Ubuntu Weekly Topics

2009年5月1日号9.04 Japanese Remixのリリース・UWN#139・Full Circle Magazine #24・Firefoxのセキュリティアップデート

Ubuntu 9.04 Japanese Remix をリリースしました

先週「リリース予定」としてお伝えした9.04のJapanese Remixですが、予定通り4月24日にリリースすることができました。9.04 Japanese Remix(日本語Remix)は、9.04標準の高速起動などの特徴はそのままに、日本語環境で利用しやすい設定とパッケージを追加し、さらに日本語環境セットアップヘルパなどのユーティリティを追加したものです。

9.04関連

Xドライバの最新版

9.04がリリースされましたが、幾つかの問題が発見されています[1]⁠。中でもXのintelドライバのバグの影響は大きく、i965Gや845など、2004~2007年頃にリリースされたIntelのオンボードグラフィックを採用したハードウェアを利用している場合はCompizを有効にできないなど、本来の性能を発揮できない状態が続いています。

通常、Ubuntuのリリースでは「一度リリースされたものはそのままメジャーバージョンを上げず、メンテナンスだけを行う」というスタンスですが、Xの開発チームが9.04用の新しいドライバをPPAで提供し始めました。あくまでテスト版という位置づけで、これらが本体のリポジトリにフィードバックされるかは不確定ですが、どうしても困っている場合は試してみると良いでしょう。

Ubuntu Open Week・Ubuntu Developer Summit

9.04のリリースが落ち着いたところで、Ubuntu Open Week・Ubuntu Developer Summitの2つの大きなイベントが間もなく行われます。

Open Weekは、現地時間の4月27日~5月1日にかけて、irc.ubuntu.com上の#ubuntu-classroomで行われるオンライイベントです。目的のひとつは、⁠ユーザーとコアスタッフの間をつなぐこと」ですので、ルールさえ守れば誰でも参加し、Mark ShuttleworthをはじめとするUbuntuのコアスタッフに直接質問をすることができます。

さらに、Developer Summitは次のリリース、つまりUbuntu 9.10のコア機能に関する議論が行われる場所です。スペインのバルセロナで行われ、Hotel Rey Juan Carlosで開発者が一同に介し、⁠次のUbuntu」に必要な機能を議論します。こちらは実際に集まって行うイベントですが、議題はBlueprintに登録されてから行われますので、これを購読することで進捗を確認することができます。また、コア開発者に協力を仰げば、新しいアイデアを提案することも可能です。

Developer Summitは5月25~29日にかけて行われます。

UWN#139

Ubuntu Weekly Newsletter#139が刊行されています。日本語版は翻訳作業中です。

Full Circle Magazine #24

Ubuntuに関する記事を集めた月刊のWebマガジンであるFull Circle Magazine(FCM) 24号がリリースされました。主な内容は次の通りです(ちなみに、今号からちょっぴりデザインが変わっています⁠⁠。

  • Ubuntu 9.04のリリース
  • ターミナル操作のすすめ。今回はシェルスクリプトの作り方と、cronによる自動実行の方法です。
  • HowTo: Inkscapeを使ったグラフィックデザインについて。InkscapeでCircle Of Humanを描いています。
  • HowTo: C言語入門記事の第8回。今回は「型」について、実際に桁あふれを起こさせたり型変換をしたりして学びます。
  • Spreading Ubuntu: Windowsからの「スイッチ」のためのHowToです。
  • HowTo: ⁠MAME」によるアーケードゲームエミュレーター環境の構築方法。
  • 体験談: ⁠おばあちゃんにUbuntuを使ってもらい、ネットショッピングをしてもらいました」
  • 体験談: ⁠FCMの中国語版がリリースされるまで」

などなどです。FCMは画像が数多く利用され、平易な英語で書かれているので、英語が苦手な方でも苦労なく読み進めることができるはずです。

その他のニュース

  • Ubuntuで高可用性に関する機能を実装するチーム、Ubuntu High Availability Teamが結成されました。これに加えて、Server Teamが管理するドキュメントのうち、クラスタ関連のものが整備される予定です。
  • Launchpadで使われているWebサービス(いわゆる"RESTful"なもの)を扱うためのコードが公開されました
  • 9.04でパッケージに含まれるようになった、Apacheのmod_evasiveの使い方。mod_evasiveはDoSを狙った大量のアクセスや、ブルートフォースアタックなどを回避するためのモジュールです。

今週のセキュリティアップデート

今週のセキュリティアップデートは次の通りです。9.04がリリースされたことにより、USNアドバイザリとして9.04に関する情報も提供されるようになりました。

また、今週はFirefoxのアップデートに注意してください。3.0.9と3.0.10が連続してリリースされているため、3.0.9へアップデートした時点で安心してしまっていると、3.0.10へのアップデートが遅れてしまう可能性があります。

usn-764-1:Firefoxのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-April/000890.html
  • 6.06 LTSを除く、現在サポートされている全てのバージョンのUbuntu(8.04 LTS・8.10・9.04)用のアップデータがリリースされています。CVE-2009-0652, CVE-2009-1302, CVE-2009-1303, CVE-2009-1304, CVE-2009-1305, CVE-2009-1306, CVE-2009-1307, CVE-2009-1308, CVE-2009-1309, CVE-2009-1310, CVE-2009-1311, CVE-2009-1312を修正します。
  • CVE-2009-1302, CVE-2009-1303, CVE-2009-1304, CVE-2009-1305は、いずれもブラウザエンジンないしJavaScriptエンジンの問題により、メモリ破壊を伴ったクラッシュが発生する可能性がある脆弱性です。詳細はMFSA 2009-14を参照してください。
  • CVE-2009-0652は、Unicodeの罫線文字をURLに含めることで、⁠罫線文字と句読点の形状が似通っているため)句読点を含んだURLを偽装することが可能な問題です。MFSA 2009-15を参照してください。
  • CVE-2009-1306は、Firefoxがjar: URLスキーマの処理する際にContent-Disposition: attachementヘッダが無視され、誤ってインラインでコンテンツが展開されてしまう問題です。これにより、ファイルアップロードが可能な、あるいはWebメールなどを扱うサイトにおいて、XSS攻撃を行える可能性がありました。MFSA 2009-16を参照してください。
  • CVE-2009-1307は、view-source: URLスキーマを用いてAdobe Flashファイルを読み込む際、本来行われるべきSame Origin Policyに基づく制限が適用されず、Flashファイルからの外部サイトへのアクセスや、ローカルファイルへのアクセスが可能になってしまっていた問題です。MFSA 2009-17を参照してください。
  • CVE-2009-1309は、Firefoxがドキュメントの権限を適切に処理しない問題です。悪用により、攻撃者はそのサイトに与えられた権限を越えてJavaScriptを実行したり、任意の関数を実行することが可能でした。MFSA 2009-19を参照してください。
  • CVE-2009-1310は、悪意ある検索プラグインを作成し、ユーザーに利用させることができた場合、ユーザーが空白文字列を検索した時に開かれていたページの権限でJavaScriptを実行できてしまう問題です。MFSA 2009-20を参照してください。
  • CVE-2009-1312は、Refreshヘッダにjavascript: URIが含まれている場合、ページのリフレッシュ時に誤って指定されたURIへリダイレクトが行われてしまう問題です。MFSA 2009-22を参照してください。
  • CVE-2009-1308は、外部サイトからスタイルシートを読み込むことを許可しているサイト上で、XBLバインディングを用いたスクリプト注入が可能な問題です。MFSA 2009-18を参照してください。
  • CVE-2009-1311は、インラインフレームを用いたページを表示しており、さらに外枠ページにPOSTデータが送られて生成されたページの場合、ファイルとして保存しようとする際に誤ってインラインフレーム側にPOSTデータが送信されてしまう問題です。MFSA 2009-21を参照してください。
  • 対処方法:通常の場合、アップデートを適用した上でFirefoxを再起動することで問題を解決できます。
  • 備考:より新しいusn-765-1が公開されています。これからアップデートする場合はusn-765-1のものにアップデートしてください。
usn-765-1:Firefoxのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-April/000894.html
  • 6.06 LTSを除く、現在サポートされている全てのバージョンのUbuntu(8.04 LTS・8.10・9.04)用のアップデータがリリースされています。CVE-2009-1313を修正します。
  • CVE-2009-1313は、Firefox 3.0.9(Ubuntuではusn-765-1で提供された各パッケージ)で行われた更新に伴い、一定の条件でメモリ破壊と見られる現象を伴ったクラッシュが発生する問題です。MFSA 2009-23を参照してください。
  • 対処方法:通常の場合、アップデートを適用した上でFirefoxを再起動することで問題を解決できます。
usn-761-2:PHPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-April/000892.html
  • Ubuntu 9.04用のアップデータがリリースされています。CVE-2008-5814, CVE-2009-1271を修正します。
  • CVE-2008-5814CVE-2009-1271の詳細は、いずれも2009年4月24日号を参照してください。
  • 対処方法:通常の場合、アップデートを適用することで問題を解決できます。
  • 備考:6.06 LTS・8.04 LTS・8.10ではすでにusn-761-1で公表・修正済みです。
usn-766-1:acpidのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-April/000893.html
  • 現在サポートされている全てのバージョンのUbuntu(6.06 LTS・8.04 LTS・8.10・9.04)用のアップデータがリリースされています。CVE-2009-0798を修正します。
  • CVE-2009-0798は、大量のコネクションをACPIdが適切に処理できないため、多くのリクエストを送信することでCPU資源を占有し、事実上DoSが可能な問題です。
  • 対処方法:通常の場合、アップデートを適用することで問題を解決できます。
usn-767-1:FreeTypeのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-April/000891.html
  • 現在サポートされている全てのバージョンのUbuntu(6.06 LTS・8.04 LTS・8.10・9.04)用のアップデータがリリースされています。CVE-2009-0946を修正します。
  • CVE-2009-0946は、Freetypeライブラリの複数の箇所で外部入力に対する上限値チェックが甘く、整数オーバーフローが発生する問題です。
  • 対処方法:通常の場合、アップデートを適用することで問題を解決できます。

おすすめ記事

記事・ニュース一覧