2014年1月17日号　Meizu MX3とUbuntu Phone・12.04.4のリリース準備・13.04のEOL・UWN#340

Meizu MX3

実働するUbuntu PhoneがCES2014で展示されていたというニュースが各所で公開されています。展示されていたのはAndroid搭載のスマートフォン、Meizu MX3モデルで、メイン画面のみとはいえ、スムーズなアニメーション表示が行われている様子が動画になっています。Meizuは中国の大手スマートフォンベンダで、極端にハイエンドな製品（Samsung ExynosのハイエンドSoC搭載モデルや、128GBストレージ搭載モデルがあります）をリリースすることで知られています。

Ubuntu PhoneのOEM獲得状況は現状では不透明（未発表）のままで、Mark Shuttleworthが言っていたパートナーがMeizuのことなのかどうかという点はよくわからない、また実際にメジャーベンダーから製品がリリースされるのは2015年に入ってからだという話題も出ている状態であるため（2015年に入ってからというニュースソースはUbuntu/CanonicalのCommunity ManagerのJono Baconなので、かなり高い確度です⁠）⁠、実働するUbuntu Phoneが出ているというのは非常に良いニュースと言えるでしょう。

もっとも「大手ベンダーからは2015年になるまで出てこないよ」という発言は、逆に考えれば「2015にはメジャーベンダーからリリースされる」ということで、総じて「Ubuntu Phoneは徐々に形になりつつある」という状態にあります。スマートフォン・タブレット・ノートPC・デスクトップPCすべての領域で統合されたOSはまだ無い状態なので（OS XもWindowsも比較的近い位置にいるものの、決定的なプレイヤーは出てきていません⁠）⁠、今後の動きが期待されます。

また、リリースが近づきリソースの集中が必要になりつつあるため、Ubuntu Touchの対応デバイスが削減される[1]というアナウンスが行われています。ポイントは「現状ではNexus 4に注力する」「⁠Nexus 5への移行でリソースを分散させることはしない」「⁠2012年版Nexus 7/10とGalaxy Nexusへのサポートは一端停止する」というところです。この類のデバイスでは「いかに早期にドッグフーディング[2]を始めるか」が完成度を決めるため、Nexus 4に特化して開発を行い、とにかく開発者が日常的に使うメインの電話機の座を置き換えることは良い結果をもたらすはずです[3]⁠。「⁠なんだか良くわからない形でリソースが分散している」という状態から、明確な結果を目指すフェーズに切り替わっているということでもあり（Canonicalの予算が厳しそうという側面も若干はありますが⁠）⁠、Ubuntu Phoneが現実味を帯びてきた象徴と言えるでしょう。

12.04.4のリリース準備

12.04.4の（現状決まっている範囲では）最後の「ポイントリリース⁠」⁠、12.04.4の準備が進められています。Ubuntuでは、LTS版のリリースには「12.04.N」というバージョン番号を持った、「⁠あらかじめアップデートを適用したイメージ」が提供されることが慣例となっています。「⁠.N」というバージョン文字列の「.」（⁠point）から、「⁠ポイントリリース」と呼び習わされています。おおむね、Windowsにおけるサービスパック適用版に近しいリリースです。

12.04のポイントリリースでは、単に「アップデータを適用する手間が省ける」というだけでなく、最新版のUbuntu（現状であれば13.10）からカーネルやカーネル周辺のソフトウェア（主にX）がバックポートされ、最新のハードウェア上で12.04を利用できるようにする、ハードウェアサポートのためのリリースとしても機能するようになっています。

現在12.04を利用している場合、日常的なアップデートを適用していれば自然に12.04相当になるため、特段の対処は必要ありません。カーネルのみ、更新するかどうかを検討する必要があります。

12.04.4は、2月6日にリリースされる予定です。

Ubuntu 13.04のサポート終了

12.04.4のリリースが近づく一方で、「⁠9ヶ月サポートの通常版」の第一弾である13.04のEOLが近づいています（それ以前の「LTSでないもの」のサポート期間は18ヶ月でしたが、13.04から9ヶ月に短縮されています⁠）⁠。

サポート終了後は重篤なセキュリティ問題であっても修正されなくなるため、期限である1月27日までに13.10への更新が必要です。現在も13.04を動作させている場合、バックアップを取った上でアップグレードを行ってください。

なお、12.10のユーザーに向けては「直接13.10へアップグレードできる」仕組みが用意される可能性が高いため、13.04に更新せずそのまま様子を見ることをお勧めします。

UWN#350

Ubuntu Weekly Newsletter #350がリリースされています。

その他のニュース

（Debianベースでリリースされた）Steam OSを、Ubuntu上にインストールし、デスクトップセッションのひとつとして選択可能にする方法。
Ubuntu上でHDDのキャッシュの有効化/無効化を操作する方法。
Pluggable USB3-SATA-UASP1を使ってベンチマークを取得した結果。なお、同製品は日本国内でも入手可能です。
Ubuntu Touchの画面トランジションのデモ。
14.04のMATEデスクトップ環境について。
Windows XPからの乗り換え先として好適かもしれない[4]⁠、MATEデスクトップ環境が14.04で利用できる可能性について。

今週のセキュリティアップデート

usn-2077-1・usn-2077-2：Puppetのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-January/002366.html
https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-January/002369.html
Ubuntu 13.10・13.04・12.10・12.04 LTS用のアップデータがリリースされています。CVE-2013-4969を修正します。
Puppetが一時ファイルをTOCTOU問題を引き起こす形で利用していたため、攻撃者がタイミングよく古典的シンボリックリンク攻撃を行うことで、意図していないファイルの書き換えを発生させることが可能でした。ただし、通常のUbuntu環境で利用している場合、YAMAによるSticky linkによりこの攻撃は成立しません。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。
備考：usn-2077-1には不適切なファイルモードを設定してしまうバグがあったため、usn-2077-2が再リリースされています。

usn-2078-1：libXfontのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-January/002368.html
Ubuntu 13.10・13.04・12.10・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2013-6462を修正します。
Xに不正なBDFファイルを読みこませることで、メモリ破壊を伴うクラッシュを発生させることが可能でした。これによりXを動作させているユーザーの権限で任意のコードを実行できる可能性があります。
対処方法：アップデータを適用の上、システムを再起動してください。

usn-2079-1：OpenSSLのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-January/002370.html
Ubuntu 13.10・13.04・12.10・12.04 LTS用のアップデータがリリースされています。CVE-2013-4353, CVE-2013-6449, CVE-2013-6450を修正します。
不適切なTLSハンドシェイクによるクラッシュ・バージョン番号文字列のハンドリングエラーによるクラッシュ・DTLSの再送にともなうクラッシュが生じることがありました。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：このアップデート以降、乱数エントロピーのソースとして、可能であればRdRandを利用するようになります。

usn-2080-1：Memcachedのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-January/002371.html
Ubuntu 13.10・13.04・12.10・12.04 LTS用のアップデータがリリースされています。CVE-2011-4971, CVE-2013-0179, CVE-2013-7239を修正します。
極端に長いメッセージを受け取った場合の処理・-vvオプションをつけた場合のログ処理の問題によるクラッシュと、SASL認証を迂回できてしまう問がありました。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-2081-1：Bindのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-January/002372.html
Ubuntu 13.10・13.04・12.10・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-0591を修正します。
NSEC3で署名されたゾーン情報を保持しているAuthority（コンテンツ）サーバーに対し、特定のクエリを送付することでクラッシュさせることが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。