Ubuntu Weekly News#128

UWN#128がリリースされました。主な内容は次の通りです。

• JauntyのAlpha4のリリース
• Ubuntu LoCo Docs Dayの開催について
• Christophe Sauthierさんへのインタビュー
• FridgeのカレンダーのURL変更
• 今週のHugDay
• Launchpodの動画/podcastのEpisode #16
• Launchpad performance weeksについて
• Ubuntu podcast #19
• 東芝製NetbookであるNB100の欧州モデルでUbuntu Netbook Remixが採用されたことについて。

カーネルのアップデート方針の変更

カーネルパッケージのアップデート方針が変更になります。

Ubuntuではこれまで，LKMLで行われているLinux Kernelの開発で（Kernelのリリース後にアップデートリリースとして）取り込まれたパッチ（上流パッチ）を -updates リポジトリに投入してきていました。

が，こうした変更は2.6.27（LKML側での「Long Term Support」として指定され，長期間にわたってのメンテナンスが保証されているカーネル）において，パッチの投入後にはじめて「実はこれまで動いていた機能が壊れてしまう修正であった」ことが判明する，といった事態に対して耐性を持ちません。言い換えると，-updates リポジトリを有効にしている環境では，Kernelパッケージ（linux-image-*）を更新して再起動すると，最悪の場合「これまで動いていたものが突然動かなくなる」可能性がありました。

そこで，非LTSでは「リリース後4ヶ月」をもってこうした上流パッチの取り込みを止め，ごく最低限の，おもにセキュリティ関連のアップデートだけを取り込む方針への変更が行われます。ただしこれはパッケージとして配信されないだけで，手元でビルドして利用することは可能なように配慮されるはずです。

Launchpad performance weeks

Ubuntuの開発の多くはLaunchpad上で行われているのですが，利用するユーザー数が膨大であるため，応答速度がそれほど速くありません。このため，Launchpadのユーザーは日々Launchpadの遅さに辟易させられています。

この問題を解決するための動きとして，「⁠Launchpad performance week（LPW⁠）⁠」という試みが行われています。これはLaunchpad上で表示される全てのページにおいて表示にかかった時間を記録し（一種のベンチマークです⁠）⁠，明らかにボトルネックになっている（妥当な速度で表示されない）ぺージを見つけ，それを改善するための基礎資料にしようというものです。

なお，次のLPWは4/6・6/1が予定されています。

この結果として，PPAページの表示速度の改善が企画されています。ベンチマークの結果，このページでは（初期状態では表示されておらず，ユーザーがパッケージの横にあるボタンを押して始めて表示される）パッケージの詳細情報を表示する部分の処理がボトルネックになっており，ほとんどのユーザーにとっては必要がない情報を表示するために時間がかかっていた，ということが判明していますので，これを修正することで体感速度が向上する見込みです。

9.04の開発

デスクトップ関連

9.04の開発のうち，デスクトップに関連する情報をお伝えします。以下は開発中の（ものによっては「Test Run」的な）機能であるため，9.10まで持ち越しが行われる・そのまま「なかったこと」にされるといったことが起こる可能性もあります。

主に2/10・1/27のDesktop Teamのミーティングの内容のごく一部をピックアップしたものです。

• Network Managerと連携して動作するアプレットとして取り込まれる予定の，Modem Managerの新しいパッケージ（Ericsson F3507g対応版）のテストがModem Manager PPAで行われています。これは9.04のリリースに含まれる予定の機能で，未知のHSDPAモデムなどを動作させやすくなるはずです（が，今のところ日本ではこの種のデバイスが少ないのであまり関係ないかもしれません⁠）⁠。
• Xorg.confのバックアップ・復元に関する何らかの仕組みが用意され，アップデートやデバイス変更などの影響で「画面が出ない」といった現象への対処が行われる予定です。
• Suspend/Resumeといった電源管理が改善される予定です。この一環として，Debian/Ubuntuに特有の（そして，すでにほとんどの機能をHALで利用できる/すべき）acpi-supportパッケージを捨てる作業が行われています。

その他のニュース

• Ubuntuコミュニティの中で「協力したいが，何をしたらいいのか分からない」という人に向けて，Ubuntu Wantedという「○○出来る人求む」といった求人ページを出すためのサイトの構築が始まっています（注：ここに掲載されるのは，Ubuntuコミュニティに関わる無償の作業だけです⁠）⁠。
• Launchpad関連として，『⁠Launchpadでのバグの重要度の付け方（Triage in the Launchpad suite⁠）⁠』という記事と，『⁠複数のPPAにputする場合のdput.cfのシンプルな書き方（Simplifying dput.cf for multiple PPAs⁠）⁠』という記事がblog.launchpad.netに掲載されています。
• VMwareを利用する場合に問題になる（paravirt機能を使う場合に問題が起きる）LKMLに投稿された問題を改善するためのパッチを取り込むようリクエストが行われています。この問題は8.10・9.04にのみ影響し，近いうちにパッチがkernelパッケージ（linux-image-*）の「stable」アップデートに含まれるはずです（つまり，-updatesリポジトリに配信されます。-securityだけを有効にしている場合は配布されません⁠）⁠。
• 『Ubuntuを用いてVPN Serverを構築する（How to set up a VPN server on Ubuntu⁠）⁠』というblog記事があります。

今週のセキュリティアップデート

Firefoxのセキュリティアップデートがリリースされています。特にFirefox3系列を利用している

usn-717-1：FirefoxとXulrunnerのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2
  009-February/000837.html
• Firefox3系を採用する8.04 LTS・8.10用のアップデータです。CVE-2009-0352, CVE-2009-0353, CVE-2009-0354, CVE-2009-0355, CVE-2009-0357, CVE-2009-0358を修正します。
• CVE-2009-0352・CVE-2009-0353は，それぞれHTMLレンダラ・JavaScriptエンジンにおける，不正なコード実行に応用可能なメモリ破壊が発生する問題です。悪用により，一定条件下ではFirefoxを実行しているユーザーの権限で悪意あるコードを実行される可能性がありました。
• CVE-2009-0354は，chrome XBLメソッドの実行時にwindow単位で行われるeval()メソッドの発行元の確認が行われておらず，異なるWebサイトに与えた権限でメソッドを実行できてしまう問題です。
• CVE-2009-0355は，ブラウザエンジンの問題により，タブの復元処理時にフォームの種類を差し換え，さらにフォームが保持する値を任意のローカルファイルのパス名に差し換えることが可能であった問題です。これにより，悪意あるWebページをホストすることで，攻撃者がファイルのフルパスを把握しているファイルを読み取ることが可能でした。
• CVE-2009-0357は，HTTPOnlyを指定されたCookieがJavaScript経由で読み込むことが可能であった問題です。これにより，本来読み込めるべきではないCookieもJavaSciprt経由で読み取ることが可能でした。
• CVE-2009-0358は，本来キャッシュされるべきではないHTTPSページの情報が誤ってキャッシュされていた問題です。これにより，1台のPCを同じアカウントで使い回しているような環境では，「⁠戻る」ボタンなどで以前表示されていたページを表示させることで，他の利用者の重要な情報を読み取ることが可能でした。
• 対処方法：アップデータを適用し，Firefoxを再起動してください。また，Xulrunnerを利用しているアプリケーションが存在する場合は再起動を行ってください。代表的なものはEpiphanyです。単純な依存関係であればapt-cache rdepends xulrunnerで表示できますが，判断が付かない場合は再ログインするのが良いでしょう。
• 備考：同様の修正が加えられたJaunty向けのパッケージも存在します。9.04をテストしている場合はアップデートしてください。

usn-717-2：Firefoxのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/
  2009-February/000838.html
• Firefox2系を採用する7.10用のアップデータです。CVE-2009-0355, CVE-2009-0357を修正します。
• いずれも詳細はusn-717-1を参照してください。
• 対処方法：アップデータを適用し，Firefoxを再起動してください。

usn-717-3：Firefoxのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/
  2009-February/000836.html
• Firefox1.5系を採用する6.06LTS用のアップデータです。CVE-2008-5510, CVE-2009-0357を修正します。
• CVE-2009-0357はusn-717-1を参照してください。
• CVE-2008-5510は，CSSの処理においてエスケープ表記のヌル文字（⁠「⁠\0⁠」⁠）を「存在しない」ものであるかのように処理していた問題です。この問題は，不正なCSSファイルをユーザーに読み込ませようとする際に，ファイアウォールなどの検証処理を通過する目的で悪用できる可能性があります。
• 対処方法：アップデータを適用し，Firefoxを再起動してください。
• 備考：CVE-2008-5510は8.04・8.10などではusn-690-1で修正されています。