Ubuntu Weekly Topics

2010年11月19日号 NattyのFeatureDefinitionFreeze・gccの--as-needed・カーネルのdmesg_restrictオプション

この記事を読むのに必要な時間:およそ 2 分

11.04の開発

Ubuntu 11.04 "Natty Narwhal"の開発の最初のチェックポイントとなる,FeatureDefinitionFreezeが11月25日に迫っています。これに伴い,Blueprintやwiki.ubuntu.com上のFeature SPECの記述が大幅に拡充されており,これまでの時点ではまったく不明(タイトルのみが明記されていて,本文の部分には「TBD注1)⁠と記述されている等)だったものについても本文が記載され,11.04の「現時点での野望」が見えつつあります。ですが,今週は各開発者がこうした仕様をfixすることに注力していることもあり,一つをのぞいて大きな動きはありません。

注1
To Be Determined。⁠あとで書く」⁠

gccの「--as-needed」オプション

今週の最大の動きは,Nattyの開発において,gccのデフォルトオプション変更により,パッケージビルド時のオプションとして「--as-needed」が付与されるようになったことです注2)⁠これにより,Nattyに含まれるパッケージのいくつかは,⁠これまでは全く問題がなかったのに,突然動かなくなる」といったバグに見舞われる可能性があります。基本的には--as-neededオプションは不適当なライブラリの依存関係を補正する効果があるのですが,実行時にだけ顕在化する意味不明なエラーを発生させることがあるためです。

すでにNatty環境を利用している場合は,問題のあるパッケージを発見次第,当該アナウンスに従ってバグ報告を行う必要があります。

なお,Natty環境にはFirefox 4系のパッケージも投下されており,Alpha以前というだけでなく,実際に危険に満ちた状態になっています。テストを行う場合,くれぐれも予備マシンや仮想マシン上で試すようにしてください。

注2
--as-neededオプションについては,連載「玩式草子─ソフトウェアとたわむれる日々」を参照。

dmesgの閲覧制約

Nattyでは,⁠一般ユーザーからはdmesgコマンドが利用できない」という修正が加わるかもしれません。現時点では副作用等を見据えた議論が続いていますが,極端に否定的な見解は出ていません。背景は次の通りです。

まず,Linux全般において,現状ではdmesgコマンドは一般ユーザーからも利用できます。しかし,⁠dmesg | head」などとすると分かる通り,dmesgによって出力される情報には,カーネルのアドレス空間の情報など,セキュリティ的な観点からは公開すべきでない情報も含まれてしまっています。

これを解決するのがごく最近linux kernelに追加されたdmesg_restrict(CONFIG_SECURITY_DMESG_RESTRICT)オプションです注3)⁠このコンパイル時オプションを有効にしてビルドされたカーネルは,dmesgコマンドを一般ユーザ権限で実行しても何も見えなくなります注4)⁠これにより,意図せず重要な情報が露出することを防ぐことができるようになりました。現在行われている議論は,このオプションをUbuntuにおいて有効にすべきか(動かなくなるアプリケーションはないか)と,ユーザーにとっての不便をもたらさないか,という2軸です。同様の議論はUbuntu以外の各Linuxディストリビューションで行われることになるでしょう。

注3
Acked-byリストが壮観(Red Hatの重鎮(Ingo)+Red HatのSecurity Teamの重鎮(Eugene Teo)+Canonical/UbuntuのSecurity Teamの重鎮(Kees Cook))で,そもそも作者はDan Rosenberg(Linuxのセキュリティホールのうち,特にファイルシステム周りを無数に見つけている人)⁠というあたりに注目。ただし,CONFIG_EMBEDDED=y(組み込み向けに「組み込み環境では明らかに要らない機能」をOffにしてチューニングするためのオプション)かつCONFIG_PRINTK=n(読んで字のごとくprintkしないオプション)をセットした状態だときちんとコンパイルできないという問題が起きたりはしています。
注4
なぜこれまでこの種のパッチが取り込まれてこなかったのかは謎です。

Canonicalのパートナー契約

Ubuntuの開発支援企業であるCanonicalが,Ubuntu 10.10フェーズでのパートナー企業を公表しました。日本国内ではCassandraとZend以外はそれほど有名ではありませんが,WaveMakerなどは国内でも販売され始めた期待のIDEの一つです。これが即座にUbuntuに良い影響をもたらすわけではありませんが,Ubuntuを利用したシステム開発がより容易に行えるようになる,という意味では歓迎すべき事項です。

その他のニュース

  • NVIDIAのプロプライエタリドライバを利用している環境で,ブート画面が綺麗に表示されない場合の対策。ただし,あくまで見た目を改善するだけですので,⁠どうしても」という場合以外は手を出さない方が安全です。
  • Ubuntu 10.10/10.04にvirtualBox 3.2.10をインストールする手順
  • パッケージに含まれる不要ファイルを除去することで,システムの消費する容量を削減するテクニック
  • approx(aptなどのパッケージ取得において,キャッシュ付proxyとして動作するソフトウェア)簡単な使い方

今週のセキュリティアップデート

usn-1015-1:libvpx のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-November/001198.html
  • Ubuntu 10.10用のアップデータがリリースされています。CVE-2010-4203を修正します。
  • CVE-2010-4203は,libvpxの不完全な境界値チェックにより,不正なWebMメディアファイルにより任意のコードの実行ないしクラッシュが発生する問題です。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-1016-1:libxml2 のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2010-November/001199.html
  • 現在サポートされているすべてのUbuntu(6.06 LTS・8.04 LTS・9.10・10.04 LTS・10.10)用のアップデータがリリースされています。CVE-2010-4008を修正します。
  • CVE-2010-4008は,libxml2に含まれるXPathの解釈処理において,不正なXMLファイルを処理することで,スタックバッファオーバーフローやNullポインタ参照が発生する問題です。これにより,通常の場合はアプリケーションのクラッシュが,状況を限定することで任意のコードの実行が可能と考えられます。
  • 対処方法:アップデータを適用した上で,セッションを再スタート(一度ログアウトして再度ログイン)してください。
usn-1017-1: MySQLのセキュリティアップデート

著者プロフィール

吉田史(よしだふみひと)

Ubuntu Japanese Team Member株式会社創夢所属。システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

コメント

コメントの記入