7.10のEOL
2007年10月にリリースされたUbuntu 7.
現在7.
9.04関連
9.
3月19日にBetaリリースのためのフリーズが行われ、
また、
Wacom(等)のタブレットの自動認識
Ubuntuを用いてイラストを描く作業をされている方に朗報です。8.
DVD再生のCall for Testing
9.
壁紙の決定
Jauntyで利用される壁紙が確定し、
Server Editionのトレーニング
Ubuntuの開発主体 兼 支援企業であるCanonicalでは、
UWN#134
Ubuntu Weekly Newsの134号が公開されました。内容は日本語版134号を参照してください。
その他のニュース
海外のblog記事・
- Ubuntu 9.
10 "Karmic Koala"の目玉機能として準備される 「Eucalyptus」 (Amazon ECサービスとインターフェース互換のクラウドコンピューティングツール) の、 9. 04におけるプレビュー版の利用方法のアナウンス。 - Mac OS XでVMware Fusionを使ってUbuntuを使うblog記事。
- VMwareで作成した仮想マシンをVirtualbox用にコンバートするチュートリアル記事。
- Google Earth 5をUbuntuで使う方法というblog記事
- 「Nochange Rebuild」
(ソースコードへの変更が行われない、 パッケージング上の事情によるリビルド) のバージョン番号の付け方についてのやりとり - Encrypted home direcotryをLive CDからマウントする方法。
今週のセキュリティアップデート
今週
Thunderbirdの脆弱性はJavaScriptが有効な場合に限り、
ghostscriptの脆弱性はICCプロファイルを含んだPostScriptファイル・
LittleCMSは多くのアプリケーションでカラーマネジメントのために用いられているため、
- usn-741-1:Thunderbirdのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-March/ 000867. html - 現在サポートされている全てのUbuntu
(6. 06 LTS・ 7. 10・ 8. 04 LTS・ 8. 10) 用のアップデータがリリースされています。CVE-2009-0352, CVE-2009-0772, CVE-2009-0774, CVE-2009-0776を修正します。 - CVE-2009-0352はThunderbird内蔵のブラウザエンジンの問題で、
不正なコード実行に応用可能なメモリ破壊が発生する問題です。悪用により、 一定条件下でユーザーの権限で悪意あるコードを実行される可能性がありました。詳細はmfsa2009-01を参照してください。 - CVE-2009-0772, CVE-2009-0774は、
いずれもブラウザエンジン内蔵のJavaScript処理の問題で、 不正なコード実行に応用可能なメモリ破壊を発生させうるものです。悪用により、 一定条件下でユーザーの権限で悪意あるコードを実行される可能性がありました。詳細はmfsa2009-07を参照してください。 - CVE-2009-0776は、
ドメインをまたがったリダイレクトを利用することで、 リダイレクト先にある任意のXML情報が読み取れてしまう問題です。これにより悪意ある第三者がユーザーをリダイレクトさせ、 リダイレクト先にある秘密のデータを盗み見ることが可能でした。詳細はmfsa2009-09を参照してください。 - 対処方法:通常の場合、
アップデートを行い、 Thunderbirdを再起動することで問題を解決できます。 - 備考:各脆弱性はusn-728-1として管理されているFirefoxの脆弱性と同じコードベースによるものです。
- 備考2:9.
04用のアップデータもリリースされています。9. 04をテスト的に利用している場合はアップデータを適用してください。
- https://
- usn-742-1:JasPerのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-March/ 000866. html - 現在サポートされている全てのUbuntu
(6. 06 LTS・ 7. 10・ 8. 04 LTS・ 8. 10) 用のアップデータがリリースされています。CVE-2008-3520, CVE-2008-3521, CVE-2008-3522を修正します。 - CVE-2008-3520はJasPerライブラリ
(libjasper) がJPEG2000 (*.J2K, *.JPC, *.J2C) 形式の画像ファイルを操作する際の問題で、 悪用によりアプリケーションのクラッシュまたは任意のコードの実行を許す可能性がありました。 - CVE-2008-3521は、
JasPerライブラリの作成する一時ファイルのパスが予測可能かつタイミング問題があるため、 ローカルユーザーによってRace Condition状態を作り出せる問題です。悪用によってアプリケーションのクラッシュが可能でした。一般的に一時ファイルのハンドリングミスは、 ファイルパスを予測した上でシンボリックリンクを作成することで任意の書き込み先にあるファイルを破壊することも可能ですが、 CVE-2008-3521はファイルを開く際のフラグに制約され、 あくまでアプリケーションのクラッシュに留まります。 - CVE-2008-3522は、
JasPerライブラリ内部で行われるデータコピー時のメモリ確保が適切でなく、 意図的な細工を施された画像ファイルを開く際にアプリケーションのクラッシュまたは任意のコードの実行を許す可能性がある問題です。 - 対処方法:通常の場合、
アップデートを行うだけで問題を解決することができます。ただし、 libjasperをロードするアプリケーションによっては、 そのアプリケーションの再起動が必要かもしれません。 - 備考:JasPerライブラリはしばしば画像管理アプリケーションに静的にリンクされて、
あるいはソースの一部として組み込まれて利用される場合があります。このような場合、 アプリケーション単位での対処が必要になります。 - 備考2:9.
04では開発ごく初期 (2008/ 10) のDebian Importにより問題が解決しています。
- https://
- usn-743-1:Ghostscriptのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-March/ 000870. html - 現在サポートされている全てのUbuntu
(6. 06 LTS・ 7. 10・ 8. 04 LTS・ 8. 10) 用のアップデータがリリースされています。CVE-2009-0583, CVE-2009-0584を修正します。 - CVE-2009-0583, CVE-2009-0584は、
いずれもICCカラープロファイルを取り扱う処理の問題です。PostScriptファイルやPDFファイルなど、 ICCカラープロファイルをファイル内に含めることが可能なファイルを開いた際にヒープバッファオーバーフローが生じる可能性があるため、 悪意ある攻撃者が作成したファイルを開いた場合に任意のコード実行・ ビューアアプリケーションのクラッシュなどを招く可能性がありました。 - 対処方法:通常の場合、
アップデートを行うだけで問題を解決することができます。
- https://
- usn-744-1:LittleCMSのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-March/ 000869. html - 現在サポートされている全てのUbuntu
(6. 06 LTS・ 7. 10・ 8. 04 LTS・ 8. 10) 用のアップデータがリリースされています。 CVE-2009-0581, CVE-2009-0723, CVE-2009-0733を修正します。 - CVE-2009-0581は、
JPEGファイルなどに含まれるICC情報を処理するコードの問題です。悪意ある細工を施された画像ファイルを読み込むことで、 大量のメモリを消費してしまう可能性がありました。これにより攻撃者によるDoS攻撃が可能でした。 - CVE-2009-0723もJPEGファイルなどに含まれるICC情報を処理するコードの問題です。悪意ある細工を施された画像ファイルを読み込むことで、
Integer overflowが発生します。これにより攻撃者による任意のコードの実行またはDoSが可能でした。 - CVE-2009-0733もJPEGファイルなどに含まれるICC情報を処理するコードの問題です。画像ファイルに細工を施すことで、
スタックバッファオーバーフローを引き起こすことが可能です。これにより攻撃者によるDoSが可能でした。また、 特定の条件を仮定することで任意のコードの実行の可能性もあります。ただしスタックバッファオーバーフローによる攻撃は多くの条件を必要とするため、 この脆弱性単独ではコード実行は困難と考えられます。 - 対処方法:通常の場合、
アップデートを行うだけで問題を解決することができます。カラーマネージメントのためにLittleCMS (liblcms) を利用するアプリケーションが存在する場合、 そのアプリケーションの再起動が必要かもしれません。 - 備考:liblcmsを利用するアプリケーションはFirefox 3.
1beta (3. 0は問題となる機能をデフォルトでは利用しません)・ OpenJDK・ GIMP・ Wine・ Inkspace・ xsane・ f-spot・ Imagemagickなど多岐に渡ります。確実にプロセスを再起動するため、 一度ログアウトした方が良いでしょう。 - 備考2:この問題はその性質上、
信頼できない画像ファイルを受け取り、 liblcms経由で処理を行うシステム (例:OpenJDK上で動作するJavaサーブレットを用いる画像サムネイルWebサービス) において特に致命的な結果をもたらすと考えられます。
- https://