Ubuntu Weekly Topics

2010年3月19日号 10.04のBeta1とウインドウのボタン配置・Google Summer of Code2010・Kernelのセキュリティアップデート

この記事を読むのに必要な時間:およそ 2 分

10.04のBeta1

10.04のBeta1のためのフリーズが行われ,Beta1がリリースされました。各ミラーからも土日に入る前までにはダウンロード可能となるはずです。

この後,4月8日のBeta2リリースを経て,RCが4月22日に,リリース版が4月29日に公開される予定です。

Ubuntuを含め,Linuxの開発においては,⁠リリース前に不具合が見つかった場合」と,⁠リリース後に不具合が見つかった場合」で,修正の難易度に大きな違いがあります。当然ながらリリース前に修正される方が容易ですので,10.04を今後長く利用される方,特に企業などでの利用を検討されている方は,遅くともこのBeta1時点から評価を始め,必要な場合はバグ登録などのフィードバックを行ってください。

また,Ubuntu Japanese Teamで作成しているJapanese Remixについては,現状ではBeta2・RC版をリリースした上で,4月29日から一定期間後にリリースする予定です。公開当初はBitTorrent経由で行い,2~3週間後にHTTP経由での配布を行う予定です注1)⁠

Beta1と同時期に各種Freezeがかかるため,この時期のUbuntuの開発でおなじみの光景である「例外措置の連打」が広がっています。これに伴い,いい加減にSimple Scanの機能をフリーズしないと翻訳できませんという悲鳴が上がったり,無理矢理にUbuntu One ClientのUIに変更がかかったり(Exceptionプロセスを踏まずにいきなり)⁠indicator-sessionのString Freezeに例外措置がかかったりといった,お約束の展開が発生しています。Kernel関連でも,ドライバや特定のハードウェア向けの専用モジュールのpull requestが大量に発行され,最後の追い込みにふさわしい光景が広がっています(すでにKernel Freezeが過ぎているあたりはご愛敬)⁠

また,NVIDIAのプロプライエタリドライバのバグの多さ注2対処するためのツール注3がリリースされ,開発における混乱を制御しようとする試みがなされています。

注1
9.10と同じパターンです。
注2
意訳:「最近バグ報告の数が爆発的に増えてて処理しきれない。特にNVIDIAのプロプライエタリドライバが主犯。これちょっと時間を取ってまとめて処理しないとハンドリングできない」⁠なお,バグの発生状況のグラフを見ると,nvidia-*ドライバ(プロプライエタリドライバ)の割合が爆発的に増加し,全体を大きく膨らませていることがわかります。
注3
バグ管理の最終兵器,wontfix-all-bugs.pyという危険物が含まれています。機能は「そのパッケージに含まれている全てのバグを,⁠won'tfix』で閉じる」……。

10.04の新ウインドウテーマに関する議論

10.04で利用される「Light」テーマに付属するウインドウ設定に関して,多くの議論が発生しています。10.04のAlpha3後期?Beta1で利用されている設定では,⁠最大化・最小化・閉じる」ボタンがウインドウの左上に配置されるようになっています。これはこれまでのUbuntuやWindowsの配置(右上)とは異なるため,ユーザーにとっては予想外の変更となる可能性があります注4)⁠Ubuntuを取り扱う各所のblogがこの話題を取り上げworks with UWebUpd8UbuntuGeek.com)⁠その意図と今後を解説・予測する,という流れになっています。一部に願望混じりの情報も含まれますが,要約としては次の通りです。

  • ウインドウの左側に操作ボタンを配置するのは,現状ではテスト的なものである。
  • 意見と客観的なデータを募り,その結果によって最終的な結論を決めたい。それは10.04フェーズとは限らない。
  • 10.04では,Beta2以降のリリースまでの間に,もともとの場所に戻す可能性が高い……だろう。

Mark Shuttleworthのできれば10.10で新しいアイコンセットを追加したいという発言と合わせ,全体としての大変革は10.10で仕切り直しとなりそうです。⁠第三のGUIデザイン」としての立ち位置へのチャレンジがどちらへ進むか,ユーザーにとってもユーザー以外にとっても気になるところです。

注4
と言ってMac OS Xと同じかというと,あちらは「閉じる・最小化・最大化」なので,また微妙に違うものです。

Google Summer of Code2010

検索エンジンやGmail・Andoroid・ChromeなどでおなじみのGoogle社では,オープンソースプロダクトの開発元をメンターとし,プログラミングスキルを持った学生が「実際の開発」を体験できるプロジェクト「Google Summer of Code」⁠しばしば「Google SoC」と略されます)を展開しています。Google SoCで開発された新機能がオープンソースプロダクトの目玉機能となることもあり,非常に注目度の高いキャンペーンです。今年もUbuntuはメンター組織として参加し,学生を募集しています。

腕に自信があり,何らかのアイデアがある学生の方注5は,応募方法を確認の上,チャレンジしてみてはいかがでしょうか。ちなみに,参加するとかなりの金額の支援が得られます。

注5
Google SoCは「完成させる」ことを目的としたものではないので,絶大な自信がなくても,⁠それなり」の自信があれば大丈夫なはずです。現実に,応募された全てのアイデアが実装されるわけではありません。

Ubuntu Weekly Newsletter #184

Ubuntu Weekly Newsletter #184がリリースされています。

その他のニュース

今週のセキュリティアップデート

usn-908-1:Apacheのセキュリティアップデート
  • 現在サポートされている全てのUbuntu(6.06 LTS・8.04 LTS・8.10・9.04・9.10)用のアップデータがリリースされています。CVE-2010-0408, CVE-2010-0434を修正します。
  • CVE-2010-0408は,mod_proxy_ajpが有効な環境において,BODYが含まれていないリクエストを送出することで,システムで指定されたタイムアウト時間が経過するまで利用を阻害することが可能な問題です。この問題は6.06LTSには影響しません。
  • CVE-2010-0434は,Apache MPMで動作している環境において,スレッド間でヘッダ情報の部分的な漏洩が発生する問題です。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-909-1:dpkgのセキュリティアップデート
  • 現在サポートされている全てのUbuntu(6.06 LTS・8.04 LTS・8.10・9.04・9.10)用のアップデータがリリースされています。CVE-2010-0396を修正します。
  • CVE-2010-0396は,dpkgパッケージに含まれるdpkg-sourceコマンドのdiffの適用アプローチに問題です。悪意ある細工が施されたパッケージのソースを展開した際,上位のディレクトリへのディレクトリトラバーサルが生じ,本来意図したものとは異なる場所にファイルが投下される可能性があります。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-911-1:MoinMoinのセキュリティアップデート
  • 現在サポートされている全てのUbuntu(6.06 LTS・8.04 LTS・8.10・9.04・9.10)用のアップデータがリリースされています。CVE-2010-0668, CVE-2010-0669, CVE-2010-0717を修正します。
  • CVE-2010-0668, CVE-2010-0717は,いずれもMoinに含まれるCSRF脆弱性への対応です。
  • CVE-2010-0669は,ユーザーのプロファイルで指定可能な入力値を適切に検証していないため,プロファイルページを閲覧したユーザーのブラウザに偽造された内容を表示させることが可能な問題です。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-912-1:Audio File Libraryのセキュリティアップデート
  • 現在サポートされている全てのUbuntu(6.06 LTS・8.04 LTS・8.10・9.04・9.10)用のアップデータがリリースされています。CVE-2008-5824を修正します。
  • CVE-2008-5824は,Audio FIle LibraryのWAVファイル再生処理の問題で,悪意ある細工の施されたファイルを再生した際,ヒープオーバーフローが発生する問題です。これにより,プロセスのクラッシュや任意のコードの実行が可能です。ただし,Ubuntu環境においてはコンパイルオプションにより攻略コードの開発を困難にしており,通常の場合はプロセスのクラッシュに影響が限定されます。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
  • 備考:問題の発見から改善パッチの完成までに1年以上を要した珍しいケースです。
usn-913-1:libpngのセキュリティアップデート
  • 現在サポートされている全てのUbuntu(6.06 LTS・8.04 LTS・8.10・9.04・9.10)用のアップデータがリリースされています。CVE-2009-2042, CVE-2010-0205を修正します。
  • CVE-2009-2042は,libpngが1bitで,かつ「幅が8で割り切れない」インターレース画像を表示する際,誤ってメモリの初期化を正しく行わずに利用してしまう問題です。これを利用することで,ランダムにメモリ内のデータのごく一部を読み出すことが可能です。
  • CVE-2010-0205は,圧縮された情報を含むPNGイメージを展開する際,利用可能なメモリを食い尽くしてしまう可能性がある問題です。悪用することで,システム内のリソースを異常消費させ,DoSが可能と考えられます。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-914-1:Linux kernelのセキュリティアップデート
  • 現在サポートされている全てのUbuntu(6.06 LTS・8.04 LTS・8.10・9.04・9.10)用のアップデータがリリースされています。CVE-2010-0307, CVE-2010-0309, CVE-2010-0410, CVE-2010-0415, CVE-2010-0622, CVE-2010-0623を修正します。
  • CVE-2010-0307は,x64環境において32bitプログラムを実行している際,32bitプログラムから64bitプログラムをexecve()すると,カーネルが正しいインタープリタを選択できず,最終的にkernel panicが発生する問題です。ユーザーが意図的にそうしたバイナリを実行することで,システムをクラッシュさせることが可能です。
  • CVE-2010-0309は,KVMゲストから/dev/portへアクセスすると,システムが停止する問題です。これによりゲストマシンからホストOSを停止させることが可能です。仮想化環境を外部に提供しているケース(特にUECを外部に解放している環境)では大きなリスクとなります。
  • CVE-2010-0410は,drivers/connector/connector.cに含まれるNETLINK_CONNECTORメッセージの処理系に問題があり,このメッセージがカーネルに送り込むことで,メモリの過大消費を引き起こすことが可能な問題です。
  • CVE-2010-0415は,do_move_pages()の引数のノード指定を検証せずに実行してしまうため,ユーザ空間のノードをセットすることによるカーネルメモリの過大消費・任意のカーネルメモリの読み出しが可能となる問題です。
  • CVE-2010-0622CVE-2010-0623はいずれもfutex処理上の問題で,前者はPI-futexの格納値が,後者はinodeリストが消去されることにより,システムクラッシュが発生するものです。
  • 対処方法:アップデータを適用の上,システムを再起動してください。

著者プロフィール

吉田史(よしだふみひと)

Ubuntu Japanese Team Member株式会社創夢所属。システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

コメント

コメントの記入