2011年3月4日号　Developer Week・Upstart 1.0・N+1のUDS・OSC2011 Tokyo/Spring・オフラインミーティング関西・kernelのセキュリティアップデート

Ubuntu Developer Week

Ubuntuの開発者とユーザーが交流する「お祭り」である、Ubuntu Developer Weekが開催されています（2月28日～3月4日⁠）⁠。Developer Weekは、「⁠開発に関わろうと思っている人が、開発者に質問をする」ことで、Ubuntuの開発に参加するための糸口を提供するイベントです。

イベントの様子は、Daniel Holbachのblogや、Wikiページのタイムテーブルから確認できます。リアルタイムで参加するだけでなく、どちらかというと後からログを読む、という楽しみ方もできるイベントですので、興味のある分野のセッションのログを覗いてみてください。

Upstart 1.0!

Upstartは、Ubuntu（やRed Hat Enterprise Linux）で使われている「次世代のinitプログラム」です[1]⁠。既存のSysVinitに比べると、サービス起動スクリプトを簡便に記述できる・複雑な条件を簡単に指定できる・サービス起動を並列に実行できるので高速、といった多くのメリットを持っています。Ubuntuでは6.10の時代からUpstartを取り込んでいます。

このUpstartが、ついにVersion 1.0を迎えました。0.3（/etc/event.d/時代）から0.6への移行時のような非互換な変更は行われず、非破壊な拡張が行われるであろう、という意味で、1.0は非常に重要なリリースです。もっとも、Upstartの当初案に含まれていた「atやcronの置き換え」（⁠注2）「⁠サービス単位での再起動」といった機能やシステム内での調整にはまだ至っておらず、まだまだ機能は追加されていくはずです。

「N+1」のDeveloper Summit

Natty（11.04）のリリースを約二ヶ月先に控え、「⁠Nの次」（⁠N+1）のための動きが始まっています。

Ubuntuの開発は、「⁠Ubuntu Developer Summit」（⁠UDS）と呼ばれる開発者会議から始まります[3]⁠。UDSにはUbuntuの開発者だけでなく、Canonicalのパートナー企業・Debian開発者の一部・GNOME等のソフトウェア開発者・Ubuntuを利用するハードウェアベンダのオープンソース関係者、といった「Ubuntuの開発にかかわる人」が集まり、「⁠次のバージョン」の開発方針やスケジュールを確定するために、数日にわたってディスカッションを繰り広げる、というものです。

UDSへの参加においては、既存の開発者であればCanonicalによる旅費の補助（ただし、大抵は「費用の一部⁠」⁠）が行われます。今回のUDSでも、この補助の募集が開始されました（開発が佳境に入った頃の風物詩とも言います⁠）⁠。

UDS N+1は、5月9日〜13日、ハンガリーの首都ブダペストで行われます。

Nattyの開発

builder incident

Nattyの開発そのものにはそれほど大きなShow Stopperは発生していませんが、ビルドに用いられるサーバーではちょっとした事件が発生していました。問題のあった期間にビルドされたパッケージが、万が一システム内に含まれてしまっていないか注意したほうがよいでしょう。

なお、このような「インシデント」は、Incident Reportとして随時まとめられていきます。開発版を利用している場合、あるいはUbuntuをビジネスに利用しているような場合は、ubuntu-devel MLを購読するか、定期的にこのページを確認するようにした方がよいでしょう。

Wayland in natty

将来的にUbuntuでX.orgの代わりに使われるであろうGUIサブシステム、WaylandがNatty用に提供されるようになりました。

現状では完全に「人柱向け」（⁠「⁠テスター向け」というよりは「勇者求む」というレベル）ではありますが、未来のLinuxデスクトップを体験してみたい、という場合には手を出してみても良いかもしれません。テストする場合には、ML上のアナウンスに記載された注意事項をきちんと読み、予備機を準備してから導入しましょう。

オープンソースカンファレンス 2011 Tokyo/Spring

Ubuntu Japanese Teamは2011年3月4(金)、5日(土)に開催されているオープンソースのお祭り「オープンソースカンファレンス 2011 Tokyo/Fall」に参加します。会場は早稲田大学西早稲田キャンパスです。ブースにてデモ機の展示を行うほか、5日には「Ubuntu 11.04プレビュー」と称して、Ubuntuの次期バージョン（Natty）に関するセミナセッションを行います。

イベントの概要は次の通りです。皆様のご来訪をお待ちしております。

日程	2011年3月4日(金)10:00-17:00, 5日(土) 10:00-17:30 (4日の展示は11:00から、5日の展示は16:00まで）
会場	早稲田大学西早稲田キャンパス63号館、61号館（地下鉄東京メトロ副都心線「西早稲田」駅から直結）
参加費用	無料
主催	オープンソースカンファレンス実行委員会
共催	早稲田大学基幹理工学部情報理工学科
企画運営	株式会社びぎねっと
URL	http://www.ospn.jp/osc2011-spring/

なお、会場の食堂・自販機には数に限りがありますので、飲料水の持ち込みに加え、昼食を取られる場合は適宜持ち込みをお願いいたします。

オフラインミーティングKansai 11.03

Ubuntu "オフライン" ミーティングは、Ubuntuユーザーが直接顔を合わせいろいろな形で交流を行うためのイベントです。今回は「2010年度の忘年会」と称して、恒例の昼食会＆お茶会＆セミナ＆ライトニングトークを行います。関西のUbuntuユーザ同士の親睦を深めましょう。

イベントの概要は次の通りです。OSC Tokyoに引き続き、こちらも皆様のご来訪をお待ちしております。

日程	2011/03/19(土) 12:30 ～ 18:00 (予定)
会場	京都高度技術研究所 8Fコミュニケーションルーム (京都リサーチパーク内)
重要	参加には事前登録が必要です。ATNDを用いて登録を行ってください。
主催	Ubuntu Japanese Team
協賛	京都高度技術研究所(ASTEM)様
URL	https://wiki.ubuntulinux.jp/Events/OfflineKansai201103

その他のニュース

Canonicalと商業主義（Bansheeなどの一件）についての、Mark Shuttleworthからの謝罪とアナウンス。
Thunderbirdを用いてGMailアカウントのメールをバックアップする方法。
Windows 7を、Ubuntu 10.10そっくりにするテーマについて[4]⁠。
KDE環境でDropboxをインストールする方法。

今週のセキュリティアップデート

usn-1071-1・usn-1072-1・usn-1073-1：Linux kernel のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-February/001255.html
https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-February/001256.html
https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-February/001257.html
Ubuntu 6.06 LTS用のアップデータがリリースされています。CVE-2010-3086, CVE-2010-3859, CVE-2010-3873, CVE-2010-3875, CVE-2010-3876, CVE-2010-3880, CVE-2010-4078, CVE-2010-4080, CVE-2010-4081, CVE-2010-4083, CVE-2010-4157, CVE-2010-4160を修正します。
Ubuntu 8.04 LTS用のアップデータがリリースされています。CVE-2010-0435, CVE-2010-2943, CVE-2010-3296, CVE-2010-3297, CVE-2010-3448, CVE-2010-3698, CVE-2010-3699, CVE-2010-3858, CVE-2010-3859, CVE-2010-3873, CVE-2010-3875, CVE-2010-3876, CVE-2010-3877, CVE-2010-3880, CVE-2010-4072, CVE-2010-4074, CVE-2010-4078, CVE-2010-4079, CVE-2010-4080, CVE-2010-4081, CVE-2010-4083, CVE-2010-4157, CVE-2010-4160, CVE-2010-4248を修正します。
Ubuntu 9.10用のアップデータがリリースされています。CVE-2010-0435, CVE-2010-3448, CVE-2010-3698, CVE-2010-3859, CVE-2010-3865, CVE-2010-3873, CVE-2010-3874, CVE-2010-3875, CVE-2010-3876, CVE-2010-3877, CVE-2010-3880, CVE-2010-4074, CVE-2010-4078, CVE-2010-4079, CVE-2010-4080, CVE-2010-4081, CVE-2010-4082, CVE-2010-4083, CVE-2010-4157, CVE-2010-4160, CVE-2010-4165, CVE-2010-4169, CVE-2010-4248, CVE-2010-4249を修正します。
対処方法：アップデータを適用した上で、システムを再起動してください。

usn-1080-1・usn-1081-1：Linux kernel のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-March/001265.html
https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-March/001266.html
Ubuntu 10.04 LTS用カーネルがリリースされています。CVE-2010-3865, CVE-2010-3875, CVE-2010-3876, CVE-2010-3877, CVE-2010-3880, CVE-2010-4248, CVE-2010-4343, CVE-2010-4346, CVE-2010-4526, CVE-2010-4527, CVE-2010-4649, CVE-2011-1044を修正します。
Ubuntu 10.10用カーネルがリリースされています。CVE-2010-3698, CVE-2010-3865, CVE-2010-3875, CVE-2010-3876, CVE-2010-3877, CVE-2010-3880, CVE-2010-4079, CVE-2010-4083, CVE-2010-4248, CVE-2010-4342, CVE-2010-4346, CVE-2010-4527, CVE-2010-4649, CVE-2011-1044を修正します。

usn-1074-1：i.MX51用Linux kernelのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-February/001258.html
https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-February/001262.html
Ubuntu 9.10/i.MX51用カーネルがリリースされています。CVE-2009-4895, CVE-2010-2066, CVE-2010-2226, CVE-2010-2240, CVE-2010-2248, CVE-2010-2478, CVE-2010-2495, CVE-2010-2521, CVE-2010-2524, CVE-2010-2538, CVE-2010-2798, CVE-2010-2803, CVE-2010-2942, CVE-2010-2943, CVE-2010-2946, CVE-2010-2954, CVE-2010-2955, CVE-2010-2959, CVE-2010-2962, CVE-2010-2963, CVE-2010-3015, CVE-2010-3067, CVE-2010-3078, CVE-2010-3079, CVE-2010-3080, CVE-2010-3081, CVE-2010-3084, CVE-2010-3296, CVE-2010-3297, CVE-2010-3298, CVE-2010-3301, CVE-2010-3310, CVE-2010-3432, CVE-2010-3437, CVE-2010-3442, CVE-2010-3448, CVE-2010-3477, CVE-2010-3698, CVE-2010-3705, CVE-2010-3848を修正します。
Ubuntu 10.04/i.MX51用カーネルがリリースされています。CVE-2009-4895, CVE-2010-2066, CVE-2010-2226, CVE-2010-2248, CVE-2010-2478, CVE-2010-2495, CVE-2010-2521, CVE-2010-2524, CVE-2010-2538, CVE-2010-2798, CVE-2010-2942, CVE-2010-2943, CVE-2010-2946, CVE-2010-2954, CVE-2010-2955, CVE-2010-2962, CVE-2010-2963, CVE-2010-3015, CVE-2010-3067, CVE-2010-3078, CVE-2010-3079, CVE-2010-3080, CVE-2010-3081, CVE-2010-3084, CVE-2010-3296, CVE-2010-3297, CVE-2010-3298, CVE-2010-3301, CVE-2010-3310, CVE-2010-3432, CVE-2010-3437, CVE-2010-3442, CVE-2010-3448, CVE-2010-3477, CVE-2010-3698, CVE-2010-3705, CVE-2010-3848, CVE-2010-3849, CVE-2010-3850, CVE-2010-3858, CVE-2010-3861, CVE-2010-3904, CVE-2010-4072, CVE-2010-4073, CVE-2010-4074, CVE-2010-4078, CVE-2010-4079, CVE-2010-4165, CVE-2010-4169, CVE-2010-4249を修正します。
対処方法：アップデータを適用した上で、システムを再起動してください。
備考：i.MX51用カーネルはしばらく更新されていなかったため、他のアーキテクチャ用カーネルよりも多くの修正点を含んでいます。

usn-1077-1：FUSE のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-February/001259.html
Ubuntu 8.04 LTS・9.10・10.04 LTS・10.10用のアップデータがリリースされています。CVE-2009-3297, CVE-2011-0541, CVE-2011-0542, CVE-2011-0543を修正します。

*CVE-2009-3297, CVE-2011-0541, CVE-2011-0542, CVE-2011-0543は、いずれもFUSEにおける古典的symlink攻撃を許す問題です。FUSEを利用できるローカルユーザにより、任意のマウントポイントをumountされてしまう可能性があります。

対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-1075-1：Sambaのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-February/001260.html
Ubuntu 6.06 LTS・8.04 LTS・9.10・10.04 LTS・10.10用のアップデータがリリースされています。CVE-2011-0719を修正します。
CVE-2011-0719は、Sambaのメモリ管理上、スタックバッファオーバーフローが発生する問題です。現状ではDoSに留まるものと見られます。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-1076-1：ClamAVのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-February/001261.html
Ubuntu 9.10・10.04 LTS・10.10用のアップデータがリリースされています。CVE-2011-1003を修正します。
CVE-2011-1003は、ClamAVに含まれるVBAマクロの検証ルーチンの問題で、悪意ある細工が施されたファイルを検証した場合、任意のコードの実行・プロセスのクラッシュが発生するものです。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。
備考：通常の場合、ClamAVはAppArmorによって権限を制約された状態で動作しているため、問題の影響範囲は限定されます。

usn-1078-1：Logwatchのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-March/001263.html
Ubuntu 8.04 LTS・9.10・10.04 LTS・10.10用のアップデータがリリースされています。CVE-2011-1018を修正します。
CVE-2011-1018は、Logwatchがログファイルを収集する際、悪意ある細工の含まれたログファイル名を処理した場合に、Logwatchの実行権限（通常の場合root）でシェルコマンドが実行される問題です。この問題が顕在化するには、攻撃者がログファイル名を何らかの方法で制御できる必要があります。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-1079-1：OpenJDK 6 のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-March/001264.html
Ubuntu 9.10・10.04 LTS・10.10用のアップデータがリリースされています。CVE-2010-4448, CVE-2010-4450, CVE-2010-4465, CVE-2010-4469, CVE-2010-4470, CVE-2010-4471, CVE-2010-4472, CVE-2010-4476, CVE-2011-0706を修正します。JDK6u23相当のアップデートです。