Ubuntu Weekly Topics

2010年7月23日号 10.04.1リリース延期・OneConf・SSLv2サポートの根絶・UWN#202・libvteのセキュリテイアップデート

この記事を読むのに必要な時間:およそ 2 分

10.04.1のリリース延期

先週お伝えした10.04.1(10.04のメンテナンスアップデート版)は,目標とされている作業が7月29日までに完了しそうにないため,リリースが8月12日に延期されました。バグフィックスのための作業はかなりの進捗を見せており,-proposed(テスト用リポジトリ)にあるパッケージのチェック・テストが主な残作業となります。

なお,Japanese Teamでリリースしている日本語Remixについても,10.04.1をリリースする予定です。こちらは8月12日以降に調整作業を開始するため,早くて8月中旬のリリースとなります。

10.10の開発その他

10.10の開発は,一時的な大規模トラブルに見舞われたものの,10月10日のリリースに向けて順調に進められています注1)⁠直近の目標は,8月5日のAlpha3です。

注1
「0% complete」という文字列が大量に見えますが,リリースまで二ヶ月強・Alpha3までまだ2週間の時点では十分な進捗です。

"OneConf"

Ubuntu 10.10には,Ubuntu Oneストレージサービスにマシン情報を登録しておき,パッケージ構成や設定などを揃えるOneConfと呼ばれる機能が搭載される予定です。

OneConfはバックエンドでシステムのパッケージ情報をUbuntu Oneにアップロードし,Software Centerから「他のマシンにインストールされているパッケージを追加」⁠他のマシンにはインストールされていないパッケージを削除」といった操作が気軽に行えるようになる予定です。

完成予想図となるスクリーンショットもあります。複数台のUbuntu環境を利用する場合には,非常に役に立つ機能になるはずです。現状では対話的に操作することしかできず,使い勝手はいまひとつながら注2)⁠テスト可能なレベルまで完成しています。

注2
DBusの設定ファイルを手動で編集した上で登録,という大変微妙な作業が必要なため,一般的な用途にはお勧めしにくいものですが,筆者は大変便利に使っています。普通に同様の機能を実現するのであれば,dpkg -lの出力結果などをUbuntu One上に置くのと変わらないため,grepやcut,awk,sedなどのテキスト加工ツールの利用が苦にならない場合に限りお勧めします。

OpenSSLのSSLv2の根絶

UbuntuのOpenSSLパッケージでは,今後SSLv2注3のサポートが根絶され,SSLv2は非対応となる予定です。これにより,SSLv2を悪用するタイプの攻撃を完全に防ぐことができます。

Ubuntuでの削除決定に至るまでのやりとりは非常にスムーズで,⁠これ削除すべき」⁠そうしよう。殺しておかないとね」⁠Debianではどうするの?」⁠Ubuntuで受け入れられたら,Debianでも提案してみるよ」といったものだったのですが,Debianに提案された後,どのように議論が転がるかは分かりません。

注3
SSLv2は通信開始時のネゴシエーションの改ざんを検知する手法がないため,中間攻撃者によって弱い(40bitの)暗号アルゴリズムを利用させることができる等,さまざまな問題があり,通信の秘匿性・完全性を守るにはあまり役に立たない状態となっています。

Ubuntu Weekly Newsletter #202

Ubuntu Weekly Newsletter #202がリリースされています。

その他のニュース

  • IGEPv2ボード(Ti OMAP3530を搭載したクレジットカード+αサイズのボード型PC。HDMIやEthernetコネクタ付で,消費電力6W)10.04を動かす話。同じ系統のチップを搭載したBeagleBoard-xM(Tiの新型SoCである1GHz駆動のAM3715搭載。このチップはQualcomm SnapDragonの直接のライバルにあたります)でもUbuntuが動作しているため,小型・省電力のUbuntuマシンを使いたいユーザーにとっては,非常に多くの選択肢が存在する状態になりつつあります。
  • Google Docにある各種ファイルを,ローカルファイルシステムとしてマウントするgoogle-doc-mountというソフトウェアが公開されています。Google Docを日常的に使っている方は,利用してみると便利かもしれません。
  • LifereaとEpiphanyをサポートするインジケータを,maverick用からバックポートしたもの。
  • DebianのBTSにバグレポートすることについて。
  • Ubuntu Developer Weekのまとめ
  • FirefoxとChrome/Chromiumで,カスタム検索プロバイダを設定する方法。
  • 10.04を用いて,Sambaサーバーを構築する方法。

今週のセキュリティアップデート

usn-962-1:libvteのセキュリテイアップデート
  • Ubuntu 9.04・9.10・10.04 LTS用のアップデータがリリースされています。CVE-2010-2713を修正します。
  • CVE-2010-2713は,libvteがウインドウタイトル操作において,エスケープシーケンスを適切に取り扱わないことにより,ターミナルソフトウェアにおける古典的な攻撃手法であるset+queryアタックが成立する問題です。これにより,文字列の出力を行うアプリケーションが,ターミナルを実行しているユーザーの権限で任意のコードを実行することが可能です。
  • 対処方法:アップデータを適用の上,セッションを再起動してください。
  • 備考:libvteはgnome-terminalなどの端末ソフトウェアで利用されています。
usn-963-1:FreeTypeのセキュリテイアップデート
  • 現在サポートされている全てのUbuntu(6.06 LTS・8.04 LTS・9.04・9.10・10.04 LTS)用のアップデータがリリースされています。CVE-2010-2498, CVE-2010-2499, CVE-2010-2500, CVE-2010-2519, CVE-2010-2520, CVE-2010-2527を修正します。
  • いずれも不正な形式のフォントファイル読み込みにより,任意のコードの実行・アプリケーションのクラッシュが可能な問題です。
  • 対処方法:アップデータを適用の上,セッションを再起動してください。

著者プロフィール

吉田史(よしだふみひと)

Ubuntu Japanese Team Member株式会社創夢所属。システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

コメント

コメントの記入