Ubuntu Weekly Topics

2010月7月16日号 10.04.1のリリース・10.10のPapercuts(1)・mozc・UWN#201・PAMのセキュリティアップデート

この記事を読むのに必要な時間:およそ 3 分

Ubuntu 10.04.1

4月にリリースされたUbuntu 10.04については,新しいポイントリリース(メンテナンスリリース)となる10.04.1へのアップデートが7月29日(現地時間)予定されています

Ubuntuにおける「ポイントリリース」は,リリース後に行われたセキュリティアップデートやバグフィックスパッケージを取り込み,⁠最新の状態」にしたCDのリリースを意味します。10.04をすでに利用しており,最新状態にアップデートしていれば,ポイントリリースのCDを新たに入手する必要はありません。基本的には,新規に10.04環境を構築する場合に用いるものです。

リリーススケジュール上は,若干10.04.1が解決目標のバグの消化率に不安が残りますが,-proposedリポジトリを有効にしている環境ではすでにlsb_releaseの出力が10.04.1となっており,あらたに未知の問題が発見されなければ,予定通りにリリースされることが予感されます注1)⁠

注1
通常の環境では,-proposedリポジトリを有効にすることは推奨されません。-proposedは,パッケージのバグフィックスを行うテスト環境や開発者が利用するためのもので,特殊な事情がある場合にのみ利用すべきです。

10.10の開発その他

10.10のPapercuts(1)

Ubuntuでは,リリース毎に「すぐに直せる」⁠ユーザーの使い勝手を損ねる」バグを100個(ぐらい)修正する,⁠Hundred Papercuts』と呼ばれるプロジェクトを実施しています。Ubuntu 10.10で行われるPapercutsの内容を見ていきましょう。今回は「Round 1」のNautilus関連のPapercutsです。

  • LP#246981:ウインドウからアイコンをドラッグアンドドロップする際,なぜかランダムな場所に投下されることがある。
  • LP#372132:右クリックで開ける「ドキュメントの生成」機能は,テンプレートの準備が煩雑すぎて実用になっていない(注:10.04から持ち越し)⁠
  • LP#272792:非常に長いディレクトリを作ってしまうと,ファイルマネージャのアドレスバーに表示されなくなってしまう(注:10.04から持ち越し)⁠
  • LP#383255:Nautilusのサイドバーにある,各ドライブの「取り出し」⁠アンマウント」には何らかのツールチップ表示などが行われるべき。
  • LP#385785「場所を開く」ダイアログで正しくないパスが選択された場合,そのまま閉じるべきではない(注:10.04から持ち越し)⁠
  • LP#389833:Nautilusは常にディスク空き容量を表示するべき。
  • LP#503330:ファイルコピーなどのダイアログにおいて,⁠これまでコピーしたファイル数:残りのコピー容量」という表示ではなく「残りのコピーしなくてはならないファイル数:残りのコピー容量」とするか,⁠これまでコピーしたファイル数:これまでコピーした容量」いった形で,カウント方法をそろえるべき(注:10.04から持ち越し)⁠
  • LP#595033⁠compact layout」「compact view」という2種類の表現が混在している。
  • LP#601982「ゴミ箱から削除」の確認ダイアログのメッセージが長すぎる。
  • LP#382703:ホームディレクトリの呼び方が,⁠ホーム・フォルダ」「ホーム」「パーソナルフォルダ」で混在しているのは正しくない(注:10.04から持ち越し)⁠
  • LP#275495:Nautilusの検索機能を使う際,複数のディレクトリを対象にしていても,なぜか最後に追加したディレクトリだけが検索対象になる(注:10.04から持ち越し)⁠
  • LP#497728:デフォルトのサムネイルサイズは,規定のアイコンサイズと同じであるべき。
  • LP#19069 :Nautilusの「場所:」バーに,すでに存在しなくなったディレクトリが表示されることがある(注:10.04から持ち越し)⁠
  • LP#136702「ファイルの置き換え」ダイアログに出てくる情報が足りない。
  • LP#429041:複数の項目を選択した状態でEnterキーを叩いた場合などには,本当にファイルを開いていいか確認が欲しい。
  • LP#389663:トリプルクリックをしようとした場合,2回クリックした時点でダブルクリックとみなされてしまう。
  • LP#388091:フォルダの右クリックで表示される「開く」「ブラウズ」は効果が同じ。
  • LP#388949:デスクトップで右クリックして表示されるメニューにおいて,⁠名前順に整理」「名前順に並び替え」の方が妥当である(注:10.04から持ち越し)⁠
  • LP#439227:Nautilusのタイトルバーに,⁠ファイルブラウザ」とだけ表示するのではなく,現在いる場所も表示すべき。
  • LP#563226「Ctrl+Shift+W」で全てのタブを閉じるのではなく,⁠Ctrl+Q」で閉じられるようにすべき。

ibus-mozcのテスト

Google日本語入力のオープンソース版であるmozcについては,Ubuntuでは10.10時点で標準リポジトリから利用できるようになる予定です。

すでにDebian sidに取り込まれているため,universeにはSync requestをかけるだけで取り込まれますので,⁠おそらく大丈夫」と言える状態にあります注2)⁠これに伴い,mozcがLinux上でどの程度妥当な動作をするのか広くテストする目的で,Japanese packages for testersリポジトリにibus-mozc・scim-mozcのパッケージを準備しています。実際にインストールした上で,mozcがクラッシュする・キー入力が正常にmozc-serverに伝わらない注3等,固有の問題に対するテストが必要です。

ただし,この「japanese-testersに用意されているmozcパッケージ」は,あくまでも「mozcがUbuntu上でどのように動作するのか」を検証するためのテスト用です。「testersに入っているものを進化させて10.10に入れる」わけではなく,基本的にはDebian sidに導入されたパッケージを持ち込む形でのリリースとなります。

状況については,まとめページを準備していますので,そちらを参照してください。

注2
Debian Import Freeze以前であればsidにあるパッケージは自動的にuniverseへSyncされるのですが,mozcについてはsidに取り込まれたのがImport Freeze後であったため,別途個別のSync Requestが必要になります。問題点は,まれにSync Requestがrejectされるケースがあることです……。もっとも,その場合はJapanese Remixで持っているリポジトリに投入することで,日本国内のユーザーにとっては問題のない状態にすることは可能です。
注3
こうした現象が起きる場合,とても高い確率でibus本体の不具合ですが,⁠ibus-anthyであれば問題ないが,ibus-mozcだとダメ」といったケースの場合はmozc固有の問題の可能性もあります。

Ubuntu Weekly Newsletter #201

Ubuntu Weekly Newsletter #201がリリースされています。

その他のニュース

  • 新しいUbuntu Font注4のクローズドベータテストが開始されました。現時点ではUbuntu Memberに限定されたテストですが,8月以降,一般ユーザーを含めての大規模なベータテストが行われる予定です。かなりデザイン性の強いフォントではありますが図1)⁠スクリーンフォントとして使いやすいように文字幅が抑えられており,汎用のフォントとして活用できそうです。
  • Wacomドライバに関する議論。
  • Nexus OneでUbuntuが動いている。現状ではあまりメリットはありません。が,⁠そのままでは画面が出ないので,Nexus One上で動作するUbuntuにVNCを入れ,Android上からVNCで接続する」という大技を伴うものなので,技術的には非常に興味深いもののはずです。
  • 10.10の新しいインストーラの図。
  • 10.04をMac OS X風味の外見にする手順。
  • Wordpress 3.0を10.04環境にインストールするスクリプト
  • 壊れかけたCDからddrescueでデータを吸い出す方法
  • ブラウザの検索窓からmanページを検索する方法。
  • Ubuntu Packaging Guideが改定されました。

図1 Ubuntu Font(ベータ版)を用いて画面表示した例

図1 Ubuntu Font(ベータ版)を用いて画面表示した例

注4
“Ubuntu Font⁠は,これまでのttf-ubuntu-titleとは異なり,大文字アルファベットや各種記号に加えて,将来的にはUnicodeがサポートする全ての文字を含めることが目標となっている「Ubuntuの次世代標準フォント」です。

今週のセキュリティアップデート

PAMのセキュリティアップデートがリリースされています。ローカルユーザーによってroot権限が奪取可能なものですので、管理者権限を与えていないユーザーが存在する環境では、権限奪取を防ぐためにただちにアップデートを行う必要があります。

usn-959-1:PAMのセキュリティアップデート
  • Ubuntu 9.10・10.04 LTS用のアップデータがリリースされています。CVE-2010-0832を修正します。
  • pam_motdの実装の問題により,古典的シンボリックリンク攻撃を用いることで,ログイン時に行われるスタンプ操作を任意のファイルにリダイレクトすることが可能でした。これにより,ローカルの攻撃者が特定のファイルのownerを取得することが可能です。きわめて単純な攻撃が成立します。
  • 対処方法:通常の場合,パッケージをアップデートすることで問題を解決できます。
usn-960-1:libpngのセキュリティアップデート
  • 現在サポートされている全てのUbuntu(6.06 LTS・8.04 LTS・9.04・9.10・10.04 LTS)用のアップデータがリリースされています。CVE-2010-1205, CVE-2010-2249を修正します。
  • CVE-2010-1205は,プログレッシブ表示をサポートしたアプリケーションにおいて,イメージデータに含まれるExtra row領域の格納に失敗し,バッファオーバーフローが生じる問題です。これにより,アプリケーションと同じ権限で任意のコードが実行される可能性があります。
  • CVE-2010-2249は,PNGのsCALエクステンションのメモリリークにより,任意にメモリの過大消費を発生させられる問題です。これにより,DoSが可能です。
  • 対処方法:通常の場合,パッケージをアップデートすることで問題を解決できます。
usn-961-1:Ghostscriptのセキュリティアップデート
  • Ubuntu 8.04 LTS・9.04・9.10・10.04 LTS用のアップデータがリリースされています。CVE-2009-4270, CVE-2009-4897, CVE-2010-1628, CVE-2010-1869を修正します。
  • CVE-2009-4270は,gsがPDF形式を取り扱う際にバッファオーバーフローが発生する問題です。任意のコードの実行が可能です。この問題は9.04・10.04にのみ影響しますが,通常のバイナリあの場合,コンパイル時のオプションによりDoSに留められます。
  • CVE-2009-4897は,PDFやps形式において長いファイル名を付与した状態でgsに処理させることで,ヒープバッファオーバーフローが発生する問題です。これにより任意のコードの実行が可能な疑いがあります。この問題は8.04 LTS・9.04にのみ影響します。
  • CVE-2010-1628は,再帰や特殊な形のループを含むpsファイルが与えられた場合にスタックバッファオーバーフローが発生する問題です。特殊な状況を仮定した場合に任意のコードの実行が,通常の場合はDoSが可能です。
  • CVE-2010-1869は,特定のデータを含むpsファイルを扱う際,パース時にスタックバッファオーバーフローが発生する問題です。特殊な状況を仮定した場合に任意のコードの実行が,通常の場合はDoSが可能です。
  • 対処方法:通常の場合,パッケージをアップデートすることで問題を解決できます。

著者プロフィール

吉田史(よしだふみひと)

Ubuntu Japanese Team Member株式会社創夢所属。システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

コメント

コメントの記入