9.04 の翻訳スタート
Ubuntu 9.
翻訳作業への参加はどなたでも行えますが、
- Launchpadのアカウントを作成している。
- Ubuntu Japanese Translatorsに所属している。
特に、
UbuntuオフラインミーティングTokyo 9.01
Ubuntu Japanese Teamは、
Ubuntu Developer WeekとBug Day
三度目のUbuntu Developer Weekの日付が確定し、
また、
Launchpadのオープンソース版
LaunchpadはUbuntuの開発の中心となっているポータルサイトで、
screen-profilesのテスト
Ubuntu Serverなどで利用されているGNU Screenをより積極的に活用するため、
- ステータスバーに、
ロードアベレージ・ CPU周波数・ メモリ容量・ 日時などを表示する。 - 同様に、
タスクバーに相当するタブを表示する。 - さらに、
デスクトップ環境におけるupdate-notifierと同じように、 アップデート通知・ 再起動の必要の有無を表示する。 - Screen起動時に自動的に展開されるウインドウを指定できるように設定する。
- プロセスやログ一覧といった、
サーバーでしばしば使われるウインドウの一括生成をサポートする。
開発はLaunchpad上で行われています。すでに9.
なお、
Ubuntu Weekly Newsletter #124
UbuntuWeeklyNewsletter #124が発行されました。主な内容は次の通りです。
- Ubuntu Global Bug Jamについて
- Ubuntu Developer Weekの開催
- 新しいMOTUとUbuntuメンバー
- Ubuntuの殿堂: James Westby
その他のニュース
- UbuntuとCanonicalがNewyork Timesに掲載されています。
- 先週紹介した、
Jauntyで搭載される (かもしれない) 新しい通知システムの詳細に関するArs Technicaのpost。
今週のセキュリティアップデート
usn-705-1:NTPのセキュリティアップデート
- 6.
06 LTS・ 7. 10・ 8. 04 LTS・ 8. 10用のアップデータがリリースされています。CVE-2009-0021を修正します。 - 脆弱性の利用により、
SSL/ TLSによって保護されたNTPコネクションにおいて、 署名の検証を迂回される危険があります。署名がDSA/ ECDSAで行われている場合にのみ悪用が可能です。 - 対処方法:通常の場合、
アップデートのみで問題を解決できます。 - 備考:この問題はusn-704-1と同じく、
EVP_ VerifyFinal()関数の返値を正しく解釈していないことが原因 です。NTPのソースコードにおける問題で、OpenSSLライブラリの更新では改善しません。
usn-706-1:bindのセキュリティアップデート
- 6.
06 LTS・ 7. 10・ 8. 04 LTS・ 8. 10用のアップデータがリリースされています。CVE-2009-0025を修正します。 - 脆弱性の悪用により、
DNSSECで行われるべき署名の検証を迂回されるため、 DNSSECが有効な環境でもDNSポイゾニングが成立する可能性があります。DNSSECを用いており、 かつ署名がDSA・ ECDSAで行われている場合にのみ影響します。 - 対処方法:通常の場合、
アップデートのみで問題を解決できます。 - 備考:この問題はusn-704-1と同質で、
EVP_ VerifyFinal()・ です。bindの設定において、DSA_ do_ verify()関数の返値を正しく解釈していないことが原因 DNSSECでDSA・ ECDSAによる署名を利用しない設定を行うことでも問題を回避することが可能です (ただしこの場合、 当然ながらDNS・ ECDSAによってのみ署名されたDNSSECゾーンは利用できなくなります)。この問題はbindのソースコードにおける問題で、 OpenSSLライブラリの更新では改善しません。
usn-707-1:cupsのセキュリティアップデート
- usn-707-1として、
複数の脆弱性に対応したアップデートがリリースされています。6. 06 LTS・ 7. 10・ 8. 04 LTS・ 8. 10に影響し、 CVE-2008-5183, CVE-2008-5184, CVE-2008-5286, CVE-2008-5377を修正します。 - CVE-2008-5183:7.
10・ 8. 04 LTS・ 8. 10に影響します。ページあたり101個以上のRSS購読の追加 (このリンクはお使いの環境でcupsが動作している場合のみ開くことができます) を正しく処理できないため、 CUPSデーモンをクラッシュさせることが可能です。CVE-2008-5184と複合させることにより、 悪意ある細工を施したHTMLページをホストすることで本来必要な認証を迂回してCUPSデーモンをクラッシュさせ、 印刷を行えなくすることが可能です。CVE-2008-5184が7. 10・ 8. 04 LTSに有効であるため、 これらのバージョンでは脆弱性の影響が大きくなります。 - CVE-2008-5183の補足:CVE-2008-5183により任意のコード実行が可能な場合、
大きな脅威になりえますが (LP#298241)、 この問題はNULL pointer dereferenceによるものであり、 リモートから機能する安定した攻撃コードの開発は困難であると考えられます。 - CVE-2008-5184:7.
10・ 8. 04 LTSにのみ影響します。RSS購読の追加・ キャンセルインターフェースにおいて、 本来必要な認証処理が迂回される危険があり、 ローカルユーザが任意にRSS購読の追加・ キャンセルを行うことができます。 - CVE-2008-5286:6.
06 LTS・ 7. 10・ 8. 04 LTS・ 8. 10に影響します。PNGファイルを処理するフィルタに問題があり、 悪意ある細工を施したPNGファイルをCUPSに読み込ませることで、 DoSないしユーザ権限による任意のコードの実行が可能です。7. 10・ 8. 04 LTS・ 8. 10ではAppArmorがCUPSの権限を制限しているため、 任意のコードの実行による影響範囲は小さくなります。 - CVE-2008-5377:6.
06 LTS・ 7. 10・ 8. 04 LTSにのみ影響します。サンプルとして導入されているpstopdfフィルタのファイルの扱いに問題があり、 任意にrace conditionを起こすことで、 ユーザの権限でファイルを作成・ 上書きできる可能性があります。 - 対処方法:通常の場合、
アップデートのみで問題を解決できます。
usn-707-1:hplipのセキュリティアップデート
- usn-707-1としてUbuntu 7.
10用のアップデータがリリースされています。7. 10以外への影響はありません。 - hplipパッケージのアップデート、
もしくは新規インストールの過程で誤ったパーミッションの変更が行われる可能性があります。この脆弱性を悪用することにより、 権限の昇格が可能です。これはhplipパッケージのpostinstスクリプトの問題です。通常の場合、 各ユーザーのホームディレクトリにある.hplipファイルのみが変更されますが、 意図的に問題を悪用する、 あるいは偶発的な影響によって、 これ以外のファイルの不正な変更も可能です。 - 備考:
CVE IDは現時点では付与されていません。
CVE-2009-0122が付与されました(2009年1月22日加筆) 。 - 対処方法:パッケージのアップデートを行ってください。また、
新規にhplipパッケージをインストールする場合、 対策バージョン以降のものであることを確認してください。