デフォルト検索エンジンの変更

10.04では，デフォルトの検索エンジンがGoogleからYahoo.comへ変更になることが決まりました。理由を端的に述べると「Yahooの方が支払いが良い」ということになります。ブラウザに特定の検索エンジンを初期設定しておくと，そこからのページビューに応じて，幾ばくかの金額がベンダーに支払われますから，これによってCanonicalが効率良く収入を得ることができるようになり，より多くの開発者を雇用できるようになるはずです（1回あたりは非常に小さな金額ですが，ブラウザを利用する限り検索も行うはずですから，ユーザー数x数百回x単価，といった大きな数字になります）。

当然こうした変更には多くの議論が寄せられたものの，それなりの経済的理由があるのか，「I would say "financial" reasons rather than "marketing" reasons」（訳：言ってみれば，これは「マーケティング的な」理由よりむしろ「財政的な」理由です）といった回答が出てきています。

ただし，日本語圏ではyahoo.com（切り替わるのは「yahoo.co.jp」ではなく「yahoo.com」です）の検索は事実上ほとんど実用にならないため，Japanese Remixでは何らのフォローを追加する予定です。

Ubuntu Developer Week

先週お伝えした通り，Ubuntu Developer Weekが開催中です。すでに開催された分については，プレゼンテーションのログが公開されています。Ubuntuの主要な開発者がIRCベースでプレゼンテーションを行うイベントですので（注1），余裕があれば参加してみると良いでしょう。

注1

主要な開発者がプレゼンテーションの準備に忙殺される関係で，今週はあまり大きな動きがありません。Topics泣かせです。

Ubuntu 8.04.4

Ubuntu 8.04の最後のポイントリリース（注2），8.04.4の公開準備が進められています。本日1月29日（金）中のリリースが予定されています。すでにショーストッパーは全て対応済みなので，リリース関連作業のみで公開が行われるはずです。

4月には次のLTSとなる10.4 LTSがリリースされるため，8.04のポイントリリースはこれが最後となります。8.04のデスクトップサポート期間は残り1年3ヶ月ほどと，9.10とサポート終了時期が重なりますので，デスクトップ用途には9.10を使うのが妥当です。8.04.4は，事実上，5年間（あと3年）のサポートが提供されるサーバー用途に使われることになるでしょう。

注2

「ポイントリリース」は，UbuntuのLTS版の「いわゆるメンテナンスリリース」にあたります。リリースされてから随時公開されている各種アップデータをCDに反映したもので，ポイントリリースのために新機能が追加されることは基本的にありません。「インストール時点で最新になる」ことと，「それまでのインストールCDでは認識できなかった新しいRAIDカードに対応する」といったことが主なメリットです。Windowsのサービスパック等とは異なり，専用の適用パッケージによる適用ではなく，通常のアップデートで配信されるものと内容は同じです。8.04を利用している場合，最新のアップデータを適用していればすでに8.04.4に更新されているはずです。

Ubuntu Weekly Newsletter #177

Ubuntu Weekly Newsletter #177がリリースされています。

その他のニュース

• Firefox 3.6を，mozilla-teamのPPAから導入する方法。firefox-stableという専用の（安定版のFirefoxしか落ちてこない）PPAなので，Firefox3.6を9.10などで利用したい場合は，比較的安全な方法となるはずです。
• Launchpad 10.1がリリースされ，Bug Heat（意訳すると，「炎上度」）という指標が追加されました。ユーザーに与える影響を幾つかの指標で数値化し，数値が大きければ大きいほど炎のアイコンが増える，というものです。
• Webベースの操作でUbuntuやDebianのLiveCDを生成できるサービス。
• Ubuntuで使える壁紙x35枚。

今週のセキュリティアップデート

usn-888-1：bindのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-January/001031.html
• 現在サポートされている全てのUbuntu（6.06 LTS・8.04 LTS・8.10・9.04・9.10）用のアップデータがリリースされています。CVE-2009-4022，CVE-2010-0097，CVE-2010-0290を修正します。
• CVE-2010-0097は，DNSSECが有効な環境において，嘘のNXDOMAIN応答をキャッシュさせることが可能な脆弱性です。
• CVE-2010-0290は，CVE-2009-4022として登録（Ubuntuではusn-865-1）されたDNSSECの検証における脆弱性の再修正に相当します。CVE-2009-4022への対策が不十分だったため，DNSSECによる検証をすり抜ける可能性がありました。
• 対処方法：通常の場合，アップデータを適用することで問題を解決することができます。
• 備考：いずれも，DNSSECによる検証を無効化するタイプの脆弱性です。DNSSECが無効な環境では影響はありませんが，そもそもDNSSECがない環境はこれらの脆弱性以上に危険な状態にあります。

usn-889-1：gzipのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-January/001032.html
• 現在サポートされている全てのUbuntu（6.06 LTS・8.04 LTS・8.10・9.04・9.10）用のアップデータがリリースされています。CVE-2009-2624，CVE-2010-0001を修正します。
• CVE-2009-2624は，gzipを利用した圧縮解除時にデータストリームを正しく検証しないため，NULLポインタ参照が発生する問題です。これによりgzipのクラッシュや，限定された状況下では任意のコードの実行が可能と考えられます。
• CVE-2010-0001は，LZW方式を利用したデータストリームを圧縮解除する際，整数アンダーフローが発生する問題です。結果としてgzipのクラッシュや，任意のコードの実行の可能性があります。この問題はx86_64環境でのみ再現されます。
• 対処方法：通常の場合，アップデータを適用することで問題を解決することができます。

usn-890-1・usn-890-2・usn-890-3・usn-890-4：Expat/Python2.4/Python2.5/PyXMLのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-January/001033.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-January/001034.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-January/001035.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-January/001036.html
• 現在サポートされている全てのUbuntu（6.06 LTS・8.04 LTS・8.10・9.04・9.10）用のアップデータがリリースされています。CVE-2009-2625，CVE-2009-3560，CVE-2009-3720を修正します。
• CVE-2009-2625，CVE-2009-3720はいずれも，Expatが入力されたXMLを正しく検証しないために発生する問題で，アプリケーションのクラッシュ・無限ループを招きます。既知の再現コードが存在します。
• CVE-2009-3560は，ExpatがXML内のUTF-8文字列を処理する際に，バッファ長を超えて読み込みを行う問題です。これにより，アプリケーションがクラッシュします。
• 対処方法：アップデータを適用した上で，Expatをリンクしているあらゆるアプリケーションを（Pythonのpyexpatモジュールなどを利用しているソフトウェアも含めて）再起動してください。不明な場合はシステムの再起動を行うのが確実です。
• 備考1：Expatの脆弱性により，それを利用するPythonのpyexpatライブラリも影響を受けます。Python製ソフトウェアのうち，pyexpatライブラリをロード（from pyexpat import??）しているものだけが影響を受けます。
• 備考2：Ubuntu 6.06 LTSのみ，PyXMLがPython本体に含まれていない時代のもののため，単体でアップデートが出ています(usn-890-4)。