Ubuntu Weekly Topics

2009年6月19日号9.10のFeature Definition Freeze、Hundred Papercutsプロジェクト、UWN#146、Firefox・Apache・Tomcatのセキュリティアップデート

9.10関連

Feature Definition Freeze(仕様の確定のデッドライン)を目前に控えているため[1]⁠、多くの動きと議論が巻き起こっています。その一端としては、Foundations Teamの議題にまでなった[2]Mono関連の議論[3]など、開発の本質とはあまり関係ないものや、現状では結論が出ていないものも存在しますが、興味深い動きをピックアップして紹介します。

なお、毎回のことですが、駆け込みで仕様をFixするケースが多いため、現状では9.10の全貌は確定していません。実際には、Specがフリーズされた後にも「駆け込み」が発生することもありますし、逆に「品質が担保できないので次の次まで延期」という判断が下されることもあります。とはいえ、Feature Definition Freezeの時点で、⁠最大限実現されること」は確定するはずです。

32bit環境でPAEが有効になります

実装上の懸念があるため、完全に確定したわけではありませんが、9.10からは、PAEによるメモリ空間の拡張がDesktop用カーネルにも適用される予定です。

これにより、32bit環境でも4GB以上のメモリを利用できるようになり[4]ますし、4GBちょうどのメモリを搭載した環境であっても「4GB全体を」利用できるはずです[5]⁠。

PAEを有効にしたカーネルは、PAEに非対応のCPU(古いVIA製のCPUや、Pentium M、Atomの一部など)では起動できません。こうしたCPU向けの「-legacy」カーネルも別途用意され、インストール時に適切なものが選択されるようになる予定です。

ただし、どのように実現されるのかという点については、まだ確定していません。実現の目安はAlpha4(8/13)までに、となっています。

Hundred Papercuts

9.10に向けた試みの一つとして、⁠使い勝手を損なっていて」⁠簡単に直せる」ものを修正するためのプロジェクト、One Hundred Paper Cuts注6開始されています

これはその名前とアイコン(バンドエイド)の通り、⁠かすり傷だが、使い勝手を損ねているもの」を100個集め、それを修正することでUbuntuの使い勝手を良くしよう、というプロジェクトです。

プロジェクトの遂行はCanonical社が行いますので、ユーザーがすべきことは「見つけたPaper Cutsをレポートする」ことです。⁠Paper Cuts」に該当する基準は次の通りです。

  • すぐ直せること。新しい機能ではなく、⁠ちょっとした」修正で改善できること。
  • 多くの一般的なユーザーにとって、修正によるメリットがあること。
  • Ubuntu 9.10をデフォルトインストールした状態で、すぐにも遭遇しそうな問題であること。

うまく作業が進み、修正が反映されれば、9.10は「気の利いた」リリースになることが期待できます。

Ubuntu Weekly Newsletter #146

Ubuntu Weekly Newsletter #146がリリースされています。

その他のニュース

今週のセキュリティアップデート

Firefoxのセキュリティアップデータがリリースされています。アップデートを適用した上で、再起動を行ってください。また、Apache・Tomcatのアップデータもリリースされています。全ての環境に影響するわけではありませんが、該当するサーバーを管理している方はアップデートを検討する必要があるでしょう。

usn-786-1 apr-utilのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-June/000913.html
  • Ubuntu 8.04 LTS・8.10・9.04用のアップデータがリリースされています。CVE-2009-0023, CVE-2009-1955, CVE-2009-1956を修正します。
  • CVE-2009-0023は、apr_strmatch_precompile()関数の問題により、設定ファイル等のパース時に整数アンダーフローが発生し、apr-utilを利用しているプロセス(多くの場合Apacheのデーモン)がクラッシュする問題です。.htaccessを経由してローカルから、また、mod_dav_svnやmod_apreq2を経由してリモートから攻撃を行うことが可能です。
  • CVE-2009-1955は、apr_xml_* interface()関数群の問題により、外部から入力されたXMLファイルをパースする際、無制限にメモリを消費する可能性がある問題です。これにより外部かシステムを動作不能に陥らせることが可能と考えられます。すでに攻撃コードが存在します。
  • CVE-2009-1956は、apr_brigade_vprintf()関数の問題により、バッファの最後尾+1byteの場所にヌル文字を書き込んでしまう可能性がある問題です。これにより、プロセスのクラッシュが発生する可能性があります。この問題はビッグエンディアンのマシンでのみ影響します。UbuntuではPowerPC・HPPA・SPARC環境が該当します。
  • 対処方法:アップデートを適用した上で、apr-utilを利用するすべてのアプリケーションを再起動してください。apr-utilを利用するアプリケーションは、Apacheなどが含まれます。
  • 備考:apr-utilはApacheに関連するライブラリですが、直接Apacheと関係のないアプリケーションでも利用されている場合があります(例:svnserve⁠⁠。これらのアプリケーションもこの問題の影響を受けます。apt-cache rdepends apr-utilで出力されるアプリケーションを個別に再起動するか、確信がない場合、システムごと再起動してください。
usn-787-1:Apacheのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-June/000915.html
  • 現在サポートされている全てのUbuntu(Ubuntu 6.06 LTS・8.04 LTS・8.10・9.04)用のアップデータがリリースされています。CVE-2009-0023, CVE-2009-1191, CVE-2009-1195, CVE-2009-1955, CVE-2009-1956を修正します。
  • CVE-2009-0023CVE-2009-1955CVE-2009-1956は、すべて上述のapr-util由来の問題です。脆弱性の内容はapr-utilのものを参照してください。いずれもUbuntu 6.06LTSにのみ影響します。
  • CVE-2009-1191は、mod_proxy_ajpの実装の問題により、サイズを偽装し、かつBODYのないリクエストを送出することで、直前にポストされたデータを送りつけたのと同じ振る舞いをさせることが可能な問題です。これにより重要なデータの漏洩が発生する可能性があります。この問題はUbuntu 9.04にのみ影響します。
  • CVE-2009-1195は、directoryディレクティブ内でAllowOverride Options=IncludesNoEXECを宣言した場合に、本来利用不可能になるべきでないSSI execが利用可能になってしまう問題です。この問題は8.04 lTS・8.10・9.04にのみ影響します。
  • 対処方法:通常の場合、アップデートのみで問題を解決できます。アップデート時にhttpdが一瞬再起動されるため、常時稼働している必要があるシステムでは注意してください。
usn-779-1:Firefox・Xulrunnerのセキュリティアップデート
usn-788-1:Tomcatのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-June/000917.html
  • Ubuntu 8.10・9.04向けのセキュリティアップデートがリリースされています。CVE-2008-5515, CVE-2009-0033, CVE-2009-0580, CVE-2009-0781, CVE-2009-0783を修正します。
  • CVE-2008-5515は、リクエストディスパッチャが一定の形式のリクエストを受け付けた場合、WEB-INFディレクトリ以下の本来隠されているべきファイルが外部に漏洩する問題です。詳細はtomcat-devでのアナウンスを参照してください。
  • CVE-2009-0033は、Java AJP connectorとmod_jkによるロードバランシングを併用している環境において、一定のパケットを受け付けることでサーバー応答が1分間停止する問題です。これにより外部からサーバーに対してDoSを仕掛けることが可能と考えられます。
  • CVE-2009-0580は、FORM認証を利用している環境において、無効なエンコーディングを施されたpasswordパラメータを含めたURLをリクエストすることにより、存在するユーザー名の推測が可能な問題です。
  • CVE-2009-0781は、Tomcatの配布物に含まれているカレンダー表示を行うサンプルアプリケーションの問題で、URLに不正な文字列を含めておくことで、クロスサイトスクリプティングが可能な問題です。比較的容易に悪用が可能と考えられます。
  • CVE-2009-0783は、Tomcat上でホストされるWebアプリケーションが、web.xml・context.xml・tldファイルを解釈する際、本来利用できないXMLパーサを呼び出して不正に使用できる問題です。
  • 対処方法:通常の場合、アップデートのみで問題を解決できます。

おすすめ記事

記事・ニュース一覧