Ubuntu Weekly Topics
2010年3月19日号 10.04のBeta1とウインドウのボタン配置・Google Summer of Code2010・Kernelのセキュリティアップデート
10. 04のBeta1
10.
この後,
Ubuntuを含め,
また,
Beta1と同時期に各種Freezeがかかるため,
また,
- 注1
- 9.
10と同じパターンです。 - 注2
- 意訳:
「最近バグ報告の数が爆発的に増えてて処理しきれない。特にNVIDIAのプロプライエタリドライバが主犯。これちょっと時間を取ってまとめて処理しないとハンドリングできない」。なお, バグの発生状況のグラフを見ると, nvidia-*ドライバ (プロプライエタリドライバ) の割合が爆発的に増加し, 全体を大きく膨らませていることがわかります。 - 注3
- バグ管理の最終兵器,
wontfix-all-bugs. pyという危険物が含まれています。機能は 「そのパッケージに含まれている全てのバグを, 『won'tfix』 で閉じる」 ……。
10. 04の新ウインドウテーマに関する議論
10.
- ウインドウの左側に操作ボタンを配置するのは,
現状ではテスト的なものである。 - 意見と客観的なデータを募り,
その結果によって最終的な結論を決めたい。それは10. 04フェーズとは限らない。 - 10.
04では, Beta2以降のリリースまでの間に, もともとの場所に戻す可能性が高い……だろう。
Mark Shuttleworthのできれば10.
- 注4
- と言ってMac OS Xと同じかというと,
あちらは 「閉じる・ 最小化・ 最大化」 なので, また微妙に違うものです。
Google Summer of Code2010
検索エンジンやGmail・
腕に自信があり,
- 注5
- Google SoCは
「完成させる」 ことを目的としたものではないので, 絶大な自信がなくても, 「それなり」 の自信があれば大丈夫なはずです。現実に, 応募された全てのアイデアが実装されるわけではありません。
Ubuntu Weekly Newsletter #184
Ubuntu Weekly Newsletter #184がリリースされています。
その他のニュース
- HTC Touch Pro2
(Windows Mobile搭載のスマートフォン) で動くUbuntu, という動画。こちらにもあります。 - Broadcom bcm4322無線LANチップをうまく動作させる方法。
今週のセキュリティアップデート
- usn-908-1:Apacheのセキュリティアップデート
- 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04・ 9. 10) 用のアップデータがリリースされています。CVE-2010-0408, CVE-2010-0434を修正します。 - CVE-2010-0408は,
mod_ proxy_ ajpが有効な環境において, BODYが含まれていないリクエストを送出することで, システムで指定されたタイムアウト時間が経過するまで利用を阻害することが可能な問題です。この問題は6. 06LTSには影響しません。 - CVE-2010-0434は,
Apache MPMで動作している環境において, スレッド間でヘッダ情報の部分的な漏洩が発生する問題です。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
usn-909-1:dpkgのセキュリティアップデート
- 現在サポートされている全てのUbuntu
- 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04・ 9. 10) 用のアップデータがリリースされています。CVE-2010-0396を修正します。 - CVE-2010-0396は,
dpkgパッケージに含まれるdpkg-sourceコマンドのdiffの適用アプローチに問題です。悪意ある細工が施されたパッケージのソースを展開した際, 上位のディレクトリへのディレクトリトラバーサルが生じ, 本来意図したものとは異なる場所にファイルが投下される可能性があります。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- 現在サポートされている全てのUbuntu
- usn-911-1:MoinMoinのセキュリティアップデート
- 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04・ 9. 10) 用のアップデータがリリースされています。CVE-2010-0668, CVE-2010-0669, CVE-2010-0717を修正します。 - CVE-2010-0668, CVE-2010-0717は,
いずれもMoinに含まれるCSRF脆弱性への対応です。 - CVE-2010-0669は,
ユーザーのプロファイルで指定可能な入力値を適切に検証していないため, プロファイルページを閲覧したユーザーのブラウザに偽造された内容を表示させることが可能な問題です。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- 現在サポートされている全てのUbuntu
- usn-912-1:Audio File Libraryのセキュリティアップデート
- 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04・ 9. 10) 用のアップデータがリリースされています。CVE-2008-5824を修正します。 - CVE-2008-5824は,
Audio FIle LibraryのWAVファイル再生処理の問題で, 悪意ある細工の施されたファイルを再生した際, ヒープオーバーフローが発生する問題です。これにより, プロセスのクラッシュや任意のコードの実行が可能です。ただし, Ubuntu環境においてはコンパイルオプションにより攻略コードの開発を困難にしており, 通常の場合はプロセスのクラッシュに影響が限定されます。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。 - 備考:問題の発見から改善パッチの完成までに1年以上を要した珍しいケースです。
- 現在サポートされている全てのUbuntu
- usn-913-1:libpngのセキュリティアップデート
- 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04・ 9. 10) 用のアップデータがリリースされています。CVE-2009-2042, CVE-2010-0205を修正します。 - CVE-2009-2042は,
libpngが1bitで, かつ 「幅が8で割り切れない」 インターレース画像を表示する際, 誤ってメモリの初期化を正しく行わずに利用してしまう問題です。これを利用することで, ランダムにメモリ内のデータのごく一部を読み出すことが可能です。 - CVE-2010-0205は,
圧縮された情報を含むPNGイメージを展開する際, 利用可能なメモリを食い尽くしてしまう可能性がある問題です。悪用することで, システム内のリソースを異常消費させ, DoSが可能と考えられます。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- 現在サポートされている全てのUbuntu
- usn-914-1:Linux kernelのセキュリティアップデート
- 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04・ 9. 10) 用のアップデータがリリースされています。CVE-2010-0307, CVE-2010-0309, CVE-2010-0410, CVE-2010-0415, CVE-2010-0622, CVE-2010-0623を修正します。 - CVE-2010-0307は,
x64環境において32bitプログラムを実行している際, 32bitプログラムから64bitプログラムをexecve()すると, カーネルが正しいインタープリタを選択できず, 最終的にkernel panicが発生する問題です。ユーザーが意図的にそうしたバイナリを実行することで, システムをクラッシュさせることが可能です。 - CVE-2010-0309は,
KVMゲストから/dev/ portへアクセスすると, システムが停止する問題です。これによりゲストマシンからホストOSを停止させることが可能です。仮想化環境を外部に提供しているケース (特にUECを外部に解放している環境) では大きなリスクとなります。 - CVE-2010-0410は,
drivers/ connector/ connector. cに含まれるNETLINK_ CONNECTORメッセージの処理系に問題があり, このメッセージがカーネルに送り込むことで, メモリの過大消費を引き起こすことが可能な問題です。 - CVE-2010-0415は,
do_ move_ pages()の引数のノード指定を検証せずに実行してしまうため, ユーザ空間のノードをセットすることによるカーネルメモリの過大消費・ 任意のカーネルメモリの読み出しが可能となる問題です。 - CVE-2010-0622とCVE-2010-0623はいずれもfutex処理上の問題で,
前者はPI-futexの格納値が, 後者はinodeリストが消去されることにより, システムクラッシュが発生するものです。 - 対処方法:アップデータを適用の上,
システムを再起動してください。
- 現在サポートされている全てのUbuntu
バックナンバー
Ubuntu Weekly Topics
- 2010年3月26日号 Beta1後の10.04の開発状況・LucidのPaper Cuts(4)・UWN#185
- 2010年3月19日号 10.04のBeta1とウインドウのボタン配置・Google Summer of Code2010・Kernelのセキュリティアップデート
- 2010年3月12日号 10.04のUpstart・Ubuntu Community Security Notice・LucidのPaper Cuts(3)・UWN#183
- 2010年3月5日号 “Light” テーマ・10.10のUDS・U1MSベータ・Plug Computerの新型・FCM#34・UWN#182・sudoのセキュリティアップデート
関連記事
- 2012年1月20日号 12.04の省電力に向けた取り組み・Unity 5.0の紹介・Xのアップデート・Javaパッケージの抹消・Ubuntu User Daysのログ・UWN#248
- 2011年6月10日号 dotdeeによる設定ファイルの分散管理・Proposedリポジトリの事故・UbuntuプリインストールEeePC
- 2010年11月5日号 UDS終了・11.04の見通し・10.04向け2.6.35カーネル・Firefoxのセキュリティアップデート
- 2010年7月30日号 10.10の翻訳開始・ACPIバグの検出・カーネルの686化・10.10のPapercuts(2)・Dellの10.04マシン・OSC名古屋・UWN#203
- 2010月7月16日号 10.04.1のリリース・10.10のPapercuts(1)・mozc・UWN#201・PAMのセキュリティアップデート