Full Circle Magazine #22
Ubuntuに関する記事を集めた月刊のWebマガジンであるFull Circle Magazineの22号がリリースされました。主な内容は次の通りです。
- ターミナル操作のすすめ。今回はffmpegによる動画のリサイズについてです。
- HowTo: C言語入門記事の第6回。strace/
ltraceによるバグの追跡方法、 valgrindを用いてメモリバグを潰す手順など、 今回はデバッグのためのアプローチの特集です。 - HowTo: Webサーバ環境の構築の第3回。いよいよApacheをインストールして、
LAMP環境の構築が始まります。 - HowTo: CrunchEEE
(Ubuntuベースの軽量ディストリビューションであるCrunchBangの、 EeePC向け派生品) をEeePCにインストールする手順&簡易レビュー - Ubuntuを広く広めるための運動である
「Spreading Ubuntu」 について - MOTUであるEmanuele Gentili
(emgent) さんへのインタビュー - などなど
より詳しい内容は原文を参照してください
- 注)
- Full Circle Magazineは比較的平易な英語で書かれており、
かつ、 スクリーンショットなどによる図示を中心に記事が構成されています。日本人でも読むのは難しくないはずです。
Ubuntu Weekly Newsletter #131
UWN#131がリリースされました。主な内容は次の通りです。
- JauntyのAlpha 5リリースについて
- Jauntyのカウントダウンバナーの募集
(後述) - Ubuntu Global Bug Jamが無事終了したことについて
- 新しいMOTU Councilの選挙
- Ubuntu Serverの新機能のテスト
より詳しい内容は原文を参照してください。
9.04関連
JauntyのUser Interface Freezeが3月5日に行われました。以降Betaへ向けて、
9.
バナーの募集
9.
そして恒例の、
なお、
Server Suspend/Hibernate/ResumeのCall for Testing
Ubuntu Serverの新しい機能として、
この機能はKarmic
Jauntyをインストールしたサーバーをお持ちで、
Serverの仕様(ほぼ確定版)
先日のFeature Freezeに伴い、
Karmic
- “Eucalyptus”
を含む、 Amazon EC2関連機能が増強されます。 - KVMが新しくなり、
多段入れ子構造の仮想マシンがサポートされます (仮想マシンの上に載せた仮想マシンの上に、 さらに仮想マシンを載せ……ということが可能になります)。 - 仮想マシンマネジメントのためのユーティリティであるOpenNEbulaがVer 1.
2になります (複数の仮想マシンにまたがった仮想マシンの管理や、 ロードバランシング・ 冗長化・ 転送・ 仮想マシンのクローニングなどが可能になります)。 - Samba 3.
3.0のサポート。 - /etc/以下がVCSで管理されます
(“etckeeper”)。 - FCなどのマルチパスデバイスからシステムをブートすることが可能になります。
- ipmitoolsパッケージに、
Dell社製サーバー特有のコマンドが追加されます。 - Phoronix test suiteによるベンチマークが可能になります。
なお、
その他の記事
- EeePC 901でUbuntu 9.
04を試した体験談。 - 開発者向けドキュメントへのフィードバックの依頼。
- blog.
launchpad. net上での、 開発者へのインタビュー。
今週のセキュリティアップデート
今週
Network Managerの問題は攻撃元がローカルに限られているため、
注意すべき点は2点あります。
まず1つ目は、
もう1つは、
usn-725-1: KMailのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/
2009-February/000845. html - 現在サポート対象となっている全てのUbuntu
(6. 06 LTS・ 7. 10・ 8. 04 LTS・ 8. 10) にアップデータがリリースされています。LP#332069を修正します。 - kmailでURLが含まれたHTMLメールを表示した際、
ファイルの拡張子がない、 あるいは.desktop・ .exe (Wineがインストールされ、 .exe拡張子に関連づけられている場合) に、 URLをクリックした際にそれらの実ファイルが実行されてしまいます。悪用により、 攻撃者はユーザーの権限で特定のソフトウェアを実行させることができます。 - 対処方法:通常の場合、
アップデートを適用することで問題を解決できます。
usn-726-1, usn-726-2:curlのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/
2009-March/000846. html - 現在サポート対象となっている全てのUbuntu
(6. 06 LTS・ 7. 10・ 8. 04 LTS・ 8. 10) にアップデータがリリースされています。CVE-2009-0037を修正します。Ubuntu 8. 10向けの最初のアップデータは不完全だったため (LP#337501)、 usn-726-2が追加リリースされています。 - CVE-2009-0037は、
curlのバックエンドライブラリ (libcurl) に問題があり、 ファイル名にセミコロンを含んだURLを処理させることにより、 ローカルマシン上の任意のファイルを送出させることが可能な脆弱性です。何らかの悪意あるWebサーバへ定期的にアクセスを行っている場合などに、 攻撃者に任意のファイルの中身を読み出される可能性があります。 - usn-726-2は、
usn-726-1で行われた修正によるエンバグのため、 curl経由でのhttpsアクセスが行えなくなっていた問題を修正します。脆弱性そのものはusn-726-1で修正されており、 usn-726-2はバグフィックスのみを提供します。 - 対処方法:通常の場合、
アップデートを適用することで問題を解決できます。
usn-727-1:network-manager-appletのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/
2009-March/000847. html - Ubuntu 7.
10・ 8. 04 LTS・ 8. 10用のアップデータがリリースされています。CVE-2009-0365, CVE-2009-0578を修正します。 - CVE-2009-0365は、
network-manager-appletがdbusから送られたリクエストを処理する際、 そのリクエストの適合性を正しく検証していない問題です。この問題により、 悪意あるローカルユーザーがNetwork Managerに登録された無線LANのパスフレーズやネットワークパスワードなどの機密情報を取得可能です。 - CVE-2009-0578は、
network-manager-appletがdbusから送られた削除や修正リクエストを処理する際、 パーミッションを正しく確認していない問題です。これにより、 悪意あるローカルユーザーが他のユーザーのネットワーク接続を切断ないし修正することが可能です。 - 対処方法:通常の場合、
アップデートを適用することで問題を解決できます。
usn-727-2:NetworkManagerのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/
2009-March/000848. html - Ubuntu 6.
06 LTS・ 8. 10用のアップデータがリリースされています。CVE-2009-0365を修正します。 - 上記のnetwork-manager-appletの場合
(CVE-2009-0365) と同様です。 - 対処方法:通常の場合、
アップデートを適用することで問題を解決できます。 - 備考:このアップデートはusn-727-1とあわせて適用してください。
usn-724-1:Squidのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/
2009-February/000844. html - Ubuntu 8.
10用のアップデータがリリースされています。CVE-2009-0478を修正します。 - CVE-2009-0478は、
SquidがHTTPのバージョン文字列を処理する際に適切な長さチェックを行っていないため、 DoSが発生する問題です。 - 対処方法:通常の場合、
アップデートを適用することで問題を解決できます。ただし、 アップデート時にSquidが再起動されますので注意してください。