Jaunty Alpha6のリリース

先週もお伝えした内容ですが、Ubuntu 9.04 "Jaunty Jackalope"のAlpha6がリリースされました。少なくともテスト用途には耐えるレベルの完成度になっているはずです（少なくとも「そもそもインストールできない」といったレベルの問題は改善しています⁠）⁠。テストやデバッグに参加される場合は利用してみてください。

ISOイメージのダウンロードは、http://ubuntutym2.u-toyama.ac.jp/ubuntu-full/9.04/alpha-6/などから可能です。Alt+F2（アプリケーションの実行）から「update-manager -d」を実行することにより、8.10からのアップデートもできます。

なお、「⁠本番用」のシステムには、正式なリリースを待ってください。

Ubuntu Weekly Newsの日本語版

Ubuntu Weekly Newsletter（Ubuntu Weekly News）は本連載でも紹介している通り、Ubuntuに関連するニュースが毎週掲載されるWebマガジンです。これは英語版をベースに、翻訳作業を有志が行う形で各国語版がリリースされています。が、これまでは日本語版のリリースは行われていませんでした。

この日本語版のリリースのため、少数の有志が立ち上がり、翻訳作業を行うことになりました。初の日本語版は#133からです。

また、翻訳作業に協力していただける方を募集しています。作業に興味のある方はLaunchpad上で登録してください。なお、当該のWikiページを直接編集していただいても構いません。登録・直接編集ともに、LaunchpadのIDが必要です。

UWN#133

UWN#133がリリースされています。

詳しい内容は上述の日本語版を参照してください。

RightscaleがUbuntu Serverをサポート

RightscaleによるUbuntu Serverのサポートが発表されました。

Rightscale社はAmazon EC2関連のセットアップ技術（Rightscripts）を持った企業です。Rightscaleによるサービスは「テンプレート」と呼ばれる単位で扱われ、「⁠MySQLの冗長化構成を実現するテンプレート」や「HPC（High Performance Computing）向けテンプレート」などといった形でユーザーに提供されます。ユーザーはこれらのテンプレートを使ってAmazon EC2をセットアップすることで、望みの構成のサービスを作ることができます（これ以外にも関連技術を多く保持しています⁠）⁠。

今回の発表は、この“⁠「テンプレート」としてUbuntu Serverベースのものが追加された⁠”というものです。用意されるテンプレートにはWebアプリケーション向け、データベースサーバー向け、グリッド向けなど、多くの種類があるとプレスリリースには書かれています。詳細はこれから明らかになっていくと思われます。

9.04関連

Ubuntu for Nokia Internet Tablets

Ubuntu 9.04からは、対応アーキテクチャとしてARM（Armel）がサポートされます。この成果物を利用して、NokiaのInternet Tables（N8x0シリーズ。いわゆるMID; Mobile Internet Device）へUbuntuをポーティングができたことが話題になっています。スクリーンショットはこちら。

Nokia N810などで動作するイメージも公開されていますので、もしN810などをお持ちであれば、お手元で試すことも可能です（が、相応の覚悟が必要になるので注意してください。現在はあくまでテクノロジープレビュー的なリリースです⁠）⁠。

RTカーネルの復活

Ubuntu Studio等、リアルタイム応答が必要な環境で利用するRT（Real Time）カーネルが復活しました（RTカーネルはビルド周りの問題の関係で、8.10ではリリースされていませんでした⁠）⁠。

Ubuntu StudioのDaily Buildを用いることで、テストが可能です。通常の9.04環境でもapt-get install linux-rtを実行することで導入・テストが可能です。現在まだAMD（ATi）のGPUを搭載した環境でのテストが完全ではないため、該当するハードウェアを所有している方の協力が必要な状態です。RTカーネルが必要な方（≒Ubuntu Studioを利用している方）のうち、余力がある方はテストに協力し、バグの叩き出し等に協力して頂ければ幸いです[1]⁠。

パッケージのステータス

これは厳密には9.04の新機能ではありませんが、各パッケージのバグの収束率をグラフにする、http://status.qa.ubuntu.com/というサイトが準備されています。バグの発生・解決・重み付けなどがグラフとして確認できます。

これにより、特定のアップデートが原因でバグの量が跳ね上がった、といったことも見て取れるようになるため、品質の安定につながることが期待されます。

Planet ubuntuserver

Ubuntuには、Ubuntu memberのblog記事を集めたPlanet Ubuntuというサイトがあります。これはUbuntuの属性上、Desktopやコミュニティ関連の記事が多くなる傾向があり、サーバー関連の情報だけを集めようとすると関係のない情報が多いものでした。

そこで、Planet Ubuntuの非公式な類似品として、Ubuntu Serverに関連するblogを集めた「Planet ubuntuserver」が公開されました。これにより、Server関連の機能を追いかけるのが容易になるはずです。

Hardy(8.04)へのKVM 84のバックポート

2009年2月15日にリリースされた、Linux KVM 84（の一部）の8.04へのバックポート版がUbuntu Virtualisation teamのPPAで提供されるようになりました。これによりまともに動かないケースがあった8.04のKVMサポートが改善されるはずです。

……ちなみに、刺激が好きな方はDustin KirklandさんのPPAを使うこともできます（お勧めはしません⁠）⁠。

その他のニュース

• 8.10で利用できる、いわゆる「野良」リポジトリ[2]がリストされたblog記事。
• blog.launchpad.netの、Launchpadのbug trackメールをgmailで「うまく」振り分ける方法

今週のセキュリティアップデート

今週はbase64の処理に関わる複数のソフトウェアで脆弱性が発見・修正されるとともに、一部の動画ファイルの処理に関する修正も行われています。外部からメディアファイルやメールを受け取る環境では速やかなアップデートを検討してください。

usn-733-1：evolution-data-serverのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000861.html
• 6.06 LTS・7.10用のアップデータがリリースされています。CVE-2009-0587を修正します。
• CVE-2009-0587は、Base64の処理を行う際、想定を越える長さの文字列を正しく取り扱えない問題です。これにより攻撃者がメールにvcardやイメージファイルを添付する、あるいはリンクをメール上に掲載し、それを開いた際に自身が管理するサーバーに誘導することで、Evolutionを実行しているユーザーの権限で任意のコードを実行させることが可能でした。
• 対処方法：通常の場合、アップデートを適用することで問題を解決することができます。
• 備考：オリジナル版の2.24.5以前のevolution-data-serverが影響を受けます。上記以外の幾つかのUbuntuのリリースバージョンが影響を受けると考えられますが、明示的なアナウンスはまだです。

usn-736-1：GStreamer Good Plugins vulnerabilities

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000859.html
• 7.10・8.04LTS・8.10用のアップデータがリリースされています。CVE-2009-0386, CVE-2009-0387, CVE-2009-0397を修正します。
• CVE-2009-0386は、Quicktime形式の動画ファイル（.mov）を処理する際の問題です。Composition Time To Sample（ctts）を正しく処理しないため、悪意あるmovファイルを準備し、ユーザーにそれを開かせることで、DoS、ないしファイルを開いたユーザーの権限で任意のコードを実行できる可能性があります。
• It was discovered that GStreamer Good Plugins did not correctly handle
• CVE-2009-0387も、Quicktime形式の動画ファイル（.mov）を処理する際の問題です。Sync Sample（stss）atomデータを正しく取り扱わないため、悪意あるmovファイルを準備し、ユーザーにそれを開かせることで、DoS、ないしファイルを開いたユーザーの権限で任意のコードを実行できる可能性があります。
• CVE-2009-0397も、Quicktime形式の動画ファイル（.mov）を処理する際の問題で、Time-to-sample（stss）を適切に扱わないため、悪意あるmovファイルによるDoS、ないしファイルを開いたユーザーの権限での任意のコード実行の可能性があります。以上の3つに関しては、これらは共通する脆弱性情報 http://trapkit.de/advisories/TKADV2009-003.txt を参照してください。
• 対処方法：通常の場合、アップデートを適用するだけで問題を解決することができます。
• 備考：GStreamer系プラグインはTotem・Amarokなどの様々な動画プレイヤーでバックエンドとして利用されています。多くの場合、ブラウザのプラグインとしても有効になっていますので、アップデートが必要です。

usn-735-1：GStreamer Base Pluginsのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000858.html
• Ubuntu 8.10用のアップデータがリリースされています。CVE-2009-0586を修正します。
• CVE-2009-0586は、Ogg Vorbis形式のファイルのCOVERARTタグを処理するコードの問題です。base64でエンコードされたタグとして、過大な大きさの文字列を埋め込んだファイルを準備し、ユーザーに開かせることで、そのユーザーの権限で任意のコードを実行できる可能性があります。
• 対処方法：通常の場合、アップデートを適用するだけで問題を解決することができます。
• 備考：GStreamer系プラグインです。ソフトウェアとしての注意点は、usn-736-1のものと同等です。

usn-737-1：libsoupのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000860.html
• 6.06 LTS・7.10用のアップデータがリリースされています。CVE-2009-0585を修正します。
• CVE-2009-0585はlibsoup（SOAP処理のためのライブラリ）の脆弱性で、base64でエンコードされたテキストの処理の問題です。これにより悪意あるサーバーに接続した際、レスポンスとして細工されたSOAP応答が返された場合、libsoupをリンクしたアプリケーションを実行しているユーザーの権限で任意のコードを実行される恐れがあります。
• 対処方法：通常の場合、アップデートを適用するだけで問題を解決することができます。
• 備考：libsoupにリンクしたアプリケーションの場合、アプリケーションの再起動が必要になる可能性があります。判断ができない場合、システムを再起動してください。

usn-738-1：GLibのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000862.html
• 7.10・8.04 LTS・8.10用のアップデータがリリースされています。CVE-2008-4316を修正します。
• CVE-2008-4316は、GLibに含まれるBase64処理の問題です。大きすぎる文字列が与えられた場合、ヒープバッファオーバーフローが発生し、任意のコードが実行される危険があります。 * 対処方法：通常の場合、アップデートを適用するだけで問題を解決することができますが、GLibにリンクした各種アプリケーションの再起動が必要になることがあります。ほとんどの場合、すべてのプロセスを確実に再起動するために、OS全体を再起動した方がよいでしょう。

usn-734-1：FFmpegのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000863.html
• 7.10・8.04 LTS・8.10用のアップデータがリリースされています。CVE-2008-4610, CVE-2008-4866, CVE-2008-4867, CVE-2009-0385を修正します。
• CVE-2008-4610は、Ogg形式の動画等のカプセルファイル（OGM）の処理に関する脆弱性です。脆弱性を悪用し、細工したファイルを開かせることで、FFmpegをクラッシュさせることが可能でした。
• CVE-2008-4866は、DTSストリームの処理に関する脆弱性です。脆弱性を悪用し、細工したファイルを開かせることで、アプリケーションのクラッシュ、ないし任意のコード実行の可能性があります。この問題は8.10にのみ影響します。
• CVE-2008-4867は、DTS Coherent Acoustics（DCA）の処理の問題です。脆弱性を悪用し、細工したファイルを開かせることで、アプリケーションのクラッシュ、ないし任意のコード実行の可能性があります。
• CVE-2009-0385は、4X movieファイルの処理に関する脆弱性です。脆弱性を悪用し、細工したファイルを開かせることでアプリケーションのクラッシュ、ないし任意のコード実行の可能性があります。
• 対処方法：通常の場合、アップデートを適用するだけで問題を解決することができます。

usn-739-1：Amarokのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000864.html
• 7.10・8.04 LTS・8.10用のアップデータがリリースされています。CVE-2009-0135, CVE-2009-0136を修正します。
• CVE-2009-0135, CVE-2009-0136ともに、Audible Audioファイル（.aa）の取り扱いに関する問題です。細工したファイルを開かせることでアプリケーションのクラッシュ、ないし任意のコード実行の可能性があります。

usn-740-1：NSSのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000865.html
• 現在サポートされている全てのUbuntu（6.06 LTS・7.10・8.04 LTS・8.10）用のアップデータがリリースされています。CVE-2004-2761に関連しますが、根本的に解決するものではありません。
• このアップデータは昨年末に公開された、MD5の強衝突性とCAのシリアル値の付与パターンから来るハッシュの予測可能性を利用して作成したデモンストレーション用の、意図して期限切れ状態で作成された偽造証明書をブラックリストに加えるものです。CVE-2004-2761で示されるMD5の問題は暗号系そのもの問題であり、ソフトウェア側での対処はきわめて部分的なものに制限されます。
• 備考：上述の通り、デモ用に作成された期限切れの証明書の無効化処置です。通常の運用の場合（時刻が正しく保持されている限り⁠）⁠、このアップデータを適用しなくても偽造証明書によりセキュリティが脅かされることはありません。