9.10関連
Feature Definition Freeze
なお、
32bit環境でPAEが有効になります
実装上の懸念があるため、
これにより、
PAEを有効にしたカーネルは、
ただし、
Hundred Papercuts
9.
これはその名前とアイコン
プロジェクトの遂行はCanonical社が行いますので、
- すぐ直せること。新しい機能ではなく、
「ちょっとした」 修正で改善できること。 - 多くの一般的なユーザーにとって、
修正によるメリットがあること。 - Ubuntu 9.
10をデフォルトインストールした状態で、 すぐにも遭遇しそうな問題であること。
うまく作業が進み、
Ubuntu Weekly Newsletter #146
Ubuntu Weekly Newsletter #146がリリースされています。
その他のニュース
- Ubuntuで利用されているinitデーモンである、
Upstart 0. 3.10がリリースされました。致命的なバグを直したものとなっています。 - OpenOfficeのKDE4対応版が、
Kubuntuのディベロッパの手によってリリースされました。 - Ubuntuをインストールしてすぐにやる10のこと。
- Jaunty用のデスクトップテーマ集。
- 9.
04環境におけるdvipdfmxのクラッシュバグが修正されました。この原稿の公開と前後して修正版が提供されるはずです。
今週のセキュリティアップデート
Firefoxのセキュリティアップデータがリリースされています。アップデートを適用した上で、
- usn-786-1 apr-utilのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-June/ 000913. html - Ubuntu 8.
04 LTS・ 8. 10・ 9. 04用のアップデータがリリースされています。CVE-2009-0023, CVE-2009-1955, CVE-2009-1956を修正します。 - CVE-2009-0023は、
apr_ strmatch_ precompile()関数の問題により、 設定ファイル等のパース時に整数アンダーフローが発生し、 apr-utilを利用しているプロセス (多くの場合Apacheのデーモン) がクラッシュする問題です。.htaccessを経由してローカルから、 また、 mod_ dav_ svnやmod_ apreq2を経由してリモートから攻撃を行うことが可能です。 - CVE-2009-1955は、
apr_ xml_* interface()関数群の問題により、 外部から入力されたXMLファイルをパースする際、 無制限にメモリを消費する可能性がある問題です。これにより外部かシステムを動作不能に陥らせることが可能と考えられます。すでに攻撃コードが存在します。 - CVE-2009-1956は、
apr_ brigade_ vprintf()関数の問題により、 バッファの最後尾+1byteの場所にヌル文字を書き込んでしまう可能性がある問題です。これにより、 プロセスのクラッシュが発生する可能性があります。この問題はビッグエンディアンのマシンでのみ影響します。UbuntuではPowerPC・ HPPA・ SPARC環境が該当します。 - 対処方法:アップデートを適用した上で、
apr-utilを利用するすべてのアプリケーションを再起動してください。apr-utilを利用するアプリケーションは、 Apacheなどが含まれます。 - 備考:apr-utilはApacheに関連するライブラリですが、
直接Apacheと関係のないアプリケーションでも利用されている場合があります (例:svnserve)。これらのアプリケーションもこの問題の影響を受けます。apt-cache rdepends apr-utilで出力されるアプリケーションを個別に再起動するか、 確信がない場合、 システムごと再起動してください。
- https://
- usn-787-1:Apacheのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-June/ 000915. html - 現在サポートされている全てのUbuntu
(Ubuntu 6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04) 用のアップデータがリリースされています。CVE-2009-0023, CVE-2009-1191, CVE-2009-1195, CVE-2009-1955, CVE-2009-1956を修正します。 - CVE-2009-0023・
CVE-2009-1955・ CVE-2009-1956は、 すべて上述のapr-util由来の問題です。脆弱性の内容はapr-utilのものを参照してください。いずれもUbuntu 6. 06LTSにのみ影響します。 - CVE-2009-1191は、
mod_ proxy_ ajpの実装の問題により、 サイズを偽装し、 かつBODYのないリクエストを送出することで、 直前にポストされたデータを送りつけたのと同じ振る舞いをさせることが可能な問題です。これにより重要なデータの漏洩が発生する可能性があります。この問題はUbuntu 9. 04にのみ影響します。 - CVE-2009-1195は、
directoryディレクティブ内でAllowOverride Options=IncludesNoEXECを宣言した場合に、 本来利用不可能になるべきでないSSI execが利用可能になってしまう問題です。この問題は8. 04 lTS・ 8. 10・ 9. 04にのみ影響します。 - 対処方法:通常の場合、
アップデートのみで問題を解決できます。アップデート時にhttpdが一瞬再起動されるため、 常時稼働している必要があるシステムでは注意してください。
- https://
- usn-779-1:Firefox・
Xulrunnerのセキュリティアップデート - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-June/ 000916. html - 8.
04 LTS・ 8. 10・ 9. 04用のアップデータがリリースされています。CVE-2009-1832, CVE-2009-1833, CVE-2009-1834, CVE-2009-1835, CVE-2009-1836, CVE-2009-1837, CVE-2009-1838, CVE-2009-1839, CVE-2009-1840, CVE-2009-1841を修正します。Firefox 3. 0.11へのアップデートです。 - アップデート内容は、
Firefox 3. 0.11のリリースノート を参照してください。 - CVE-2009-1392, CVE-2009-1832, CVE-2009-1833, CVE-2009-1837, CVE-2009-1838としてアサインされた複数の脆弱性により、
悪意あるサイトを訪れた際に、 任意のコードを実行されるおそれがあります。 - 上記以外の情報、
ならびに詳細はセキュリティ修正の内容はFirefox 3. 0セキュリティアドバイザリ から確認できます。 - 対処方法:アップデートを行った上で、
Firefox・ Xulrunnerのプロセスを再起動してください。通常の環境ではFirefoxを再起動すれば良いでしょう。
- https://
- usn-788-1:Tomcatのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-June/ 000917. html - Ubuntu 8.
10・ 9. 04向けのセキュリティアップデートがリリースされています。CVE-2008-5515, CVE-2009-0033, CVE-2009-0580, CVE-2009-0781, CVE-2009-0783を修正します。 - CVE-2008-5515は、
リクエストディスパッチャが一定の形式のリクエストを受け付けた場合、 WEB-INFディレクトリ以下の本来隠されているべきファイルが外部に漏洩する問題です。詳細はtomcat-devでのアナウンスを参照してください。 - CVE-2009-0033は、
Java AJP connectorとmod_ jkによるロードバランシングを併用している環境において、 一定のパケットを受け付けることでサーバー応答が1分間停止する問題です。これにより外部からサーバーに対してDoSを仕掛けることが可能と考えられます。 - CVE-2009-0580は、
FORM認証を利用している環境において、 無効なエンコーディングを施されたpasswordパラメータを含めたURLをリクエストすることにより、 存在するユーザー名の推測が可能な問題です。 - CVE-2009-0781は、
Tomcatの配布物に含まれているカレンダー表示を行うサンプルアプリケーションの問題で、 URLに不正な文字列を含めておくことで、 クロスサイトスクリプティングが可能な問題です。比較的容易に悪用が可能と考えられます。 - CVE-2009-0783は、
Tomcat上でホストされるWebアプリケーションが、 web. xml・ context. xml・ tldファイルを解釈する際、 本来利用できないXMLパーサを呼び出して不正に使用できる問題です。 - 対処方法:通常の場合、
アップデートのみで問題を解決できます。
- https://