gihyo.jpサイトのロゴ

Ubuntu Weekly Topics

2015年4月3日号vividの開発・“proposed”リポジトリの設定の今後・UWN#409,#410

2015-04-03

vividの開発

vividの開発はsystemdへの切り替えに伴う大きな問題もなく、この2週間は(DesktopとServerは)非常に落ち着いた状態が続いています[1]⁠。15.04のリリース版ではsystemdがこのまま利用されることになりそうです。

proposedリポジトリの今後

「proposed」リポジトリの有効化は簡単すぎないか、という議論が行われています。

Ubuntuにおける「proposed」リポジトリは、⁠リリース前のパッケージを、リリースに耐えるかどうか実験するための空間」です。⁠とりあえずビルドだけ通ったけど、このソフトウェアはそもそも何をするためのものなのか分かりません」⁠とりあえず設定ファイルを変えてみてテストしよう」⁠ビルド時の最適化オプション変えたら動かないかな」といった概念実証レベルのパッケージも含まれることがあり、インストールすると当該アプリケーションはおろか、システムが正常動作しなくなることもありえる、かなり危険なリポジトリです。要するにこれは「ベータ版置き場(ただし、ベータどころかアルファ以前のものがたまに投下されることがある⁠⁠」です。

こうした危険な代物であるにもかかわらず、proposedを使うように設定するのは簡単で、⁠システム設定⁠⁠→⁠ソフトウェアとアップデート⁠⁠→⁠アップデート⁠タブを開いて、⁠□ プレリリースされたアップデート」というチェックボックスを有効にするだけです。

なぜこの仕様になっているかというと、少しだけ独特な理由によります。

基本的にソフトウェアの世界はひどく複雑なので、パッケージのメンテナがすべての問題や使い方を把握できるような幸運な状況は多くありません。この結果、⁠とりあえずビルドシステムには詳しいからパッケージは作れる」⁠この言語なら分かるからライブラリのメンテナンスをしているが、どういう役割を果たすのかはあまりわかっていない」といった開発者が存在することも多々あります。こうした場合、⁠あるバグが直っているかどうか」を判断するのは非常に難しいことです。

そこでUbuntuでは、⁠こんなバグを見つけました」と報告した人こそが最適なテスターである可能性が高いので、その人にテストを頼む』という戦術を採用しています。つまりバグの修正フローとして、⁠バグが報告される→直りそうなパッチを反映してproposedリポジトリに投入→バグを見つけた人にテストを頼む→バグを見つけた人がproposedリポジトリを一時的に有効にして、問題になったパッケージをテストしてGo/No goを判断する」というやり方をしているわけです。

この作業の流れでproposedを使う手順が大変だと報告者にテストしてもらえなくなってしまう可能性が跳ね上がるため、⁠proposedを気軽に有効にできる」というのは比較的重要なことでした。

……しかしながら、簡単であることにはデメリットもあり、⁠なにかの弾みでproposedを有効にしてしまった」⁠チェックできるものはすべてチェックしてしまう⁠⁠、あるいは「徹夜明けのライターが誤って⁠最新版を使うためにproposedを有効にしましょう⁠と書いてしまった」といったアクシデントから、誤ってproposedが有効にされ、テスト中のなにかがシステムに紛れ込んでしまう、という事故が起こることもあります。

今回の議論の発端としては、⁠apportが送ってくるクラッシュレポートを見ると、Ubuntuのリポジトリに公式には存在しないというかproposedに落としたパッケージが相当含まれていた。これは本来想定されていないような分量で、proposedが有効にされている環境があるのではないか? 気軽に設定できることは正しくないのではないか?」というものです。

そこから、⁠proposed由来のパッケージは勝手にアップデートしない、という機能を目下開発中なんだけどこれじゃダメ?」⁠それはそれとして気軽にproposed有効にできるのって正しくなくない? 特定のパッケージについてだけproposedを有効にするチェックボックスを準備して、それをクリックするような仕組みにした方が良いのでは?」というような議論に発展し、⁠実はこんなツールを作ってるんだけどこれでどうだというツールが掘り返される等、Ubuntuの開発で非常によくある発散した議論が展開されています。今後どうなるかはまだまだ不明ですが、15.10や16.04(というかUnity Next)へ向けて各種システムユーティリティが更新されるタイミングで何らかの形で反映されるでしょう。

UWN#409・410

Ubuntu Weekly Newsletter #409#410がリリースされています。

その他のニュース

今週のセキュリティアップデート

usn-2535-1:PHPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002872.html
  • Ubuntu 14.10・14.04 LTS・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-8117, CVE-2014-9705, CVE-2015-0273, CVE-2015-2301を修正します。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2536-1:libXfontのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002873.html
  • Ubuntu 14.10・14.04 LTS・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2015-1802, CVE-2015-1803, CVE-2015-1804を修正します。
  • 悪意ある加工の施されたBDFフォントファイルを処理させることで、メモリ破壊を伴うクラッシュを発生させることが可能でした。理論上、任意のコードの実行が可能な疑いがあります。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
usn-2537-1:OpenSSLのセキュリティアップデート
usn-2538-1:Firefoxのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002875.html
  • Ubuntu 14.10・14.04 LTS・12.04 LTS用のアップデータがリリースされています。CVE-2015-0817, CVE-2015-0818を修正します。
  • Firefox 36.0.4のUbuntuパッケージ版です。
  • 対処方法:アップデータを適用の上、Firefoxを再起動してください。
usn-2539-1:Djangoのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002876.html
  • Ubuntu 14.10・14.04 LTS・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2015-2316, CVE-2015-2317を修正します。
  • strip_tags処理において無限ループが生じる問題と、URLリダイレクト処理においてXSSを許す問題がありました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2540-1:GnuTLSのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002877.html
  • Ubuntu 14.10・14.04 LTS・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-8155, CVE-2015-0282, CVE-2015-0294を修正します。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2541-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002878.html
  • Ubuntu 12.04 LTS用のアップデータがリリースされています。CVE-2014-7822, CVE-2014-9419, CVE-2014-9683, CVE-2015-1421を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-2542-1:Linux kernel (OMAP4)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002879.html
  • Ubuntu 12.04 LTS用のアップデータがリリースされています。CVE-2014-7822, CVE-2014-9419, CVE-2014-9683, CVE-2015-1421を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-2543-1:Linux kernel (Trusty HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002880.html
  • Ubuntu 12.04 LTS用のアップデータがリリースされています。CVE-2013-7421, CVE-2014-7822, CVE-2014-9644, CVE-2015-0274を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-2544-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002881.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2013-7421, CVE-2014-7822, CVE-2014-9644, CVE-2015-0274を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-2545-1:Linux kernel (Utopic HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002882.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2013-7421, CVE-2014-9644, CVE-2015-1421, CVE-2015-1465を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-2546-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002883.html
  • Ubuntu 14.10用のアップデータがリリースされています。CVE-2013-7421, CVE-2014-9644, CVE-2015-1421, CVE-2015-1465を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-2547-1:Monoのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002884.html
  • Ubuntu 14.10・14.04 LTS・12.04 LTS用のアップデータがリリースされています。CVE-2011-0992, CVE-2012-3543, CVE-2015-2318, CVE-2015-2319, CVE-2015-2320を修正します。
  • TLSクライアントのFREAK対策を含むアップデートです。
  • 対処方法:アップデータを適用の上、Mono製のアプリケーションを再起動してください。
usn-2548-1:Batikのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002885.html
  • Ubuntu 14.10・14.04 LTS・12.04 LTS用のアップデータがリリースされています。CVE-2015-0250を修正します。
  • 悪意ある加工の施されたSVGファイルを読み込んだ場合に、リソースの過大消費が発生することがありました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2549-1:libarchiveのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002886.html
  • Ubuntu 14.10・14.04 LTS・12.04 LTS用のアップデータがリリースされています。CVE-2013-0211, CVE-2015-2304を修正します。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2551-1:Apache Standard Taglibsのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002887.html
  • Ubuntu 14.10・14.04 LTS用のアップデータがリリースされています。CVE-2015-0254を修正します。
  • External XML Entity攻撃への対策です。
  • 通常の場合、アップデータを適用することで問題を解決できます。
usn-2553-1:LibTIFFのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2015-March/002888.html
  • Ubuntu 14.10・14.04 LTS・12.04 LTS・10.04 LTS用のアップデータがリリースされています。
  • 悪意ある加工を施した画像ファイルを読み込むことでメモリ破壊を伴うクラッシュが生じる問題がありました。理論上は任意のコードの実行に繋がる可能性があります。
  • 通常の場合、アップデータを適用することで問題を解決できます。

おすすめ記事

記事・ニュース一覧