Ubuntu Weekly Topics

2014年3月21日号vUDS 14.03(2)・UWN#359

vUDS 14.03(2)

Ubuntuの開発者会議、vUDS 14.03が先日行われました。これまでの本連載と同じように、UDSで話し合われた内容を見ていきましょう。今週は主に「Core」部分、Ubuntuのベース環境についてです。

なお、Mirは2016年までUbuntu Desktopには投入されないだろうという観測もあります。

  • core-1403-hwe-stack-eol-notifications:LTSではHWE(Hardware Enablement。旧称Backports Kernel)スタックを提供するが、これらは「HWEのもとになったリリース」はLTS本来の寿命よりも先にEOLを迎えてしまう。12.04 LTSに提供されたHWEは2014年7~8月にEOLする予定だ。これらについてユーザーに適切な方法でEOLを伝え、また、より新しいHWEへの移行が行えるようにする必要がある。通知方法とアップグレードパスについて検討しよう。
  • core-1403-landing-process-touch:Ubuntu Touchの「出荷テスト」について検討しよう。本体イメージや各種アプリケーションについて、どのようなテストを設定すべきなのか、プロセスを含めて考えよう。
  • core-1403-networking-healthcheck:14.04で使う各種ネットワークスタックについて検討しよう。bluez 5を使うべきか? NetworkManagerは0.9.9を使うか? それともリリース後にでも1.0に移行してしまうか? また、これと合わせて、14.10以降のネットワークスタックについて検討しよう(注:NetworkManager 1.0にするのはアグレッシブすぎるので0.9.9にすることでほぼ確定しています⁠⁠。
  • core-1403-qt5-versioning:14.04でのQt5.0からQt5.2への移行状況を確認し、今後のバージョン移行戦略を検討しよう。
  • core-1403-stable-core-platform-for-touch-beyond-14.04:Ubuntu Touchは14.04がリリースされてもまだまだ進化を続けなくてはUbuntu Phoneはリリースできない。14.04をベースとしてUbuntu Touchを進化させていくに当たって、必要なものを検討しよう。14.04がリリースされれば14.10の開発が開始されるが、何らかの方法で14.10の成果を14.04にも反映していく必要がある。
  • core-1403-hidpi-boottime:高解像度ディスプレイにおけるブート時の画面表示をなんとかしよう。少なくともGRUBのメニュー画面が画面の左側にだけ表示されるのはまったく美しくないし、GRUB上で文字を入力するのは苦痛だ。また、Ubuntuアイコンがものすごく小さく表示されるのもよろしくない。これらは自動的にサイズを調整できるようにするべきだ。
  • servercloud-1403-networking:14.04以降のUbuntu Serverのネットワーク環境のありかたについて検討しよう。
  • uvtool-demo:KVMを用いた仮想マシンを簡単に生成できるuvtoolデモをしたい

UWN#359

Ubuntu Weekly Newsletter #359がリリースされています。

その他のニュース

今週のセキュリティアップデート

usn-2142-1:UDisksのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-March/002436.html
  • Ubuntu 13.10・12.10・12.04 LTS用のアップデータがリリースされています。CVE-2014-0004を修正します。
  • UDisksに極端に長いパス名を与えると、不正な位置でパス名を切り詰めてしまう問題がありました。これを応用することで、本来意図されないディレクトリを作成することができます。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2143-1:cups-filtersのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-March/002437.html
  • Ubuntu 13.10・12.10・12.04 LTS用のアップデータがリリースされています。CVE-2013-6473, CVE-2013-6474, CVE-2013-6475, CVE-2013-6476を修正します。
  • urftopdf, pdftoopvpフィルタに問題があり、メモリ破壊を伴うクラッシュが生じる可能性がありました。また、pdftoopvpフィルタには利用するディレクトリを制約しない問題がありました。いずれも悪用によりlpユーザー権限で任意の処理を行うことが可能です。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2144-1:CUPSのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-March/002438.html
  • Ubuntu 10.04 LTS用のアップデータがリリースされています。CVE-2013-6474, CVE-2013-6475, CVE-2013-6476を修正します。
  • usn-2143-1の10.04向けリリースです。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2145-1:libsshのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-March/002439.html
  • Ubuntu 13.10・12.10・12.04 LTS用のアップデータがリリースされています。CVE-2014-0017を修正します。
  • libsshを利用した場合、PRNGステートを不適切に使い回す問題がありました。これにより乱数を基底にした暗号化処理が本来期待されるよりも脆弱になっています。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2146-1:Sudoのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-March/002440.html
  • Ubuntu 13.10・12.10・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-0106,LP#1223297を修正します。
  • env_resetオプションを利用していない場合に本来機能すべき、最低限無視する必要がある環境変数をアンセットする処理が機能していませんでした。Ubuntuデフォルトの設定ファイルではenv_resetオプションを利用しているため、設定を変更していない場合は影響を受けません。また、sudoが利用するスタンプファイルの有効性チェックの実装が不適切なため、システム時刻を制御できる環境においてスタンプファイルが不適切に再利用されることがありました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2147-1:Muttのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-March/002441.html
  • Ubuntu 13.10・12.10・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-0467を修正します。
  • メールヘッダに含まれるアドレスを展開する方法に問題があり、悪意ある加工の施されたメールを受信するとmuttがメモリ破壊を伴う形でクラッシュすることがありました。潜在的な任意のコードの実行の可能性があります。
  • 対処方法:アップデータを適用の上、muttを再起動してください。
usn-2148-1:FreeTypeのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-March/002442.html
  • Ubuntu 13.10用のアップデータがリリースされています。CVE-2014-2240, CVE-2014-2241を修正します。
  • 悪意ある加工の施されたフォントファイルを利用した際に、メモリ破壊を伴うクラッシュが発生することがありました。任意のコードの実行の可能性があります。
  • 対処方法:アップデータを適用の上、セッションを再起動(一度ログアウトして再度ログイン)してください。
usn-2149-1:librsvgのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-March/002443.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-March/002444.html
  • Ubuntu 13.10・12.10・12.04 LTS用のアップデータがリリースされています。CVE-2013-1881を修正します。
  • 悪意ある加工の施されたSVGファイルの処理時に、メモリ破壊を伴うクラッシュが発生することがありました。潜在的な任意のコードの実行の可能性があります。
  • 対処方法:アップデータを適用の上、セッションを再起動(一度ログアウトして再度ログイン)してください。
  • 備考:librsvgの更新に伴い、GTK+を正常動作させるためにlibgtkの更新も行われています。あわせてアップデートしてください。
usn-2150-1:Firefoxのセキュリティアップデート

おすすめ記事

記事・ニュース一覧