Ubuntu Weekly News#128
UWN#128がリリースされました。主な内容は次の通りです。
- JauntyのAlpha4のリリース
- Ubuntu LoCo Docs Dayの開催について
- Christophe Sauthierさんへのインタビュー
- FridgeのカレンダーのURL変更
- 今週のHugDay
- Launchpodの動画/podcastのEpisode #16
- Launchpad performance weeksについて
- Ubuntu podcast #19
- 東芝製NetbookであるNB100の欧州モデルでUbuntu Netbook Remixが採用されたことについて。
カーネルのアップデート方針の変更
カーネルパッケージのアップデート方針が変更になります。
Ubuntuではこれまで、
が、
そこで、
Launchpad performance weeks
Ubuntuの開発の多くはLaunchpad上で行われているのですが、
この問題を解決するための動きとして、
なお、
この結果として、
9.04の開発
デスクトップ関連
9.
主に2/
- Network Managerと連携して動作するアプレットとして取り込まれる予定の、
Modem Managerの新しいパッケージ (Ericsson F3507g対応版) のテストがModem Manager PPAで行われています。これは9. 04のリリースに含まれる予定の機能で、 未知のHSDPAモデムなどを動作させやすくなるはずです (が、 今のところ日本ではこの種のデバイスが少ないのであまり関係ないかもしれません)。 - Xorg.
confのバックアップ・ 復元に関する何らかの仕組みが用意され、 アップデートやデバイス変更などの影響で 「画面が出ない」 といった現象への対処が行われる予定です。 - Suspend/
Resumeといった電源管理が改善される予定です。この一環として、 Debian/ Ubuntuに特有の (そして、 すでにほとんどの機能をHALで利用できる/すべき) acpi-supportパッケージを捨てる作業が行われています。
その他のニュース
- Ubuntuコミュニティの中で
「協力したいが、 何をしたらいいのか分からない」 という人に向けて、 Ubuntu Wantedという 「○○出来る人求む」 といった求人ページを出すためのサイトの構築が始まっています (注:ここに掲載されるのは、 Ubuntuコミュニティに関わる無償の作業だけです)。 - Launchpad関連として、
『Launchpadでのバグの重要度の付け方 (Triage in the Launchpad suite)』という記事と、 『複数のPPAにputする場合のdput. cfのシンプルな書き方 (Simplifying dput. cf for multiple PPAs)』という記事がblog. launchpad. netに掲載されています。 - VMwareを利用する場合に問題になる
(paravirt機能を使う場合に問題が起きる) LKMLに投稿された問題を改善するためのパッチを取り込むようリクエストが行われています。この問題は8. 10・ 9. 04にのみ影響し、 近いうちにパッチがkernelパッケージ (linux-image-*) の 「stable」 アップデートに含まれるはずです (つまり、 -updatesリポジトリに配信されます。-securityだけを有効にしている場合は配布されません)。 - 『Ubuntuを用いてVPN Serverを構築する
(How to set up a VPN server on Ubuntu)』というblog記事があります。
今週のセキュリティアップデート
Firefoxのセキュリティアップデートがリリースされています。特にFirefox3系列を利用している
usn-717-1:FirefoxとXulrunnerのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2
009-February/000837. html - Firefox3系を採用する8.
04 LTS・ 8. 10用のアップデータです。CVE-2009-0352, CVE-2009-0353, CVE-2009-0354, CVE-2009-0355, CVE-2009-0357, CVE-2009-0358を修正します。 - CVE-2009-0352・
CVE-2009-0353は、 それぞれHTMLレンダラ・ JavaScriptエンジンにおける、 不正なコード実行に応用可能なメモリ破壊が発生する問題です。悪用により、 一定条件下ではFirefoxを実行しているユーザーの権限で悪意あるコードを実行される可能性がありました。 - CVE-2009-0354は、
chrome XBLメソッドの実行時にwindow単位で行われるeval()メソッドの発行元の確認が行われておらず、 異なるWebサイトに与えた権限でメソッドを実行できてしまう問題です。 - CVE-2009-0355は、
ブラウザエンジンの問題により、 タブの復元処理時にフォームの種類を差し換え、 さらにフォームが保持する値を任意のローカルファイルのパス名に差し換えることが可能であった問題です。これにより、 悪意あるWebページをホストすることで、 攻撃者がファイルのフルパスを把握しているファイルを読み取ることが可能 でした。 - CVE-2009-0357は、
HTTPOnlyを指定されたCookieがJavaScript経由で読み込むことが可能であった問題です。これにより、 本来読み込めるべきではないCookieもJavaSciprt経由で読み取ることが可能でした。 - CVE-2009-0358は、
本来キャッシュされるべきではないHTTPSページの情報が誤ってキャッシュされていた問題です。これにより、 1台のPCを同じアカウントで使い回しているような環境では、 「戻る」 ボタンなどで以前表示されていたページを表示させることで、 他の利用者の重要な情報を読み取ることが可能でした。 - 対処方法:アップデータを適用し、
Firefoxを再起動してください。また、 Xulrunnerを利用しているアプリケーションが存在する場合は再起動を行ってください。代表的なものはEpiphanyです。単純な依存関係であればapt-cache rdepends xulrunnerで表示できますが、 判断が付かない場合は再ログインするのが良いでしょう。 - 備考:同様の修正が加えられたJaunty向けのパッケージも存在します。9.
04をテストしている場合はアップデートしてください。
usn-717-2:Firefoxのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/
2009-February/000838. html - Firefox2系を採用する7.
10用のアップデータです。CVE-2009-0355, CVE-2009-0357を修正します。 - いずれも詳細はusn-717-1を参照してください。
- 対処方法:アップデータを適用し、
Firefoxを再起動してください。
usn-717-3:Firefoxのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/
2009-February/000836. html - Firefox1.
5系を採用する6. 06LTS用のアップデータです。CVE-2008-5510, CVE-2009-0357を修正します。 - CVE-2009-0357はusn-717-1を参照してください。
- CVE-2008-5510は、
CSSの処理においてエスケープ表記のヌル文字 (「\0」)を 「存在しない」 ものであるかのように処理していた問題です。この問題は、 不正なCSSファイルをユーザーに読み込ませようとする際に、 ファイアウォールなどの検証処理を通過する目的で悪用できる可能性があります。 - 対処方法:アップデータを適用し、
Firefoxを再起動してください。 - 備考:CVE-2008-5510は8.
04・ 8. 10などではusn-690-1で修正されています。