Ubuntu Weekly Topics
2009年7月31日号 サーバーの電力効率・initramfsの高速化・UWN#152・Firefoxとkernel,bindのアップデート
9.10関連
サーバーの電力効率
近年のデータセンター運用では,
9.
AtomやARMへの対応については大規模データセンター
- 注1
- Condor・
mpich2のいずれも並列クラスタ, とくにマルチユーザーHPC環境でよく使われるソフトウェアです。
initramfsの高速化アプローチ
Ubuntu 9.
このブート時間の短縮の一環として,
このアプローチでinitramfsの削減
これにより,
なお,
- 注2
- 10.
04で 「標準的な環境」 で10秒での起動が目標となっています。9. 10では具体的な数字での目標設定はされていませんが, 「10. 04までの過程のひとつ」 としてリリースされる予定です。 - 注3
- Ubuntuでは2005~2008年頃までの歴史的経緯により,
initramfsが極端に多機能化かつ肥大し, ブート時間を長くする原因となっていました。9. 04でかなりの部分がinitramfsから除去されたため, 劇的に高速しています。 - 注4
- initramfs部分だけの話で,
ブート全体が4秒から2. 5秒に短縮されたわけではありません。
Ubuntu Weekly Newsletter #152
Ubuntu Weekly Newsletter #152がリリースされています。
その他のニュース
- VirtualBox上でUNR 9.
10をテストするためのTipcs 。 - Ubuntu
(GNOME) のデスクトップ環境で, 様々な機能をLockdown (封印) するための方法。 - Ubuntu 9.
04でApache2+PHP5のLAMP環境を作成する, 非常に簡単なHowTo記事。 - 9.
04環境でBackerUpperを用いてスナップショットバックアップを取得する方法。 - オーディオプレイヤーアプリケーションであるqmmpと audaciousの比較を行ったblog記事。Ubuntu環境をオーディオプレイヤーとして使う場合に参考になるでしょう。
- 同じく,
各種オーディオプレイヤーをざっと評価した記事。 - cups-pdfパッケージの作者が語る,
「自分が作成したパッケージがUbuntu Desktopで重要な役割を果たすようになるまで」 という回顧録。 - 今週のチュートリアル。Firefoxのチューニングと題して,
Firefoxの各種設定・ Tipsのまとめが作成されています (注5)。
- 注5
- 一部,
HTTPパイプラインの過剰に増やす・ IPv6を無効化するといった, 完全にはお勧めできないTipsも含まれています。
今週のセキュリティアップデート
Linuxカーネルならびにpythonのセキュリティアップデートが行われています。ほとんどのユーザーがアップデートするべきですが,
同時に,
また,
- usn-798-1:Firefox・
Xulrunnerのセキュリティアップデート - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-July/ 000937. html - Ubuntu 8.
04 LTS・ 8. 10・ 9. 04用のアップデータがリリースされています。Firefox 3. 0.12に相当するアップデートです。CVE-2009-2462, CVE-2009-2463, CVE-2009-2464, CVE-2009-2465, CVE-2009-2466, CVE-2009-2467, CVE-2009-2469, CVE-2009-2472を修正します。 - アップデート内容は,
mozilla-japan. orgのセキュリティアドバイザリ を確認してください。 - 対処方法:アップデータを適用した上で,
Firefox (またはXulrunnerを利用するアプリケーション) を再起動してください。 - 備考:6.
06LTSで利用されているFirefox 1. 5にも同質の問題が存在する可能性がありますが, 6. 06LTSのデスクトップ向けパッケージはすでにEOLしているため, アップデータは提供されません。デスクトップ環境として6. 06 LTSを利用している場合, 8. 04 LTSへのアップグレードまたは9. 04の新規インストールを行ってください。
- https://
- usn-806-1:Pythonのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-July/ 000938. html - 6.
06 LTS・ 8. 04 LTS・ 8. 10用のアップデータがリリースされています。CVE-2008-4864, CVE-2008-5031を修正します。 - CVE-2008-4864はpythonパッケージに含まれるimageopモジュールの問題で,
imageop. cropの引数に不当な値を与えると, 整数オーバーフローが発生し, バッファオーバーフローを発生させるものです。これにより, 攻撃者による任意のコードの実行, またはDoS (アプリケーションのクラッシュ) を発生させられると考えられます。この問題は8. 04 LTSにのみ影響します。 - CVE-2008-5031はpythonパッケージに含まれるstringobject・
unicodeobjectの問題で, expandtabsに不正な値を与えることで整数オーバーフローが発生し, バッファオーバーフローを発生させるものです。これにより, 攻撃者による任意のコードの実行, またはDoS (アプリケーションのクラッシュ) を発生させられると考えられます。 - 対処方法:アップデータを適用した上で,
システムを再起動してください。UbuntuではPythonは多くのシステムコンポーネント内で利用されており, 厳密な適用のためには再起動が必要となります。 - 備考1:9.
04・ 9. 10開発版はすでにアップデートされたパッケージが導入されています。 - 備考2:CVE-2008-4864, CVE-2008-5031ともに,
詳細情報としてCESA-2008-008を参照してください。
- https://
- usn-807-1:Linux kernelのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-July/ 000939. html - 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04) 向けのアップデータがリリースされています。CVE-2009-1389, CVE-2009-1895, CVE-2009-2287, CVE-2009-2406,CVE-2009-2407を修正します。 - CVE-2009-1895は,
setuid/ setgidされたバイナリの実行時, 権限のマスク指定がREAD_ IMPLIES_ EXEC|ADDR_ NO_ RANDOMIZEになってしまっている問題です。このことにより, (カーネルのNULLポインタ参照からの保護機構を回避した) NULLポインタ参照を利用したexploitの実行・ mmap_ min_ addrによるmmap可能なアドレス制限の回避 (による不正なライブラリのロード+コードの実行) が可能になり, 結果としてroot権限で不正なコードを実行される可能性が生じます。6. 06 LTSはこの問題の影響を受けません。 - CVE-2009-2287はKVMの脆弱性で,
KVM内のマシンからkvm_ arch_ vcpu_ ioctl_ set_ sregsを用いてCR3レジスタに不正な値を投入することが可能なため, NULLポインタ参照が発生し, システムがクラッシュする問題です。 - CVE-2009-2406・
CVE-2009-2407はいずれもeCryptfsのバッファ長チェックの問題で, 悪意ある加工を施したeCryptfsファイルを読み込ませることで, システムのクラッシュ, あるいは権限の昇格を発生させることが可能なものです。6. 06 LTSには (eCryptfsが搭載されていないので) 影響しません。 - 対処方法:アップデータを適用の上,
システムを再起動してください。 - 備考:9.
04 ・8. 10 については,このセキュリティアップデートの直後により新しいカーネルパッケージのリリースが準備されています。厳密な運用を行っている場合, アップデートされるパッケージに注意してください。 - 注意:9.
04でのアップデートは, ABIの変更を伴います。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるので, 通常はそのままアップデートを適用しても問題ありません。もしも自分でコンパイルしたカーネルモジュールを利用している・ 独自のカーネルモジュールパッケージを利用している場合, それらのモジュールの再コンパイルまたはアップデートが必要です。 - CVE-2009-1389は,
Realtek RTL8169 Gigabit Ethernetチップのドライバの問題により, JumboFrame対応と謳っているにも関わらず, MTUサイズが1500を超えるパケットを受け取るとが発生し, カーネルがクラッシュする問題です。ping -S 1501などでクラッシュするため, セキュリティ上の問題だけでなく, JumboFrameの実利用においても致命的と考えられます。
- https://
- usn-808-1:bindのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-July/ 000940. html - 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04) 用のアップデータがリリースされています。CVE-2009-0696を修正します。攻撃コードがすでに存在します。 - CVE-2009-0696は,
不正なdnsupdateパケットを受け取った場合に, bindのプロセスがクラッシュする問題です。これによりDNSサーバの動作を阻害することが可能です。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。適用時にbindが再起動されますので, 高い可用性が求められるホストではアップデートタイミングに注意してください。 - 備考1:この脆弱性は,
dnsupdateパケットを受け付けるようにbindが設定されているか否かに関係なく影響します。 - 備考2:アップデータの適用が困難である場合,
Debian bug#538975のコメント#19にあるiptablesないしそれに相当するパケットフィルタを行うことで, 問題の一時的な回避が可能です。ただし, dnsupdateパケットを受け付けられなくなりますので, 動的な更新が必要なサービスの正常な維持にはアップデートが必須です。
- https://
バックナンバー
Ubuntu Weekly Topics
- 2009年7月31日号 サーバーの電力効率・initramfsの高速化・UWN#152・Firefoxとkernel,bindのアップデート
- 2009年7月24日号 オフラインミーティングTokyo 9.08・Launchpadのオープンソース化・9.10のAlpha3と翻訳作業開始・UWN#151
- 2009年7月17日号 8.04.3のリリース延期・9.10のARMサポート・UWN#150・PowerNap・Hundread Paper Cuts Round 2
- 2009年7月10日号 6.06LTSのEOL・8.04.3のリリース・Canonicalによるクラウドコンピューティングのサポート・DRBDの安定版・UWN#149・カーネルのセキュリティアップデート
- 2009年7月3日号 9.10のDebian Import Freeze・OpenOffice.orgの日本語環境改善拡張機能・Firefox 3.5・UWN#148・Full Circle Magazine #26