gihyo.jpサイトのロゴ

Ubuntu Weekly Topics

2009年3月27日号7.10のEOL・9.04のBeta版リリースと壁紙の決定・UWN#134・Ghostscript/LittleCMSのセキュリティアップデート

2009-03-27

7.10のEOL

2007年10月にリリースされたUbuntu 7.10 "Gutsy Gibbon"のサポート終了(EOL; End Of Life)が近づいてきました。7.10のサポートは2009年4月18日であることが宣言されています。この日以降はセキュリティアップデートを含め、原則として一切のアップデートが行われなくなります。また、EOL後一定期間が過ぎると、アーカイブサーバーからアップデートパッケージが削除され、アップデートも行えなくなります。

現在7.10を利用しているユーザーは8.04への移行が必須となりますので、アップデート計画の検討を行ってください。なお、Japanese Remix(当時の名称は「日本語ローカライズドCD⁠⁠)の7.10も同じタイミングでEOLします。正式なEOLアナウンスは近日(現時点の7.10最新状態から8.04へのアップグレードテストが完了した時点で)行う予定です。

9.04関連

9.04のリリースまであと一ヶ月を切りました。多くのプロジェクトでゆるやかなフリーズが始まり、⁠仕上げ」のための作業が開始されます(……が、まだまだ開発が続けられているプロジェクトもあるので、Release Candidateまでは9.04の利用はお勧めしません⁠⁠。9.04を利用している方は、リリースまでに解決されるべきバグを確認し、解決につながる情報が手元にあれば報告をお願いします。

3月19日にBetaリリースのためのフリーズが行われ3月26日(日本時間では本日3月27日)がリリースされました。www.ubuntu.comから入手できます 。次の区切りは4月9日のKernel Freeze&Final Freeze 兼 Non Language Pack Translation Deadlineです。

また、技術概要(Technical Overview)ドキュメント作成が開始されました(ただし、まだ中身はAlpha/Betaのリリースノートと大差ありません⁠⁠。これから9.04のテストに参加される方、9.04でどのような新機能が追加されるのかに興味のある方は、このWikiページを定期的に確認すると良いでしょう。

Wacom(等)のタブレットの自動認識

Ubuntuを用いてイラストを描く作業をされている方に朗報です。8.10で取り込まれた入力機器(キーボード・マウス)のプラグアンドプレイ機能が、Wacomのタブレット等もサポートするようになりそうです。これにより面倒な設定ファイルの作成なしにタブレットを認識し、Gimp・Inkspaceなどといったアプリケーション上で利用できるようになります。

DVD再生のCall for Testing

9.04のtotem-gstreamerによるDVD再生機能のテスト要請が行われています。9.04を利用しており、要請の内容が把握できた方はテストに協力してください。ただし、この要請は新しい機能をもたらすものではありません

壁紙の決定

Jauntyで利用される壁紙が確定し、パッケージングLP#344928が行われました。現在9.04を利用している方は新しい壁紙図1になっているはずです。

図1 9.04の新しい壁紙
図1 9.04の新しい壁紙

Server Editionのトレーニング

Ubuntuの開発主体 兼 支援企業であるCanonicalでは、Ubuntuのeラーニングやトレーニングを開催することでUbuntu技術者の養成を行っています。この一環として、Ubuntu Server専門の5日間コースの追加がアナウンスされています。Canonical自身のセミナーはまだ立ち上げられたばかりなので、関連する情報が上記のリンクに記載されています。

UWN#134

Ubuntu Weekly Newsの134号が公開されました。内容は日本語版134号を参照してください。

その他のニュース

海外のblog記事・Ubuntu開発者のblogなどから、目についたHowTo・アナウンスをお届けしています。今週のトピックは以下の通りです。

今週のセキュリティアップデート

今週(2009年3月18日から3月25日)リリースされたセキュリティアップデートは次の通りです。Thunderbirdとghostscript・LittleCMSのセキュリティアップデートがリリースされていることに特に注意してください。

Thunderbirdの脆弱性はJavaScriptが有効な場合に限り、比較的容易に悪用が可能です(Thunderbirdのデフォルト設定ではJavaScriptは無効になっています⁠⁠。

ghostscriptの脆弱性はICCプロファイルを含んだPostScriptファイル・PDFファイルなどをGhostscriptを通じて開くことでコードの実行が行われる可能性があるため、できるだけ速やかにアップデータを適用してください。

LittleCMSは多くのアプリケーションでカラーマネジメントのために用いられているため、意識しないうちに利用している可能性があります。これもできるだけ速やかにアップデートを適用してください。アプリケーションの再起動が必要な場合もあるため、確実を期すためログアウト→再ログインを行うことをお勧めします。

usn-741-1:Thunderbirdのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000867.html
  • 現在サポートされている全てのUbuntu(6.06 LTS・7.10・8.04 LTS・8.10)用のアップデータがリリースされています。CVE-2009-0352, CVE-2009-0772, CVE-2009-0774, CVE-2009-0776を修正します。
  • CVE-2009-0352はThunderbird内蔵のブラウザエンジンの問題で、不正なコード実行に応用可能なメモリ破壊が発生する問題です。悪用により、一定条件下でユーザーの権限で悪意あるコードを実行される可能性がありました。詳細はmfsa2009-01を参照してください。
  • CVE-2009-0772, CVE-2009-0774は、いずれもブラウザエンジン内蔵のJavaScript処理の問題で、不正なコード実行に応用可能なメモリ破壊を発生させうるものです。悪用により、一定条件下でユーザーの権限で悪意あるコードを実行される可能性がありました。詳細はmfsa2009-07を参照してください。
  • CVE-2009-0776は、ドメインをまたがったリダイレクトを利用することで、リダイレクト先にある任意のXML情報が読み取れてしまう問題です。これにより悪意ある第三者がユーザーをリダイレクトさせ、リダイレクト先にある秘密のデータを盗み見ることが可能でした。詳細はmfsa2009-09を参照してください。
  • 対処方法:通常の場合、アップデートを行い、Thunderbirdを再起動することで問題を解決できます。
  • 備考:各脆弱性はusn-728-1として管理されているFirefoxの脆弱性と同じコードベースによるものです。
  • 備考2:9.04用のアップデータもリリースされています。9.04をテスト的に利用している場合はアップデータを適用してください。
usn-742-1:JasPerのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000866.html
  • 現在サポートされている全てのUbuntu(6.06 LTS・7.10・8.04 LTS・8.10)用のアップデータがリリースされています。CVE-2008-3520, CVE-2008-3521, CVE-2008-3522を修正します。
  • CVE-2008-3520はJasPerライブラリ(libjasper)がJPEG2000(*.J2K, *.JPC, *.J2C)形式の画像ファイルを操作する際の問題で、悪用によりアプリケーションのクラッシュまたは任意のコードの実行を許す可能性がありました。
  • CVE-2008-3521は、JasPerライブラリの作成する一時ファイルのパスが予測可能かつタイミング問題があるため、ローカルユーザーによってRace Condition状態を作り出せる問題です。悪用によってアプリケーションのクラッシュが可能でした。一般的に一時ファイルのハンドリングミスは、ファイルパスを予測した上でシンボリックリンクを作成することで任意の書き込み先にあるファイルを破壊することも可能ですが、CVE-2008-3521はファイルを開く際のフラグに制約され、あくまでアプリケーションのクラッシュに留まります。
  • CVE-2008-3522は、JasPerライブラリ内部で行われるデータコピー時のメモリ確保が適切でなく、意図的な細工を施された画像ファイルを開く際にアプリケーションのクラッシュまたは任意のコードの実行を許す可能性がある問題です。
  • 対処方法:通常の場合、アップデートを行うだけで問題を解決することができます。ただし、libjasperをロードするアプリケーションによっては、そのアプリケーションの再起動が必要かもしれません。
  • 備考:JasPerライブラリはしばしば画像管理アプリケーションに静的にリンクされて、あるいはソースの一部として組み込まれて利用される場合があります。このような場合、アプリケーション単位での対処が必要になります。
  • 備考2:9.04では開発ごく初期(2008/10)のDebian Importにより問題が解決しています。
usn-743-1:Ghostscriptのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000870.html
  • 現在サポートされている全てのUbuntu(6.06 LTS・7.10・8.04 LTS・8.10)用のアップデータがリリースされています。CVE-2009-0583, CVE-2009-0584を修正します。
  • CVE-2009-0583, CVE-2009-0584は、いずれもICCカラープロファイルを取り扱う処理の問題です。PostScriptファイルやPDFファイルなど、ICCカラープロファイルをファイル内に含めることが可能なファイルを開いた際にヒープバッファオーバーフローが生じる可能性があるため、悪意ある攻撃者が作成したファイルを開いた場合に任意のコード実行・ビューアアプリケーションのクラッシュなどを招く可能性がありました。
  • 対処方法:通常の場合、アップデートを行うだけで問題を解決することができます。
usn-744-1:LittleCMSのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000869.html
  • 現在サポートされている全てのUbuntu(6.06 LTS・7.10・8.04 LTS・8.10)用のアップデータがリリースされています。 CVE-2009-0581, CVE-2009-0723, CVE-2009-0733を修正します。
  • CVE-2009-0581は、JPEGファイルなどに含まれるICC情報を処理するコードの問題です。悪意ある細工を施された画像ファイルを読み込むことで、大量のメモリを消費してしまう可能性がありました。これにより攻撃者によるDoS攻撃が可能でした。
  • CVE-2009-0723もJPEGファイルなどに含まれるICC情報を処理するコードの問題です。悪意ある細工を施された画像ファイルを読み込むことで、Integer overflowが発生します。これにより攻撃者による任意のコードの実行またはDoSが可能でした。
  • CVE-2009-0733もJPEGファイルなどに含まれるICC情報を処理するコードの問題です。画像ファイルに細工を施すことで、スタックバッファオーバーフローを引き起こすことが可能です。これにより攻撃者によるDoSが可能でした。また、特定の条件を仮定することで任意のコードの実行の可能性もあります。ただしスタックバッファオーバーフローによる攻撃は多くの条件を必要とするため、この脆弱性単独ではコード実行は困難と考えられます。
  • 対処方法:通常の場合、アップデートを行うだけで問題を解決することができます。カラーマネージメントのためにLittleCMS(liblcms)を利用するアプリケーションが存在する場合、そのアプリケーションの再起動が必要かもしれません。
  • 備考:liblcmsを利用するアプリケーションはFirefox 3.1beta(3.0は問題となる機能をデフォルトでは利用しません⁠⁠・OpenJDK・GIMP・Wine・Inkspace・xsane・f-spot・Imagemagickなど多岐に渡ります。確実にプロセスを再起動するため、一度ログアウトした方が良いでしょう。
  • 備考2:この問題はその性質上、信頼できない画像ファイルを受け取り、liblcms経由で処理を行うシステム(例:OpenJDK上で動作するJavaサーブレットを用いる画像サムネイルWebサービス)において特に致命的な結果をもたらすと考えられます。

おすすめ記事

記事・ニュース一覧