Ubuntu Weekly Topics

2009年2月6日号8.04.2jaのリリース・9.04のAlpha4・Launchpad 2.2.1・Full Circle Magazine #21・UWN#127

8.04.2のJapanese Remix

Ubuntu Japanese Teamでは、8.04.2のJapanese Remix CDをリリースしました。

8.04.2は以前にお伝えした通り、2008年4月にリリースされた8.04 LTSの2回目のメンテナンスリリース(ポイントリリース)です。通常の(長期間のサポートを必要としない)ユーザーであれば現時点での最新版である8.10を用いる方が良いでしょう。

8.04.2は機能面ではリリース当時の8.04とほとんど違いがありませんが、CDにアップデートされたパッケージが含まれることにより、インストール後のアップデートを最低限で済ませることができます。原則としてLTSのポイントリリースは「次のLTSが出るまで」の間、半年おき程度の周期でリリースされます。

9.04のAlpha4

2月5日(現地時間)に、Ubuntu 9.04 "Jaunty Jackalope"のAlpha4がリリースされる予定です

Alpha3からAlpha4の間に追加された目立った変更・注意すべき点は、次の通りです。

  • dpiに応じたフォントサイズの調整機能が追加されました(すでにJauntyを利用されている方は、アップデートを適用して再ログインすると「設定値は同じであっても」画面に表示されるサイズが変わっているかもしれません⁠⁠。システム→設定→外観の設定のフォントタブから調整することが可能です。モニタの持っている情報によってはフォントが異常に大きい・小さいといった問題が生じる可能性がありますので、X/Troubleshooting/HugeFontsに従って対策を行ってください。
  • LiveCDとして動作させた場合、タッチパッドのドライバが含まれていません。このため、ノートPCではマウスが動作しない状態になります。ネットワーク接続が可能な状態であれば、Ctrl+Alt+F1でコンソール画面に切り替え、sudo apt-get install xserver-xorg-input-allを実行してAlt+F7を押してGUIに戻すことで動作可能になります。
  • XServer 1.6対応のNVIDIAドライバがリリースされたため、通常通りの手順で利用可能な状態になりました。AMD(ATi)のドライバはまだ用意されていません。

本稿の執筆時点ではまだリリースされていませんが、現時時間2月5日深夜(日本時間2月6日早朝)にリリースされる予定です。

このバージョンはあくまで開発・テスト用にリリースされているため、致命的なバグが存在する可能性があります。MLに流れたアナウンスを参考の上、実運用環境での利用は行わず、テスト用の環境へ導入するようにしてください。

Alpha4の利用上の注意は、Alpha3時点と同様です。

次の開発スケジュールの節目は2月19日にFeatureFreeze、2月26日にAlpha 5のリリースが予定されています。

Launchpad 2.2.1がリリースされました

Ubuntuを含む多くのオープンソースプロジェクトをホスティングしているLaunchpadが、新しいバージョンである2.2.1になりました。

主な変更点は次の通りです。特にPPAをリポジトリとして利用している場合(PPAで提供されるパッケージを利用している場合⁠⁠、PPAのURL変更への対処が必要になりますので注意してください。

  • PPA(Personal Package Archive)で作成したパッケージに、自動的にGPGによるサインが行われるようになりました。これにより、ビルド時点からパッケージが改ざんされていないことを検証することができるようになります。
  • Launchpad上で行われた翻訳を、⁠既存の翻訳との差分パッチ」という形で取り出せるようになりました。これによりUpstreamへ翻訳ファイルを提供する作業が容易になるはずです。
  • PPAのURLが変更になりました。これにより、PPAを利用しているPPAでビルドされたパッケージのユーザーを含みますユーザーは、/etc/apt/sources.list{,d}にあるapt-lineを修正する必要があります。

Full Circle Magazine #21

Ubuntuを扱う月刊のWeb MagazineであるFull Circle Magazineの第21号が公開されました。主な内容は次の通りです。

  • ターミナル操作のすすめ。今回はhead・tail・sed・awk・cutを用いてテキストの整形を行います。
  • HowTo: C言語入門記事の第5回。構造体と関数ポインタについてと、簡単な電卓プログラムの作成が取り上げられています。
  • HowTo: Webサーバ環境の構築の第2回。HTMLの基本的な記法の紹介です。
  • HowTo: 動画ファイルのアスペクト比の調整。
  • HowTo: UbuntuのISOイメージファイルをUSBメモリ上にインストールする方法。
  • HowTo: Creative Zen V PlusをUbuntuで使う方法。
  • Nicolas Valcarcelさんウインドウを分割する方のTerminatorの作者)へのMOTUインタビュー。
  • Bittorrent用ツールベスト5
  • 第20号で行ったアンケートの結果発表

UWN#127

Ubuntu Weekly Newsletterの127号が公開されています。主な内容は次の通りです。

  • Server環境で利用されるDRDBのテストの要請
  • LP2.2.1のリリース
  • UbuntuとNokia製インターネットデバイスを使う人の交流用プロジェクトについて
  • 各ミーティングのサマリ

より詳細な情報はオリジナルを確認してください。

その他のニュース

今週のセキュリティアップデート

usn-715-1:Linux kernelのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/
    2009-January/000834.html
  • 8.10用のアップデータがリリースされています。
  • CVE-2008-5079, CVE-2008-5182, CVE-2008-5300, CVE-2008-5395, CVE-2008-5700, CVE-2008-5702 を修正します。usn-714-1先週のTopicsを参照してください)からCVE-2008-5134, CVE-2008-5713が外れ(これらは8.10ではすでに対応済み、または影響を受けないものです⁠⁠、CVE-2008-5395への対処を追加したものです。
  • CVE-2008-5395は、parisc_show_stack()の問題により、この関数を呼び出すことによりKernel Oopsが発生し、ローカルユーザーにより容易にDoSが可能な問題です。ただし、parisc_show_stack()はPA-RISCを使っている環境でのみ実行されますので、通常のPCでは発生しません。PA-RISC環境では32bit/64bitを問わず発生します。
  • 備考:上記以外の詳細情報は先週のTopicsを参照してください。

usn-716-1:MoinMoinのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/
    2009-January/000835.html
  • 6.06 LTS・7.10・8.04 LTS・8.10用のアップデータがリリースされています。
  • CVE-2008-0780, CVE-2008-0781, CVE-2008-0782, CVE-2008-1098, CVE-2008-1099, CVE-2009-0260, CVE-2009-0312 を修正します。
  • クロスサイトスクリプティング(以下XSS)等の問題により、秘匿すべきデータの流出、改ざんしたWebコンテンツの出力などが可能です。JAVAScriptなどによるウイルス配布ページへの誘導などの攻撃が可能となります。また、Webサーバーの動作権限(多くの場合は'www-data')で任意のコードを実行可能な問題(CVE-2008-0782)もあるため、MoinMoinを利用するWebサイト運営者は速やかなアップデートを実施してください。
  • ログイン処理に用いられるlogin.pyにおいて、与えられたユーザー名をエスケープせずに利用していたため、悪意ある細工を施したユーザー名を入力として与えることで、任意のコンテンツを表示させるXSSが可能でした(CVE-2008-0780⁠⁠。この問題は7.10・8.04に影響します。
  • 「添付ファイル」ページに用いられるAttachFile.pyにおいて、添付ファイルのリネーム時に与えられたファイル名をエスケープせずに利用していたため、XSSが可能でした(CVE-2008-0781⁠⁠。この問題は6.06 LTS・7.10・8.04 LTSに影響します。
  • ユーザー表示を行うためのuser.pyにおいて、ユーザー名に「..」を含む偽造したCookieを用いることで、ディレクトリトラバーサルが引き起こされ、不正にファイルを上書きすることが可能でした。上書きするファイルにPHPのコード等、Webサーバー上で実行される可能性があるスクリプトを含めることにより、サーバー上で任意のコードを実行される可能性があります。ただしファイルのパーミッションの上書きは不可能なため、攻撃の成立条件として、サーバー上に存在する既存の(そして何らかの機会に実行される)実行可能属性のついたファイルを予測して上書きする必要があります。この問題は6.06 LTS・7.10・8.04 LTSに影響します(CVE-2008-0782⁠⁠。
  • ページの編集を行うPageEditor.pyにおいて、RenamePage/DeletePage操作を行う際、与えられたページ名をエスケープせずに利用していたため、攻撃者がページ名に悪意ある細工を施した文字列をセットした場合にXSSが可能でした(CVE-2008-1098⁠⁠。この問題は6.06 LTS・7.10に影響します。
  • アクセス制御コードが不完全であったため、悪意ある攻撃者にプライベート属性を与えたファイルの閲覧を許す可能性がありました(CVE-2008-1099⁠⁠。この問題は6.06 LTS・7.10に影響します。
  • 「添付ファイル」ページに用いられるAttachFile.pyにおいて、添付ファイルのリネーム時に与えられたファイル名をエスケープせずに利用していたため、XSSが可能でした(CVE-2009-0260⁠⁠。CVE-2008-0782とは異なる問題です。この問題は6.06 LTS・7.10・8.04 LTS・8.10のすべてと、開発中である9.04に影響します。9.04でのFixは1.8.1-1.1ubuntu1LP#322890です。
  • スパム投稿を抑止するためのモジュールが適切に入力値を検査・エスケープしていなかったため、XSSが可能でした(CVE-2009-0312⁠⁠。6.06 LTS・7.10・8.04 LTS・8.10のすべてと、開発中である9.04に影響します。9.04でのFixは1.8.1-1.1ubuntu1LP#322890です。
  • 備考:LaunchpadのCVE TrackerではRelated bugとして登録されたバグ({LP:200897})がDebian:DSA-1514-1である関係で、Intrepid/Jaunty(8.10/9.04)に"Invalid"フラグが立っているように見えます。実際にはIntrepid/Jauntyともに影響を受けます。
  • EOL情報:7.04にも多くの脆弱性が該当しますが、サポート期限が切れているため対応は行われません。

おすすめ記事

記事・ニュース一覧