Ubuntu Weekly Topics

2011年2月18日号 Debian 6.0 “Squeeze”のリリース・Nattyのスケジュール見直し・Ubuntu 10.04.2・Component Catalog

この記事を読むのに必要な時間:およそ 4 分

Debian 6.0 “Squeeze”のリリース

UbuntuのベースとなっているLinuxディストリビューション,Debian GNU/Linuxの新しい安定版,6.0(Squeeze)リリースされました。

Ubuntuは独自開発(とはいえ源流をたどればDebianに含まれているパッチを含む)のLinuxカーネルのブランチ版,いわゆる「Ubuntu Kernel」をコアに,Debianとの共通部分を多く含むmain/restrictedコンポーネント,さらにDebian sidのスナップショットをコピーし,リビルドすることで構成されるuniverse・multiverseコンポーネント(つまり,この部分はDebianの成果物ほとんどそのもの)によって構成されています。Ubuntuを積極的に利用している場合は,この機会にDebianにも触れてみましょう。

Nattyの開発

リリーススケジュールの調整

Natty(Ubuntu 11.04)のリリースは4月28日に予定されています。通常,Ubuntuのリリースでは「完成品」リリースの前に,Release Candidate(RC; リリース候補版)を準備し,最後のバグ出しを行います。RCはリリースの一週間前が通常です。

ところが,4月28日の一週間前,4月21日はイースターウィーク注1そのものです。このことから,NattyのリリースではRCは作らず代わりに4月14日にBeta2(本来予定されていなかったもの)をリリースすることになりました。この修正を反映したNattyの新しいリリーススケジュールが公開されています。なお,リリース日は変わらず4月28日のままです。

注1
キリスト教圏(アメリカとヨーロッパの多くの地域)では,イースターまでの一週間は多くの人が休暇を取ったり,ゆるやかなペースで勤務する状態になります。今年のイースター休暇は多くの場合4月18~24日です。

10.04.2 RC

Nattyの開発と並行して,Ubuntu 10.04の二回目のメンテナンスアップデート注2),10.04.2のリリースに向けて,テスト版が公開されています。

注2
Ubuntuでは,長期サポート版(LTS)には「メンテナンスアップデート」と呼ばれるアップデート版が提供されます。これは,⁠新しく10.04を導入した場合,大量のアップデートを適用する必要がある」という問題を避けるためのものです。本質的に「10.04を普通に使っていて,最新までアップデートした状態」と同義ですので,すでに10.04を使っている場合は,10.04.2を新規に導入する必要はありません(むしろ,10.04を今利用している場合,⁠lsb_release -a」などの出力はすでに⁠10.04.2⁠になっているはずです)⁠なお,メンテナンスリリースでは機能的な追加は基本的にありませんが,一部サーバーハードウェアで利用されるRAIDカード・FCアダプタ等のHBA(Host Bus Adapter)のサポートが追加されることがあります。

コンポーネント単位のHCL

Ubuntuのサポート企業であるCanonicalから,各種デバイス(実質的にはチップ)単位で整理されたハードウェア動作リスト,Component Catalogがリリースされました。Component Catalogは,既存の「PCの型番ごとの動作リスト」であるCertified hardwareリストと連携されているため,⁠Ubuntuで動作するらしい○○というチップを積んだPCがほしい」といった調べ方で,PCの型番を突き止めることも可能です。

Ubuntuの動作上,うまく動作しないハードウェアデバイスに遭遇した場合,まずこのカタログにあたってみましょう。そもそもUbuntu上で動作しないハードウェアの場合は仕方ありませんが,⁠Ubuntu 10.10にすれば動く」といった情報を得ることができる可能性があります。

wiki.ubuntu.comのライセンス調整

Ubuntuオフィシャルのwikiページ,wiki.ubuntu.comは,コミュニティベースで情報を集約するための場所です。しかしながら,開設当初ドキュメントのライセンスが明言されていなかったこともあり,集められた記載のドキュメントが確定されない・現状では「copyright Canonical Ltd.」と表示されている等,ドキュメントを再利用するのに困難が残る状態でした(少なくともこの3年ぐらい)⁠

この問題を打開するため,ライセンスの変更が行われる予定です。もしこれまでにwiki.ubuntu.comに何らかの修正を加えたことがあれば,⁠あなたの追加したドキュメントはCC-BY-SA 3.0でライセンスされるが構わないか」という旨のメールが届いているはずです。これから何らかの議論が必要になる可能性は残っていますが,非常に大きな前進と言えるでしょう。

その他のニュース

注3
Ubuntuの派生版をコミュニティベースで作成する場合,本来は「○○buntu」という名称を使うことはできませんので,場合によっては名前が変わるかもしれません。

今週のセキュリティアップデート

usn-1056-1:OpenOffice.org のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-February/001240.html
  • Ubuntu 8.04 LTS・9.10・10.04 LTS・10.10用のアップデータがリリースされています。CVE-2010-2935, CVE-2010-2936, CVE-2010-3450, CVE-2010-3451, CVE-2010-3452, CVE-2010-3453, CVE-2010-3454, CVE-2010-3689, CVE-2010-4253, CVE-2010-4643を修正します。
  • OpenOffice.orgのPPT・XSLT・JAR・ZIP・RTF・DOC・PNG・TGAファイルを開いた際に任意のコードが実行されるおそれのある問題を修正します。また,不正なLD_LIBRARY_PATHが与えられている場合に,カレントディレクトリにある不正な共有ライブラリをロードしてしまうおそれのある問題を修正します。
  • 対処方法:通常の場合,アップデータを適用することで対処が完了します。
usn-1057-1:Linux kernel のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-February/001241.html
  • Ubuntu 6.06 LTS用のアップデータがリリースされています。CVE-2010-2943, CVE-2010-3297, CVE-2010-4072を修正します。
  • XFSファイルシステム(をNFS越しにexportしている場合)⁠ioctl・shmに含まれる,情報漏洩に繋がる脆弱性を修正します。
  • 対処方法:アップデータを適用した上で,システムを再起動してください。
usn-1058-1:PostgreSQL vulnerability
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-February/001242.html
  • Ubuntu 6.06 LTS・8.04 LTS・9.10・10.04 LTS・10.10用のアップデータがリリースされています。CVE-2010-4015を修正します。
  • CVE-2010-4015は,PostgreSQLのintarrayモジュールの問題で,悪意ある細工を施したSQLを発行することで,posgresユーザの権限での任意のコードの実行が可能な問題です。
  • 対処方法:通常の場合,アップデータを適用することで対処が完了します。
usn-1059-1:Dovecotのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-February/001243.html
  • Ubuntu 10.04 LTS・10.10用のアップデータがリリースされています。CVE-2010-3304, CVE-2010-3706, CVE-2010-3707, CVE-2010-3779, CVE-2010-3780を修正します。
  • ACLプラグインの動作上,本来の想定と異なる挙動が生じる問題と,複数のセッション切断が同時に発生した場合にクラッシュが発生する問題を修正します。
  • 対処方法:通常の場合,アップデータを適用することで対処が完了します。
usn-1060-1:Eximのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-February/001244.html
  • Ubuntu 6.06 LTS・8.04 LTS・9.10・10.04 LTS・10.10用のアップデータがリリースされています。CVE-2010-2023, CVE-2010-2024, CVE-2010-4345, CVE-2011-0017を修正します。
  • Eximに含まれる,メール経由でのroot権限奪取の脆弱性を含む,複数の脆弱性を修正します。
  • 対処方法:通常の場合,アップデータを適用することで対処が完了します。
  • 備考:このアップデータを適用することで,Eximの動作の一部が変更されます。アップデートの前後で,アドバイザリの原文の確認を行うとともに,/usr/share/doc/exim4-*/NEWS.Develを確認してください。
usn-1061-1:iTALC vulnerability
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-February/001245.html
  • Edubuntu 9.10・10.04 LTS・10.10(注意:通常のUbuntuには影響がありません)用のアップデータがリリースされています。CVE-2011-0724を修正します。
  • CVE-2011-0724は,Edbuntu Live DVDからのインストールにおいて,適正な鍵の生成が行われていない問題です。脆弱な鍵が導入されたiTALCクライアントにおいては,攻撃者がリモートからの完全な制御を獲得する可能性があります。
  • 対処方法:アップデータを適用すると,Edbuntu Live DVDに含まれていた既存の脆弱な鍵の存在の確認が行われます。問題のある鍵が存在する場合,iTALCクライアントに新規に生成した鍵を配布するとともに,既存のセッションを再起動する必要があります。詳細はhttps://wiki.ubuntu.com/iTalc/Keysを確認してください。
usn-1063-1:QEMUのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-February/001246.html
  • Ubuntu 9.10・10.04 LTS・10.10用のアップデータがリリースされています。CVE-2011-0011を修正します。
  • CVE-2011-0011は,QEMUの設定においてVNCパスワードが空欄の場合,パスワード認証が無効になるべきところ,パスワード入力なしでログインできる状態になってしまう問題です。デフォルトのQEMU環境ではVNC機能は有効になっていません。
  • 対処方法:アップデータを適用の上,既存のQEMUセッションを再起動してください。
usn-1062-1:Kerberosのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-February/001247.html
  • Ubuntu 8.04 LTS・9.10・10.04 LTS・10.10用のアップデータがリリースされています。CVE-2010-4022, CVE-2011-0281, CVE-2011-0282を修正します。
  • CVE-2010-4022は,Kerberos Databaseのマスター=スレーブ同期に用いられるkpropdの問題で,不正なパケットを受け取った場合に,伝送に利用する子プロセスがダウンする問題です。これにより,DoSが成立します。ただし,通常のKerberos構成の場合,kpropdを常に直接呼び出している可能性は低いと考えられます。この問題はUbuntu 9.10・10.04 LTS・10.10にのみ影響します。
  • CVE-2011-0281, CVE-2011-0282は,いずれもLDAPをバックエンドとするKDCにおける問題で,不正なパケットを送り込むことで,DoSを発生させることが可能な問題です。
  • 対処方法:通常の場合,アップデータを適用することで対処が完了します。
usn-1064-1:OpenSSLのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-February/001248.html
  • Ubuntu 10.04 LTS・10.10用のアップデータがリリースされています。CVE-2011-0014を修正します。
  • CVE-2011-0014は,OpenSSLがClientHelloハンドシェークを処理する際,一定条件が満たされるとクラッシュが発生する問題です。悪意あるストリームを流し込むことで,OpenSSLにリンクしたアプリケーションをクラッシュさせることが可能です。
  • 対処方法:アップデータを適用した上で,システムを再起動してください。
usn-1065-1:shadowユーティリティのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-February/001249.html
  • Ubuntu 9.10・10.04 LTS・10.10用のアップデータがリリースされています。CVE-2011-0721を修正します。
  • CVE-2011-0721は,chsn/chshコマンドにおいて,改行文字等を含む入力値がそのまま/etc/passwdに反映されてしまう問題です。システムがNISを利用している場合,これにより本来意図したユーザー認証が機能せず,DoSや未認証でのアクセスをもたらす可能性があります。
  • 対処方法:通常の場合,アップデータを適用することで対処が完了します。

著者プロフィール

吉田史(よしだふみひと)

Ubuntu Japanese Team Member株式会社創夢所属。システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

コメント

コメントの記入