9.10関連

Feature Definition Freeze（仕様の確定のデッドライン）を目前に控えているため[1]⁠、多くの動きと議論が巻き起こっています。その一端としては、Foundations Teamの議題にまでなった[2]Mono関連の議論[3]など、開発の本質とはあまり関係ないものや、現状では結論が出ていないものも存在しますが、興味深い動きをピックアップして紹介します。

なお、毎回のことですが、駆け込みで仕様をFixするケースが多いため、現状では9.10の全貌は確定していません。実際には、Specがフリーズされた後にも「駆け込み」が発生することもありますし、逆に「品質が担保できないので次の次まで延期」という判断が下されることもあります。とはいえ、Feature Definition Freezeの時点で、「⁠最大限実現されること」は確定するはずです。

32bit環境でPAEが有効になります

実装上の懸念があるため、完全に確定したわけではありませんが、9.10からは、PAEによるメモリ空間の拡張がDesktop用カーネルにも適用される予定です。

これにより、32bit環境でも4GB以上のメモリを利用できるようになり[4]ますし、4GBちょうどのメモリを搭載した環境であっても「4GB全体を」利用できるはずです[5]⁠。

PAEを有効にしたカーネルは、PAEに非対応のCPU（古いVIA製のCPUや、Pentium M、Atomの一部など）では起動できません。こうしたCPU向けの「-legacy」カーネルも別途用意され、インストール時に適切なものが選択されるようになる予定です。

ただし、どのように実現されるのかという点については、まだ確定していません。実現の目安はAlpha4（8/13）までに、となっています。

Hundred Papercuts

9.10に向けた試みの一つとして、「⁠使い勝手を損なっていて」「⁠簡単に直せる」ものを修正するためのプロジェクト、「⁠One Hundred Paper Cuts」（⁠注6）が開始されています。

これはその名前とアイコン（バンドエイド）の通り、「⁠かすり傷だが、使い勝手を損ねているもの」を100個集め、それを修正することでUbuntuの使い勝手を良くしよう、というプロジェクトです。

プロジェクトの遂行はCanonical社が行いますので、ユーザーがすべきことは「見つけたPaper Cutsをレポートする」ことです。「⁠Paper Cuts」に該当する基準は次の通りです。

• すぐ直せること。新しい機能ではなく、「⁠ちょっとした」修正で改善できること。
• 多くの一般的なユーザーにとって、修正によるメリットがあること。
• Ubuntu 9.10をデフォルトインストールした状態で、すぐにも遭遇しそうな問題であること。

うまく作業が進み、修正が反映されれば、9.10は「気の利いた」リリースになることが期待できます。

Ubuntu Weekly Newsletter #146

Ubuntu Weekly Newsletter #146がリリースされています。

その他のニュース

• Ubuntuで利用されているinitデーモンである、Upstart 0.3.10がリリースされました。致命的なバグを直したものとなっています。
• OpenOfficeのKDE4対応版が、Kubuntuのディベロッパの手によってリリースされました。
• Ubuntuをインストールしてすぐにやる10のこと。
• Jaunty用のデスクトップテーマ集。
• 9.04環境におけるdvipdfmxのクラッシュバグが修正されました。この原稿の公開と前後して修正版が提供されるはずです。

今週のセキュリティアップデート

Firefoxのセキュリティアップデータがリリースされています。アップデートを適用した上で、再起動を行ってください。また、Apache・Tomcatのアップデータもリリースされています。全ての環境に影響するわけではありませんが、該当するサーバーを管理している方はアップデートを検討する必要があるでしょう。

usn-786-1 apr-utilのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-June/000913.html
• Ubuntu 8.04 LTS・8.10・9.04用のアップデータがリリースされています。CVE-2009-0023, CVE-2009-1955, CVE-2009-1956を修正します。
• CVE-2009-0023は、apr_strmatch_precompile()関数の問題により、設定ファイル等のパース時に整数アンダーフローが発生し、apr-utilを利用しているプロセス（多くの場合Apacheのデーモン）がクラッシュする問題です。.htaccessを経由してローカルから、また、mod_dav_svnやmod_apreq2を経由してリモートから攻撃を行うことが可能です。
• CVE-2009-1955は、apr_xml_* interface()関数群の問題により、外部から入力されたXMLファイルをパースする際、無制限にメモリを消費する可能性がある問題です。これにより外部かシステムを動作不能に陥らせることが可能と考えられます。すでに攻撃コードが存在します。
• CVE-2009-1956は、apr_brigade_vprintf()関数の問題により、バッファの最後尾+1byteの場所にヌル文字を書き込んでしまう可能性がある問題です。これにより、プロセスのクラッシュが発生する可能性があります。この問題はビッグエンディアンのマシンでのみ影響します。UbuntuではPowerPC・HPPA・SPARC環境が該当します。
• 対処方法：アップデートを適用した上で、apr-utilを利用するすべてのアプリケーションを再起動してください。apr-utilを利用するアプリケーションは、Apacheなどが含まれます。
• 備考：apr-utilはApacheに関連するライブラリですが、直接Apacheと関係のないアプリケーションでも利用されている場合があります（例：svnserve⁠）⁠。これらのアプリケーションもこの問題の影響を受けます。apt-cache rdepends apr-utilで出力されるアプリケーションを個別に再起動するか、確信がない場合、システムごと再起動してください。

usn-787-1：Apacheのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-June/000915.html
• 現在サポートされている全てのUbuntu（Ubuntu 6.06 LTS・8.04 LTS・8.10・9.04）用のアップデータがリリースされています。CVE-2009-0023, CVE-2009-1191, CVE-2009-1195, CVE-2009-1955, CVE-2009-1956を修正します。
• CVE-2009-0023・CVE-2009-1955・CVE-2009-1956は、すべて上述のapr-util由来の問題です。脆弱性の内容はapr-utilのものを参照してください。いずれもUbuntu 6.06LTSにのみ影響します。
• CVE-2009-1191は、mod_proxy_ajpの実装の問題により、サイズを偽装し、かつBODYのないリクエストを送出することで、直前にポストされたデータを送りつけたのと同じ振る舞いをさせることが可能な問題です。これにより重要なデータの漏洩が発生する可能性があります。この問題はUbuntu 9.04にのみ影響します。
• CVE-2009-1195は、directoryディレクティブ内でAllowOverride Options=IncludesNoEXECを宣言した場合に、本来利用不可能になるべきでないSSI execが利用可能になってしまう問題です。この問題は8.04 lTS・8.10・9.04にのみ影響します。
• 対処方法：通常の場合、アップデートのみで問題を解決できます。アップデート時にhttpdが一瞬再起動されるため、常時稼働している必要があるシステムでは注意してください。

usn-779-1：Firefox・Xulrunnerのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-June/000916.html
• 8.04 LTS・8.10・9.04用のアップデータがリリースされています。CVE-2009-1832, CVE-2009-1833, CVE-2009-1834, CVE-2009-1835, CVE-2009-1836, CVE-2009-1837, CVE-2009-1838, CVE-2009-1839, CVE-2009-1840, CVE-2009-1841を修正します。Firefox 3.0.11へのアップデートです。
• アップデート内容は、Firefox 3.0.11のリリースノートを参照してください。
• CVE-2009-1392, CVE-2009-1832, CVE-2009-1833, CVE-2009-1837, CVE-2009-1838としてアサインされた複数の脆弱性により、悪意あるサイトを訪れた際に、任意のコードを実行されるおそれがあります。
• 上記以外の情報、ならびに詳細はセキュリティ修正の内容はFirefox 3.0セキュリティアドバイザリから確認できます。
• 対処方法：アップデートを行った上で、Firefox・Xulrunnerのプロセスを再起動してください。通常の環境ではFirefoxを再起動すれば良いでしょう。

usn-788-1：Tomcatのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-June/000917.html
• Ubuntu 8.10・9.04向けのセキュリティアップデートがリリースされています。CVE-2008-5515, CVE-2009-0033, CVE-2009-0580, CVE-2009-0781, CVE-2009-0783を修正します。
• CVE-2008-5515は、リクエストディスパッチャが一定の形式のリクエストを受け付けた場合、WEB-INFディレクトリ以下の本来隠されているべきファイルが外部に漏洩する問題です。詳細はtomcat-devでのアナウンスを参照してください。
• CVE-2009-0033は、Java AJP connectorとmod_jkによるロードバランシングを併用している環境において、一定のパケットを受け付けることでサーバー応答が1分間停止する問題です。これにより外部からサーバーに対してDoSを仕掛けることが可能と考えられます。
• CVE-2009-0580は、FORM認証を利用している環境において、無効なエンコーディングを施されたpasswordパラメータを含めたURLをリクエストすることにより、存在するユーザー名の推測が可能な問題です。
• CVE-2009-0781は、Tomcatの配布物に含まれているカレンダー表示を行うサンプルアプリケーションの問題で、URLに不正な文字列を含めておくことで、クロスサイトスクリプティングが可能な問題です。比較的容易に悪用が可能と考えられます。
• CVE-2009-0783は、Tomcat上でホストされるWebアプリケーションが、web.xml・context.xml・tldファイルを解釈する際、本来利用できないXMLパーサを呼び出して不正に使用できる問題です。
• 対処方法：通常の場合、アップデートのみで問題を解決できます。