するパッケージの多くにFTBFS(Fails To Build From Source; ビルド失敗)が発生しています。パッケージの修正やUbuntuの開発方法に興味がある場合、Ahmed Kamal氏のblog記事を参考に修正に参加してみてください。
Chromium Browserの翻訳
「Googleのブラウザ」としておなじみのChromeのオープンソース版、Chromium Browserの翻訳作業が、Launchpad上で始まりました。これはUbuntuプロジェクトとは直接は関係なく、LaunchpadをSourceForge.netのような、開発ホスティングサービスとして利用するものです。このような、「Launchpadでホストされたオープンソースソフトウェア」は他にも数多く存在します。
これにより、Launchpadのアカウントがあれば、Web上(launchpad.net上)でChromiumの翻訳作業を行うことができます。翻訳作業をしてみたい場合、先日公開されたばかりのDavid Planella氏(Ubuntu Translations Coordinator)によるVideocastを参照してみるといいでしょう。Videocastの詳細もあわせて確認してください。
その他のニュース
- Conkyの設定13種。
- (Chrome OSのテスト機である)Cr-48上でUbuntuを動かす方法。
- Ubuntuマシン同士でのテザリングの方法。
- 11.04のUnityの日付表示の設定変更方法。
- CanonicalのCOO、Matt Asay(現CEOのSilbsの代わりにCOOになった人物)が退職したことに関連するZDNETの報道。
今週のセキュリティアップデート
- usn-1030-1:Kerberos のセキュリティアップデート
- https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-December/001211.html
- 現在サポートされている、すべてのUbuntu(6.06 LTS・8.04 LTS・9.10・10.04 LTS・10.10)用のアップデータがリリースされています。CVE-2010-1323, CVE-2010-1324, CVE-2010-4020, CVE-2010-4021を修正します。
- CVE-2010-1323は、認証の前段階においてSAM-2を利用する際、チェックサムの検証が不完全であるため、一部のアプリケーションで利用されているKRB-SAFEメッセージの改ざんを許す問題です。
- CVE-2010-1324は、Kerberosライブラリを利用したクライアントアプリケーションが行うGSS認証において、一部のチェックサムの検証が不完全なことにより、署名された非暗号化GSSトークンの改ざん・権限昇格などが可能になる問題です。この問題は1.7系以降のMIT Kerberosにのみ影響するため、6.06 LTS・8.04 LTSは影響を受けません。
- CVE-2010-4020は、Kerberosライブラリを利用したクライアントアプリケーションが行うGSS認証にお>いて、チェックサムの実装が不十分なため、既存の認証情報をもとにチェックサムを予測し、メッセージを改ざんすることが可能な問題です。応用により、Kerberos上に構築された認証系の実装によっては権限昇格が可能です。
- CVE-2010-4021は、特定の(現実的な環境では通常ありえない)設定が行われている環境において、KrbFastReqの偽造により不正にKerberos Ticketが発行される問題です。攻撃者は既存の有効なTicketを保持している必要があります。
- 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
- usn-1019-1:Firefox and Xulrunner のセキュリティアップデート
- https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-December/001212.html
- 現在デスクトップ向けのサポートが提供されている、すべてのUbuntu(8.04 LTS・9.10・10.04 LTS・10.10)用のアップデータがリリースされています。Firefox 3.6.13に相当するアップデートです。CVE-2010-3766, CVE-2010-3767, CVE-2010-3768, CVE-2010-3770, CVE-2010-3771, CVE-2010-3772, CVE-2010-3773, CVE-2010-3774, CVE-2010-3775, CVE-2010-3776, CVE-2010-3777, CVE-2010-3778を修正します。
- 詳細は、http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.13を参照してください。
- 対処方法:アップデータを適用の上、Firefoxそのものと、Xulrunnerを利用するすべてのプロセスを再起動してください。
- usn-1020-1:Thunderbird のセキュリティアップデート
- usn-1031-1:ClamAV のセキュリティアップデート
- https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-December/001214.html
- https://launchpad.net/ubuntu/+source/clamav/0.96.5+dfsg-1ubuntu1~karmic1
- https://launchpad.net/ubuntu/+source/clamav/0.96.5+dfsg-1ubuntu1~hardy1
- https://launchpad.net/ubuntu/+source/clamav/0.96.5+dfsg-1ubuntu1~dapper1
- Ubuntu 10.04 LTS・10.10用のアップデータがアドバイザリ付で各-securityリポジトリに、6.06・8.04 LTS・9.10用のアップデータが-backportsにリリースされています。CVE-2010-4260, CVE-2010-4261, CVE-2010-4479を修正します。
- CVE-2010-4260, CVE-2010-4479は、ClamAVに含まれるPDF検証エンジンの問題です。ClamAVのクラッシュが可能です。可能性レベルで任意のコードの実行のおそれがあります。ただし、10.04・10.10等のインストール環境においてはClamAVはAppArmorにより隔離されており、任意のコードが実行される場合の影響範囲は限定されます。
- CVE-2010-4261は、ClamAVのPEファイル組み込みのアイコンリソースの検査ルーチンにおいて、境界値エラーが潜在している問題です。ClamAVに悪意ある細工を施したアイコンリソースを検査させることでクラッシュさせることが可能です。
- 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
- usn-1032-1:Exim のセキュリティアップデート
- https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-December/001215.html
- Ubuntu 6.06 LTS・8.04 LTS・9.10用のアップデータがリリースされています。
- CVE-2010-4344は、Eximに含まれる文字列展開機能が文字列を適切にチェックしていないため、悪意ある細工の施されたメールを受信した際、root権限で任意のコマンドが実行されてしまう問題です。問題の報告が実際の攻撃に基づいて行われているため、既に広範囲に攻撃が行われている可能性があります。
- 備考:Exim 4.7x以前に存在した問題のため、10.04以降には既に問題が解決されたパッケージが含まれています。
- 対処方法:通常の場合、アップデータを適用することで問題を解決できます。ただし、外部に公開するMTAとして動作させていたホストの場合、アップデート以前に攻撃を受けていないことを確認するため、何らかの手段でシステムが侵害されていないことを確認する必要があります。
- usn-1024-2:OpenJDK regression
- https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-December/001216.html
- usn-1024-1の再修正です。Ubuntu 10.10で発生した、LP#688522で報告された問題を修正します。
- usn-1024-1の非互換により、Eucalyptusがビルド不能に陥っていました。
- 対処方法:アップデータを適用の上で、副作用を防ぐためにJavaを利用する全てのプロセス・アプレット等を再起動してください。