Ubuntu Weekly Topics

2009年8月14日号 9.10の新デザイン・Kubuntu Netbook Remix・NotifyOSDの更新・Server版のmotd・Official Ubuntu Server Book・UWN#154・OSC Nagoyaへの参加

この記事を読むのに必要な時間:およそ 3 分

OSC Nagoya

Ubuntu Japanese Teamは8月22日(土)に行われる,オープンソースカンファレンス 2009 Nagoyaに参加します。各種ARMマシンやデモ機の展示と,9.10に関する情報を携えてお待ちしております。また,16:15からはUbuntu 9.10アーリープレビューと題して,セミナーも行う予定です。

  • 日程: 2009年8月22日(土) 10:00-18:15
  • 会場: 名古屋市立大学 山の畑キャンパス 教養教育棟(2号館) 2階
  • ご注意: 会場には飲み物の自販機がありません。お飲み物を必ず持参してください。

名古屋近郊の皆様はお越し頂ければ幸いです。皆様のお越しをお待ちしております。

その他のニュース

  • Official Ubuntu Server Book(洋書)が公開され,Official Ubuntu Bookと併せて,公式のガイドブックがDesktop・Serverの双方で揃いました。日本国内でも洋書を購入できるサイトで入手できます(たとえばAmazon)⁠
  • Andoroid G1をUSBケーブルで接続してテザリングする方法

今週のセキュリティアップデート

今週はSubversionのアップデートと,JDKのアップデートが主なトピックです。WebDAVやJava Servletを利用している公開Webサーバーの管理者にとってはどちらも大きな影響があるでしょう。また,libxml2のアップデートはデスクトップユーザーにとっても影響があります。

usn-812-1:Subversionのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-August/000944.html
  • 現在サポートされている全てのUbuntu(6.06 LTS・8.04・8.10・9.04)用のアップデータがリリースされています。CVE-2009-2411を修正します。
  • CVE-2009-2411はSubversionのクライアント・サーバー双方の問題で,Subversionが内部に持つバイナリ比較コードが入力値を適切に検証せず,最終的にヒープバッファオーバーフローが発生する問題です。サーバーの場合はコミット(svn commit)の受付時などに,クライアントの場合はsvndiffの実行時などに問題が生じる可能性があります。外部にSubversionリポジトリを提供し,コミットを許している場合は大きな問題になる可能性があります。
  • 対処方法:アップデータを適用した上で,Subversionを利用しているアプリケーションを再起動してください。mod_dav_svnを有効にしたApacheなどが該当します。
usn-813-1usn-813-2usn-813-3:apr(libapr0・libapr1)・apr-utilのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-August/000945.html
  • 現在サポートされている全てのUbuntu(6.06 LTS・8.04・8.10・9.04)用のアップデータがリリースされています。CVE-2009-2412を修正します。
  • CVE-2009-2412は,aprのマネージドメモリプールと,メモリ再割り当ての方法の問題で,細工を施したデータを処理させることで整数オーバーフローが生じ,結果としてヒープバッファオーバーフローが発生する問題です。このことを悪用することで,任意のコードの実行,またはアプリケーションのクラッシュを発生させることができます。
  • 対処方法:アップデータを適用した上で,aprを利用するすべてのアプリケーション(ApacheやSubversion)を再起動してください。
usn-814-1:openjdk-6のセキュリティアップデート
usn-815-1:libxml2のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-August/000949.html
  • 現在サポートされている全てのUbuntu(6.06 LTS・8.04 LTS・8.10・9.04)用のアップデータがリリースされています。CVE-2008-3529, CVE-2009-2414, CVE-2009-2416を修正します。
  • CVE-2009-2414は,libxml2がDTDを適切に読み込めないことによる問題で,不正な細工を施されたXMLファイルを読み込んだ際にクラッシュする問題です。
  • CVE-2009-2416は,libxml2がNotationやEnumeration属性を扱う際の問題で,不正な細工を施されたXMLファイルを読み込んだ際にクラッシュする問題です。
  • CVE-2008-3529は,libxml2が長いエンティティ名を扱う際の問題で,不正な細工を施されたXMLファイルを読み込んだ際にヒープバッファオーバーフローが発生し,libxml2を用いるアプリケーションで任意のコードの実行,またはクラッシュが生じるものです。9.04にのみ影響します(この問題はusn-644-1で修正が適用されていますが,修正作業の漏れにより,9.04環境ではリリース後もパッチされない状態となっていました)⁠
  • 対処方法:アップデータを適用した上で一度ログアウトし,セッションを作り直してください。

著者プロフィール

吉田史(よしだふみひと)

Ubuntu Japanese Team Member株式会社創夢所属。システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。