開発者向けのニュースレターとナレッジベース
Ubuntu Developer News#1
Ubuntuの開発に関わる人・
メールで受信したい場合、
これはUbuntu Weekly Newsやthe FridgeをリリースしているUbuntu News Teamによる新しいニュースレターで、
今週リリースされたUbuntu Developer News#1の主な内容は次の通りです。
- 選挙の結果、
Colin WatsonさんがTechnical Boardに就任することが決まりました。 - Launchpad上で適切なバグ報告を行うためのガイドライン
- CVE-2008-4311への対応として新しいdbusパッケージで行われるデフォルト動作の変更による他のパッケージへの影響について。
その他の内容については原文を参照してください。
Ubuntu Developper Knowledgebase
Developer Newsとは別に、
Ubuntu 8.04.2のJapanese Remix
先週お伝えした通り、
目処として、
なお先週の繰り返しになりますが、
Ubuntu Weekly Newsletter #126
Ubuntu Weekly Newsletter#126がリリースされています。
主な内容は次の通りです。
- Ubuntu 8.
04. 2 LTSのリリースについて - 3回目のUbuntu Developer Weekが成功裏に終了した件
- Ubuntuの開発者になるためのプロセスが整理された件
- Ubuntu Podcast #18
その他の内容については原文を参照してください。
9.04の開発動向
Ubuntu 9.
- ACLがデフォルトで利用されるようになる予定です。現在ACLに対応させるべきソフトウェアの洗い出しと、
対応作業が行われています。ACLに対応させるべきソフトウェアとは、 たとえばzipやcpioなどのアーカイバが該当します。 - eBox 0.
12がJauntyのリポジトリにアップロードされました。これはIntrepidにもバックポートされる予定です。eBoxはWebブラウザ経由で各種サーバーの設定を行うことができる、 管理のための補助ツールです。 - 1/
27に行われたServer Teamのミーティングで、 DRDB関連のユーティリティがJauntyで取り込まれるのに際し、 適切なテストケースがWikiのテスト仕様がまとめられたページに作成されることが決まりました。これにより9. 04以降ではDRDBがきちんと動作することが期待されます。 - /etcをバージョン管理システムの管理下におくための仕様であるetckeeperの開発が本格的に開始されています。これはetckeeper・
bazaarを用い、 /etc/以下に加えられた編集を自動的にバージョン管理するための仕組みです。etckeeperはIntrepidであればUniverseリポジトリに存在し、 すでに利用することが可能ですが、 Ubuntu Server Editionではこれらが自動的に利用されるような、 何らかの仕組みが用意される予定です。
その他のニュース
- Ubuntu Pocket GuideのPDF版が無料で公開されています。
- techradar.
comに 「Linuxデスクトップを爆速にする3つの方法」 (原題:3 ways to turbocharge your Linux desktop) という記事が掲載されています。ある程度慣れたユーザに向けた、 Fluxbox・ Ratpoison・ Enlightenmentの使い方講座です。 - LTSP
(Linux Terminal Server Project) を用いたシンクライアント環境をIntrepid (8. 10) 上で実現するための blog記事があります。LTSP関連を簡単に使い始める場合は参考になるでしょう。
今週のセキュリティアップデート
usn-710-1:xine-libのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-
January/000829. html - 6.
06 LTS・ 7. 10・ 8. 04 LTS・ 8. 10用のアップデータがリリースされています。複数の脆弱性 (CVE-2008-3231, CVE-2008-5233, CVE-2008-5234, CVE-2008-5236, CVE-2008-5237, CVE-2008-5238, CVE-2008-5239, CVE-2008-5240, CVE-2008-5241, CVE-2008-5242, CVE-2008-5243, CVE-2008-5244, CVE-2008-5246, CVE-2008-5248に加えて、 CVE IDが未発番の脆弱性三つ) を修正します。xine-libは多くのアプリケーションで再生バックエンドとして利用されているため、 多くのメディアプレイヤーアプリケーションが影響を受けます。 - 悪意ある第三者が細工を施したメディアファイル
(動画・ 音声ファイル) を再生させることにより、 再生を行ったユーザの権限での任意のコード実行・ アプリケーションのクラッシュなどが引き起こされる可能性があります。ヒープオーバーフロー・ 整数オーバーフローなどの攻撃に転用しやすい脆弱性が含まれています。 - 対処方法:アップデートを適用後、
xine-libをバックエンドとする全てのアプリケーションを再起動してください。具体的にはTotem-xineやAmarokなどの再起動が必要です (判断が難しい場合、 全ユーザーのログアウトないしOSの再起動を行ってください)。 - EOL情報:7.
04にも同様の脆弱性が存在しますが、 すでにサポート期限が終了しているためアップデートパッチは提供されません。
usn-711-1:ktorrentのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-
January/000830. html - 7.
10・ 8. 04 LTS・ 8. 10に影響します。CVE-2008-5905, CVE-2008-5906を修正するアップデータです。6. 06のktorrent はWeb Interface pluginが実装される前のバージョン1系列であるため、該当する脆弱性はありません。 - いずれもWeb interface pluginに関する脆弱性です。Web interfaceを利用していない場合は影響を受けません。
- CVE-2008-5905はアクセス制御が適切に行われておらず、
細工を施したHTTPリクエストを送信することでダウンロード・ シーディング (アップロード) を実行することが可能な脆弱性です。 - CVE-2008-5906はHTTPリクエストの一部のパラメータの解析が適切に行われておらず、
悪用により任意のPHPコードを実行される危険があります。 - 対処方法:アップデート後、
ktorrentを再起動してください。 - 備考:該当するバグ情報はLaunchpadには登録されていませんので、
詳細な情報が必要な場合はDebian#504178などを参照してください。 - EOL情報:7.
04のktorrent>にはCVE-2008-5905のHttpServer::handleTorrentPostは存在せず、 CVE-2008-5906のPhpHandler::executeScriptは現在の実装とは大きく異なるものですが、 サポート期限が終了しているため問題の有無は検証されていません。
usn-712-1:vimのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-
January/000831. html - 6.
06 LTS・ 7. 10・ 8. 04 LTS・ 8. 10用のアップデータがリリースされています。CVE-2008-2712, CVE-2008-4101を修正します。 - いずれも悪意ある細工が施されたファイルを開く、
あるいは操作する際に任意のコマンド (またはvimスクリプト) を実行される恐れがあります。 - CVE-2008-2712は、
Vimスクリプトからexecute・ evalを実行する際、 文字列の検証が甘く、 任意のコマンドを実行される可能性があります。この問題を利用することで、 vimとその派生コマンド (ex・ viewなど) を利用する際、 悪意ある加工を施したドキュメントを開かせることで攻撃が可能です。 少なくともfiletype. vim・ zipplugin・ xpm. vim・ gzip_ vim・ netrwプラグインに問題が見つかっています。 * CVE-2008-4101は、 vimの [K] キーストロークを用いてURL等を開く際、 引数として与えられる対象文字列の検証が甘く、 任意のコマンドを実行される可能性がある問題があります。これは悪意あるドキュメントなどに問題のある文字列を含めることで攻撃に転用できます。また、 [C-]]・ [C-g] にも同質の問題があり、 Vimスクリプトの実行が可能です。 - 備考:詳細情報はCVE-2008-2712はオリジナルの脆弱性情報、
CVE-2008-4101はvim_ devメーリングリストに投稿された内容 を参照してください。 - 対処方法:通常の場合、
アップデートによって問題を解決できます。例外的に、 すでに悪意あるファイルを開いている場合影響を回避できことが考えられますので、 可能であればvimを再起動してください。 - EOL情報:7.
04にも同様の脆弱性が存在しますが、 すでにサポート期限が終了しているためアップデートパッチは提供されません。
usn-713-1:openjdk-6のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-
January/000832. html - 8.
10用のアップデータがリリースされています。CVE-2008-5347,CVE-2008-5348,CVE-2008-5349,CVE-2008-5350,
CVE-2008-5351,CVE-2008-5352,CVE-2008-5353,CVE-2008-5354,
CVE-2008-5358,CVE-2008-5359,CVE-2008-5360を修正します。 - CVE-2008-5353は、
カレンダーオブジェクトの展開処理 (デシリアライズ/アンマーシャル処理) これによりユーザ権限での他の実行ファイルの起動・ ファイルの閲覧などを許す 可能性がある脆弱性です。 - CVE-2008-5347・
CVE-2008-5350により、 「信頼していない」 不正なアプレットを誤って実行してしまう可能性があります。これはWebブラウザなどでopenjdk (icedtea) を利用している場合に影響があり、 アプレットの実行によるユーザ権限の取得・ ディレクトリリストの閲覧などを許す可能性があります。 - CVE-2008-5351により、
冗長なエンコードを用いたUTF-8文字列の解釈に問題があり、 他のアプリケーションでは許容しない表現を受け取る可能性があります。これにより、 URLに基づいたブラックリストなどで制限をかけている場合、 攻撃者にブラックリストによる判定を迂回される可能性があります。 - CVE-2008-5360は、
JREの一時ファイルの作成パターンが予測可能であるため、 悪用することで不正なJARファイルをロードさせ、 アプレットとして起動させること (ただし権限は 「信頼されていない」)、 Java Web Startアプリケーションを起動させることが可能な問題です。これにより攻撃者が作成したファイルが実行され、 限定された権限下で情報の閲覧などが可能になります。 - そのほか、
Kerberos認証とRSA鍵の検証時にDoSを引き起こされる問題 (CVE-2008-5348・ CVE-2008-5349)、 JARファイルの展開時にDoSを引き起こされる問題 (CVE-2008-5352・ CVE-2008-5354)、 一部の画像ファイルの展開時にDoSを引き起こされる問題 (CVE-2008-5358・ CVE-2008-5359) を修正します。 - 重要:8.
04にもopenjdk-6関連パッケージは提供されており、 この脆弱性の影響を受けます。しかし、 まだアップデータはリリースされていません。8. 04ではopenjdk6-*はUniverseリポジトリにあるため、 コミュニティによる検証・ パッチが行われる予定です。
usn-714-1:Linux Kernelのセキュリティアップデート
- 6.
06 LTS・ 7. 10・ 8. 04 LTS用のアップデータがリリースされています。CVE-2008-5079,CVE-2008-5134,CVE-2008-5182,CVE-2008-5300,CVE-2008-5700,CVE-2008-5702,CVE-2008-5713を修正します。 - 脆弱性の一部は8.
10にも影響します。2. 6.27-11. で修正される予定で、26 現在テストが行われているようです。 - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-January/ 000833. html - いずれの脆弱性もシステムDoSを発生させるものです。より深刻な攻撃につながるものではないと考えられます。
- 該当するハードウェアを用いていない場合は影響を受けませんが、
無線LAN経由でシステムをクラッシュさせることができる脆弱性があります。Libertas無線LANドライバ (Marvell社製無線LANチップの一部で利用されます) の問題により、 物理的に近傍にいる攻撃者が細工を施した無線LANパケットを送り付けることによりシステムDoSを発生させることができる問題 (CVE-2008-5134) です。 - ローカルユーザによるDoS
(サービス妨害攻撃。Kernel関連のDoSの場合、 多くはシステムクラッシュを引き起こすものです) を発生させることができる脆弱性は次の通りです。ATMネットワークでの通信に用>いるサブシステムの問題によりローカルユーザがシステムDoSを発生させることができる問題 (CVE-2008-5079)、 inotifyサブシステム上でレースコンディションを引き起こすことでシステムDoSを発生させることができる問題 (CVE-2008-5182)、 sendmsgシステムコールを大量に発行することで、 OOM Killerを任意に発動させ、 システムDoSを発生させることができる問題 (CVE-2008-5300)、 ATAドライバのSG_ IOタイムアウトに異常に長い値をセットすることでストレージへのアクセスを数秒間阻害することが可能な問題 (CVE-2008-5700)。 - 次の問題はローカルユ-ザによるシステムDoSを引き起こすことが可能ですが、
該当するハードウェアを用いていない場合は影響を受けません。IB700システムボードに内蔵されたウォッチドッグタイマのドライバに問題があり、 バッファアンダーフローによるDoSを引き起こせる問題 (CVE-2008-5702) が存在します。 - 対処方法:アップデートを行い、
システムを再起動してください。 - EOL情報:7.
04にも影響しますが、 メンテナンス期限が終了しているためアップデータはリリースされません。
(2009-01-30 18:00追記)
このアップデータを適用すると、