Ubuntu Weekly Topics

2009年4月3日号パッケージングトレーニング・Full Circle magazine#23・UWN#135・Adobe ReaderとFirefoxのセキュリティアップデート

パッケージトレーニングが今週から始まります

2009年3月13日号で紹介したパッケージングのトレーニングが今週から行われます

トレーニングは以下のスケジュールで、#ubuntu-classroom-{de,es,it,fr,…} という名前のIRCチャンネルで行われます(日本語はまだありません⁠⁠。

  • 第1木曜日 6:00 UTC
  • 第2木曜日 12:00 UTC
  • 第3木曜日 18:00 UTC
  • 第4木曜日 0:00 UTC
  • 第5木曜日 6:00 UTC

Full Circle magazine#23

Ubuntuに関する記事を集めた月刊のWebマガジンであるFull Circle Magazineの23号がリリースされました。主な内容は次の通りです。

  • ターミナル操作のすすめ。今回はコマンド操作を用いて動作の不具合を追い詰めていくための簡単なガイドです。⁠dmesg|tail」などといった、定石とされる基本的なコマンドを学ぶことができるでしょう。
  • HowTo: C言語入門記事の第7回。前回に続いてデバッグのためのアプローチの特集です。今回はgdbを用いてバグを追い詰めていきます。
  • HowTo: Webサーバ環境の構築の第4回。今回はHTMLとCSS、さらにPHPを用いてページを作成するための手順を学びます。
  • Ubuntuを広く広めるための運動である「Spreading Ubuntu」について(2回目)
  • MOTUであるSteve Stalcup(vorian)さんへのインタビュー
    などなど

より詳しい内容は原文を参照してください。

UWN#135

Ubuntu Weekly Newsletter #135が公開されています。内容については日本語版でご確認ください。

9.04関連

Betaがリリースされて以降、4月23日のリリースに向けて「仕上げ」に相当する作業が次々に行われています。中には「今回は見送りで9.10へ」といったものも含まれますが、Release Candidate時点では大きく完成度が向上するでしょう。

  • サスペンドとレジュームの テスト要請が出ています。これはcheckboxソフトウェアを用いてsuspend_testスクリプトを実行する形で、半自動化されたテストが実施されるものです(ただし、前半部分では手作業が必要です⁠⁠。
  • 9.04で幾つか(たくさん?)のトラブルが発生しているintelドライバですが、このうちG945で発生しているトラブルについて、修正版のテスト要請が行われました。もしG945上でJauntyをお使いで、⁠(EE) intel(0): underrun on pipe A!」などというエラーが/var/log/Xorg.0.logに残っている場合、このテストに協力してください。
  • 9.04のカウントダウンバナーが作られました。
  • intelドライバの新機能であるUXAは、デフォルトではOffにセットされることになりました。UXA Enableは9.10で実現するかもしれません。
  • 9.04のAlphaの eCryptfsを使っていた場合の注意。eCryptfsを使っていた場合、リンク先の内容を確認して対処を行ってください。
  • Jaunty向けのドキュメンテーション作業も進んでいます。Jaunty向けのServer Guideのドラフト作業の作成が行われています。

その他のニュース

今週のセキュリティアップデート

Adobe Reader・Firefoxのアップデートはほとんどのユーザーに該当し、かつ緊急度の高い問題です。できるだけ速やかにアップデートを行ってください。また多くのアップデートにおいて、適用には単なるアップデートだけでなく、プロセス(アプリケーション)の再起動やログアウト、システムの再起動などが必要になります。各項目を確認し、正しい対処方法を把握してください。まとめて実施する場合は、アップデータをすべて適用し、Adobe Readerの新版をダウンロードして導入した上でシステムを再起動するのが最短です。

LP#332503:Adobe Reader 8.1.4のセキュリティアップデート
  • http://www.adobe.com/support/security/advisories/apsa09-01.html
  • 対処方法:アップデータを適用した上で、アプリケーション→オフィス→Adobe Reader 8 Installerからインストーラを起動し、Adobe Reader本体のインストールをあらためて実施してください。アップデータの適用だけではAdobe Readerの本体が削除されるだけです。
  • 備考:このパッケージは日本語Remixにのみ含まれます。パッケージとして提供されるのはAdobe Readerのインストーラで、Adobe Reader本体ではありません。
usn-746-1:xine-libのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000871.html
  • 現在サポートされている全てのUbuntu(6.06 LTS・7.10・8.04 LTS・8.10)用のアップデータがリリースされています。CVE-2009-0698と、USN-710-1に伴って発生したエンバグを修正します。
  • CVE-2009-0698は、4xm動画ファイルの処理に問題があり、ファイルの再生時にDoSまたは任意のコードの実行をもたらす可能性がある脆弱性です。
  • USN-710-1で適用された修正に含まれたバグにより、一部のメディアファイルが再生できなくなっていましたLP#322834⁠。このアップデートには対策が含まれています。ただし、USN-710-1におけるCVE-2008-5239には影響がなかったため、このエンバグによるセキュリティ的なリスクはありませんでした。
  • 対処方法:通常の場合、アップデータを適用した上でxine-libをリンクしているアプリケーション(たとえばTotem-xineやAmarok)を再起動することで問題を解決できます。リンクしているアプリケーションが不明な場合、確実な方法は一度ログアウトすることです。
usn-747-1:ICUのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000872.html
  • 現在サポートされている全てのUbuntu(6.06 LTS・7.10・8.04 LTS・8.10)用のアップデータがリリースされています。CVE-2008-1036を修正します。
  • CVE-2008-1036は、ICU(International Components for Unicode)がデータを処理する際の実装に問題があり、悪意ある細工を施されたデータを読み込んだ際にサービス停止ないし任意のコード実行が行われる可能性がありました。
  • 対処方法:通常の場合、アップデータを適用した上でlibicuをリンクしているアプリケーション(たとえばOpenOffice.org)を再起動することで問題を解決できます。リンクしているアプリケーションが不明な場合、確実な方法は一度ログアウトすることです。
usn-748-1:OpenJDKのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000873.html
  • 8.10用のアップデータがリリースされています。CVE-2006-2426, CVE-2009-1093, CVE-2009-1094, CVE-2009-1095, CVE-2009-1096, CVE-2009-1097, CVE-2009-1098, CVE-2009-1100, CVE-2009-1101, CVE-2009-1102を修正します。
  • CVE-2006-2426CVE-2009-1100は、JRE/JDK内でType1フォントを取り扱う際の処理に問題があり、テンポラリファイルを際限なく作成してしまう問題です。これによりシステムがDisk Fullによる動作不能状態に陥る可能性があります。詳細はOpenJDKの元になったSun JDKのSunSolveDocID#254608を参照してください。
  • CVE-2009-1101はJDK/JRE付属のHTTPサーバ機能の問題で、悪意ある細工の施されたリクエストを受け取った際、httpd daemonが応答を停止することがありました。これはJavaで構成されたXML Webサービスに用いられる機能です。詳細はOpenJDKの元になったSun JDKのSunSolveDocID#254609を参照してください。
  • CVE-2009-1102は、Javaアプレット内からそのアプレット自身のアクセス権限を変更できてしまう脆弱性です。この脆弱性はSPARC環境でのみ再現します。詳細はOpenJDKの元になったSun JDKのSunSolveDocID#254610を参照してください。
  • CVE-2009-1093, CVE-2009-1094は、ともにJavaに内包されたLDAPクライアント機能の問題です。悪意ある細工を施されたパケットを受け取ることで、LDAPクライアントのクラッシュまたは任意のコードの実行を許す可能性がありました。詳細はOpenJDKの元になったSun JDKのSunSolveDocID#254569を参照してください。
  • CVE-2009-1095, CVE-2009-1096は、ともにJARファイルの処理上の問題で、悪意ある細工を施されたファイルを開いた際にDoSまたは任意のコードの実行が可能でした。詳細はOpenJDKの元になったSun JDKのSunSolveDocID#254570を参照してください。また、クラッシュにつながるサンプルが公開されています。
  • CVE-2009-1097, CVE-2009-1098は、PNGやGIFファイルを開く際の問題です。悪意ある細工が施された画像ファイルを扱おうとすると、クラッシュや任意のコードの実行につながる可能性がありました。詳細はOpenJDKの元になったSun JDKのSunSolveDocID#254571を参照してください。
  • 対処方法:アップデータを適用後、既存のJavaアプリケーションをすべて再起動してください。
  • 備考:Ubuntu 8.04ではOpenJDKパッケージはUniverseリポジトリに存在するため、usn-748-1では取り扱われませんが、アップデータがリリースされていますので適用してください。7.10以前のUbuntuにはOpenJDKパッケージは存在しません。
  • 備考2:9.04にもOpenJDKパッケージは存在しますが、開発作業中のためまだセキュリティアップデートがリリースされていません。近日修正版がリリースされるはずです。
usn-745-1:FirefoxとXulrunnerのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000874.html
  • 現在サポートされている全てのUbuntu(6.06 LTS・7.10・8.04 LTS・8.10)用のアップデータがリリースされています。CVE-2009-1044, CVE-2009-1169を修正します。
  • CVE-2009-1044はXUL Treeのガベージコレクタが、すでに解放された領域にアクセスしようとしてクラッシュする問題です。悪意ある細工を施したページを開かせることで、ブラウザのクラッシュまたは任意のコードの実行が可能です。すでに任意のコード実行が可能であることがデモンストレーションされています(Pwn2Ownというクラッキングコンテストで利用されています⁠⁠。この問題は8.04・8.10に影響します。技術的な情報はMFSA2009-13を参照してください。
  • CVE-2009-1169は、FirefoxがXSLのスタイルシートを解釈するコードの問題で、悪意ある細工をほこどしたXSLTを読み込ませることで、ブラウザのクラッシュまたは任意のコードの実行が可能な問題です。脆弱性実証コードがすでに存在します。より詳細な情報はMFSA 2009-12を参照してください。
  • 対処方法:通常の場合、アップデータを適用した上でFirefoxを再起動してください。xulrunnerを利用したアプリケーション(Epiphany等)が存在する場合、そちらも再起動する必要があります。
  • 備考:9.04用にもアップデータがリリースされています。Beta版を利用している場合はアップデートを適用してください。
usn-749-1:libsndfileのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000875.html
  • 現在サポートされている全てのUbuntu(6.06 LTS・7.10・8.04 LTS・8.10)用のアップデータがリリースされています。CVE-2009-0186を修正します。
  • CVE-2009-0186は、CAF形式のオーディオファイルのチャンク部の解釈の問題で、整数オーバーフローによりヒープバッファの汚染が可能でした。これにより悪意あるCAFファイルを開かせることで、任意のコードを実行させることが可能でした。詳細な情報は、Secunia Researchによるアドバイザリを確認してください。
  • 対処方法:通常の場合、アップデータを適用した上で念のためlibsdnfileをリンクしているアプリケーションを再起動することで問題を解決できます(ただし、ほとんどの場合は音声ファイルの再生時にライブラリを読み込みなおしますので、アプリケーション単位での再起動は不要です⁠⁠。
  • 備考:9.04用にもアップデータがリリースされています。Beta版を利用している場合はアップデートを適用してください。
  • 備考2:libsndfileはNullsoft Winampで利用されていたライブラリです。多くのオーディオ再生アプリケーションで利用されています。
usn-750-1:OpenSSLのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000876.html
  • 現在サポートされている全てのUbuntu(6.06 LTS・7.10・8.04 LTS・8.10)用のアップデータがリリースされています。CVE-2009-0590を修正します。
  • CVE-2009-0590は、ASN1形式のBMPStringまたはUniversalStringを解釈する際の問題で、人間が読める形(テキスト形式)にデコードする際に、これらの値として悪意ある細工が施されたものが与えられた場合にクラッシュが発生するものです。文字列長を入力に依存して確保しているため、不正なメモリアクセスが発生しますが、OpenSSLではこうしたboundsは発生した時点で安全にクラッシュするようになっているため、影響はDoSに留まります。一時情報としてOpenSSL Security Advisory(25-Mar-2009)を参照してください。
  • 対処方法:通常の場合、アップデータを適用した上でシステムを再起動することで問題を解決できます。
  • 備考:9.04用にもアップデータがリリースされています。Beta版を利用している場合はアップデートを適用してください。

おすすめ記事

記事・ニュース一覧