6.06LTS DesktopのEOL

まもなくUbuntuの最初のLTSであるDapperのデスクトップ部分がEOLを迎えます。7月14日以降、6.06のデスクトップ関連のセキュリティアップデートは行われません。

ただし、「⁠main」のうちServerに必要なものはあと2年サポートが継続されます。現在Dapperをデスクトップ用途で利用している場合、8.04LTS（Hardy）へのアップグレードを行ってください。

8.04.3のリリース

8.04系のポイントリリース（メンテナンスリリース）が、7月9日（現地時間。日本時間では本日7月10日）に行われる予定です。これは、「⁠あらかじめアップデートを適用した8.04」で、8.04環境を構築する際、アップデートの手間を省くために利用します[1]⁠。主なバグフィックス内容はLaunchpadを参照してください。

なお、Hardyのポイントリリースとして、2010年1月21日に8.04.4が計画されています[2]⁠。

※2009年7月16日追記：予定が変更され、8.04.3のリリースは7月16日（現地時間）に延期になりました。

9.10関連

今週の9.10関連には大きな動きはありませんが、9.10の開発版を追いかけている場合、GDMのアップデート時にシステム破壊が起きる可能性があるので注意してください。具体的には、7月3～6日（金～月）までの間にgdmパッケージをアップデートし、「⁠2.26.1-0ubuntu3」が導入されている場合、GUIからのアップデートは行わないでください。アップデート中にGDMが誤ってkillされるため、不完全な状態でアップデート作業が中断されます。

該当する場合、コンソールセッションから「sudo apt-get dist-upgrade」を実行し、GUIを介さずにアップデートを行ってください。問題のバージョン以外のgdmを使っている場合は影響をうけません。

Canonicalによるクラウドコンピューティングのサポート

9.10が注力するテーマの一つとして「クラウドコンピューティング」があります。これはEucalyptus（9.04でプレビュー的に導入されています）を中心にした、Amazon EC2互換のプライベートクラウド構築機能として実現される予定です。

このことに関連して、Ubuntuのスポンサー 兼 商用サポート提供企業であるCanonicalが、Ubuntu Serverを用いたクラウド構築の各種商用サービスを開始しています。なお、サービスの一部はUbuntu Enterprise Clowdとして現時点でも利用可能です。

DRBDの安定版

Linuxには「DRBD（Distributed Replicated Block Device⁠）⁠」という分散ストレージ機構があります。これは、複数台のサーバーで互いのHDDをネットワーク越しにミラーリングし、耐障害性を高める仕組みです（⁠「⁠ざっくり」と表現すると、「⁠ネットワーク越しに動作するRAID1」だと思って構いません⁠）⁠。DRBDを利用することで、耐障害性を備えたDBやSambaサーバなどを提供することが可能です。

Ubuntuでは、Ubuntu HA（High Availability）チームにより、9.10からDRBD関連の機能が明示的にテストされ、正式な機能の一部として機能するようになる予定です。これに関連して、DRBDの安定版PPAリポジトリが公開されています。6.06LTSを含む、現在サポートされている全てのUbuntu（6.06LTS・8.04LTS・8.10・9.04）と、9.10で利用可能です。基本的な機能はテストされていますが、本番環境で使う前にはテストを済ませた方がよいでしょう。

オープンソースカンファレンス2009 Kansai

Ubuntu Japanese Teamは、7月10日(金)・11日(土)に京都コンピュータ学院で開催される、オープンソースカンファレンス2009 Kansaiに参加します。Japanese Teamの主要メンバがブースを出展していますので、お近くの方は是非起こしください。SmartQ5・SheevaPlug・OpenRD-ClientなどのARMデバイスや、Ubuntu 9.10のアルファ版をインストールしたノートPC、そしてもちろん、9.04を導入したデモPCなどを準備してお待ちしております。会場は京都駅そばですので、関西方面からのアクセスが容易と思われます。

なお、Japanese Teamが関連するイベントとしては、8月1日(土)に、広瀬電工株式会社様の会場提供のもと、東京・秋葉原でオフラインミーティング 9.08を行う予定です。現在参加者ならびに、インストールパーティのスタッフ、セミナのプレゼンテーターなどを募集中です。

Ubuntu Weekly Newsletter #149

Ubuntu Weekly Newsletter #149がリリースされています。

その他のニュース

• Translation Teamのミーティング。Ubuntuの翻訳品質をどのように維持するのか、といった翻訳関連の議題が挙げられています。
• Wubi for Macのモックアップ的な スクリーンショット。
• Dell Mini9のちょっと新しい使い方。
• （おそらく）Karmicで利用できるようになる、GNOME Colorsのプレビュー。
• AppArmorは無効にしてはいけない、という魂の叫び。
• JauntyでPHP5.3を使う方法。
• JauntyでSquid（HTTPプロクシ）+DansGuardian（アンチウイルスプロクシ）+ClamAV（アンチウイルス）環境を構築し、WPAD（Web Proxy Auto-Discovery Protocol;クライアントに自動的にプロクシの所在を通知・設定するもの）を使う方法。

今週のセキュリティアップデート

カーネルのセキュリティアップデートがリリースされています。利用している機能・ハードウェアによっては影響がない可能性もありますが、影響の有無が判断できない場合はアップデートを行い、システムを再起動するのが良いでしょう。

ただし、8.04と8.10を使っている場合、これまでのカーネルとABIが異なるため、カーネルモジュールのアップデート・再構築が必要になるかもしれません。

usn-793-1：Linux kernelのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-July/000925.html
• 現在サポートされている全てのUbuntu（6.06 LTS・8.04 LTS・8.10・9.04）用のアップデータがリリースされています。各カーネルで発見された脆弱性を修正します。
• 対処方法：通常の場合、アップデータを適用した上で再起動を行うことで問題を解決できます。
• 注意：Ubuntu 8.04と8.10のアップデートは、ABIの変更を伴います。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるので、通常はそのままアップデートを適用しても問題ありません。もしも自分でコンパイルしたカーネルモジュールを利用している・独自のカーネルモジュールパッケージを利用している場合、それらのモジュールの再コンパイルまたはアップデートが必要です。
• CVE-2009-1072はUbuntu 8.10・9.04にのみ影響します。root_squashオプション付きでNFS領域をマウントしている際、マウントされた領域内での権限チェックが適切に行われず、一般ユーザでもデバイスノードを作成することが可能でした。このデバイスノードは読み込み権限が付与されているため、意図的にデバイスノードを作成することにより、カーネル上の秘匿されるべき情報にアクセスすることが可能です。
• CVE-2009-1184は、Ubuntu 8.10・9.04でのみ影響します。SELinuxの機能であるcompat_netモード（compat_net=1）において、ネットワーク通信を行う権限のチェックが適切に行われず、SELinuxによる相手ノード・ポートの制限を迂回することが可能です。この問題はあくまでSELinuxによる制限の迂回であり、SELinuxを利用していない環境では影響はなく、かつ、SELinuxを利用しない場合よりも脆弱になるものではありません。
• CVE-2009-1192は、AGP接続のビデオカードのために利用されるサブシステムにおいて、ユーザー空間にメモリを割り当てる際、ゼロクリアせずにメモリを割り当ててしまう問題です。これにより、該当のメモリ空間をアプリケーションから読み出すことにより、その空間に以前に置かれていたデータを読み取ることが可能でした。
• CVE-2009-1242は、KVMを利用している際、Intel VT-xのVMXレジスタを利用して仮想マシンを動作させる時に適切なレジスタ管理を行っておらず、ゲストOSで特定の操作を行うことで、ホストOS上でKernel oopsを発生させることが可能な問題です。これはシステムを32bitで動作させている場合にのみ発生します。Ubuntu 6.06には該当の機能が搭載されていないため、影響を受けません。
• CVE-2009-1265は、アマチュア無線などで利用されるX.25プロトコルの実装の問題で、パケットに含まれるデータ長を検証せずに利用しているため、悪意ある攻撃者が細工したパケットを送りつけた場合、カーネル内にある、本来送付されるべきでないメモリイメージまで送出してしまう問題です。これにより、メモリ空間の一部が攻撃者に露呈し、何らかの秘匿すべきデータが漏洩する可能性があります。
• CVE-2009-1336はNFSv4の問題で、クライアント上できわめて長いファイル名が付けられたファイルをstatすることで、クライアントをクラッシュさせることが可能な問題です。この問題はUbuntu 6.06にのみ影響します。
• CVE-2009-1630もNFSv4の問題で、一定の条件下で+xされていないファイルを実行可能なものとして扱ってしまう問題です。これにより、不当な権限の昇格が可能です。
• CVE-2009-1337は、exit_notify()が送られた際に、誤ってCAP_KILL権限によって可否を判断していたために、setuidされたバイナリからシグナルを送出することで、不当にプロセスを停止させることが可能な問題です。悪用によりDoSが可能です。
• CVE-2009-1338はpid namespaceを利用している環境において、本来保持されるべき名前空間単位でのシグナル送出が、kill -1の実行時にのみ全てのプロセスに適用されてしまう問題です。悪用によりDoSが可能です。この問題はUbuntu 8.04にのみ影響します。
• CVE-2009-1360は、Network Namespace Support（NET_NS）を利用している環境において、特定のIPv6パケットを受信した際にハンドリングが正しく行われず、ヌルポインタ参照によるkernel panicが発生する問題です。この問題はUbuntu 8.10・9.04にのみ影響します。
• CVE-2009-1385は、Intel製Gigabit Ethernetチップの一部で利用されるe1000ドライバにおいて、MTUサイズに近いパケットを受け取った際、パケットの認証を誤って行い、その過程でkernel panicが発生する問題です。この問題を利用することで、インターフェースに指定されたMTU値に近似したパケットを連続して送出することでDoS攻撃が可能です。また、高負荷なネットワーク環境においては、安定性の問題として顕在化します。
• CVE-2009-1439はCIFSの問題で、悪意あるSMBサーバーに接続した際、レスポンスに含まれるファイル名フィールドに長い文字列が含まれていると、マウント時にクライアントがクラッシュする問題です。
• CVE-2009-1633もCIFSの問題で、悪意あるSMBサーバーに接続した際、レスポンスに含まれるファイル名フィールドにユニコード文字列が含まれている場合、ローカルファイルシステムの文字コードと揃える際の処理において、バッファオーバーフローが生じる問題です。DoSとして確実に機能し、また、理論的可能性として任意のコードの実行が可能と考えられます。
• CVE-2009-1914は、/proc/iomemが正しく初期化されていないため、ローカルユーザーによりDoSを発生させることが可能な問題です。この問題はUbuntu 6.06以外、かつ、SPARC環境のUbuntuにのみ影響します。
• CVE-2009-1961は、OCFS2（Oracle Cluster File System 2）ファイルシステムの問題で、splice処理が並列で実施された際、デッドロックが発生する問題です。OCFS2でフォーマットされた領域を利用しているローカルユーザーが意図的にDoSを発生させることが可能です。この問題はUbuntu 6.06には影響がありません。

usn-794-1：Perlのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-July/000927.html
• Ubuntu8.04 LTS・8.10・9.04用のアップデータがリリースされています。CVE-2009-1391を修正します。
• CVE-2009-1391は、Perlで利用されるCompress::Raw::Zlibの問題で、悪意ある加工が施されたzlib圧縮データストリームを展開する際、クラッシュが生じるものです。このクラッシュはヒープバッファオーバーフローにより発生するものですが、上書き可能な最大長は1バイトに限定されるため、任意のコードの実行は不可能と考えられます。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。 例外として、何らかの形でデーモンとして動作するソフトウェアがzlibを利用している場合、当該のプロセスを再起動する必要があります。これはspamassassinやamavisdが該当します。また、Compress::Raw::Zlibモジュールを何らかの形で利用するPerl製CGIを利用している場合、CGIのパフォーマンス向上のためにキャッシュ機能を利用している場合のみ、Webサーバーのプロセスを再起動する必要性が考えられます。

usn-795-1：Nagiosのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-July/000926.html
• Ubuntu8.04 LTS・8.10・9.04用のアップデータがリリースされています。CVE-2009-2288を修正します。
• CVE-2009-2288は、NagiosのWebインターフェースにおいてユーザーがsubmitしたコマンドを解釈する処理の問題です。これによりNagiosのコマンド操作を行えるユーザーが悪意ある操作を行った場合、OS上で任意のコマンドを実行される恐れがあります。通常はユーザー認証を行った上で、限定されたユーザーに提供すべきページであるため、正しく設定された環境ではリスクは小さくなると考えられます。
• 備考：8.04はnagios2、8.10・9.04はnagios3パッケージのアップデートです。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。 例外として、fastcgiなどのキャッシュ機能を提供するモジュールを併用している場合、Webサーバーのプロセスを再起動する必要があります。

usn-796-1：Pidginのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-July/000929.html
• Ubuntu8.04 LTS・8.10・9.04用のアップデータがリリースされています。CVE-2009-1889を修正します。
• CVE-2009-1889は、Pidginに含まれるICQプロトコルプラグインの問題で、ICQが利用する特定のメッセージを受け取った際、不完全なメッセージの解釈を行ってしまう問題です。これにより不定のタイミングでPidginがOut of Memoryエラーによりクラッシュします。これはサービス妨害のセキュリティ脆弱性よりも、ICQ機能の不安定さとして作用します。
• 対処方法：通常の場合、アップデータを適用した上で、Pidginを再起動することで問題を解決できます。

usn-797-1：tiffのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-July/000928.html
• 現在サポートされている全てのUbuntu（6.06 LTS・8.04 LTS・8.10・9.04）用のアップデータがリリースされています。CVE-2009-2285を修正します。
• CVE-2009-2285は、悪意ある細工の施されたTIFFイメージを開く際、libtiffがクラッシュする問題です。これはlibtiffを利用するアプリケーションのクラッシュとして顕在化します。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。ただし、libtiffを利用するアプリケーションがすでに起動し、アップデート前のlibtiffを読み込んでいる場合に備えて、念のため一度ログアウトすることを推奨します。