Ubuntu Weekly Topics

2009年9月25日号Ubuntu 10.04 LTS “Lucid Lynx”・Hundred Paper cuts round 7~8・Ubuntu Magazine Japan・UWN#160

Ubuntu 10.04 LTS “Lucid Lynx”

先週お伝えした「次」のUDSのアナウンスに続いて[1]⁠、9.10の次のリリース、10.04のコードネームがマーク・シャトルワースによって発表されました

10.04は三度目のLTS[2]となり、⁠Lucid Lynx⁠⁠、あるいは慣例として形容詞部分だけを取って⁠Lucid⁠と呼ばれることになります。すでにリリーススケジュールも確定しており、Karmicのリリース後、約一ヶ月後の12月3日にはAlpha 1が予定されています。

この発表はAtlanta Linux Fest 2009で行われており、会場で公開されたビデオ映像が公開されています。なお、Atlanta Linux Festで行われたUbuntu関連のトピックスはWorksWithUの記事を参照してください。

“Lynx⁠(オオヤマネコ)がネコ科の大型肉食獣であるあたり、なにかへの対抗意識を感じなくもないですが、開発のキーワードとなるメッセージとしては、⁠The lynx likes to keep things in perspective, sticking to high ground. So do we.(Lynxは回りを見渡せる場所に居ることを好み、高い場所に居ようとする。そして、我々もそうする⁠⁠、⁠Speed is an essential ingredient in the attack of a lynx, and speed remains our goal.(スピードはLynxの攻撃の重要な要素である。そして、速度は我々の目標であり続けている⁠⁠」などが挙げられます。

また、⁠10秒での起動」も目標として発表レターに含まれており、Jaunty→Karmic→Lucidの3リリースに渡って行われてきた「起動の高速化」は、10.04 LTSでひとまずのゴールを迎えるはずです。

Ubuntu 10.04 LTS ⁠Lucid Lynx⁠は、来年4月29日にリリースされる予定です。

Hundred Paper cuts round 7~8

10.04のコードネームの宣言の一方、9.10の開発は真の佳境を迎えつつあります。先週の予告通り、9.10の目玉の一つ、Hundred Papar cutsの内容を見ていきましょう。Hundred Paper cutsは、Ubuntuの「ちょっとしたバグ」⁠すぐに直せそうなバグ)を修正するプロジェクトです。One Hundred Papercutsについては、2009年6月19日号2009年8月21日号を参照してください。

Round 7
Round 8

Ubuntu Magazine Japan

株式会社アスキー・メディアワークスより、日本語で読めるUbuntuの専門誌が創刊されることになりました[3]⁠。中身も当然Ubuntuの特集を中心にした、史上初のUbuntu専門誌Ubuntu Magazine Japan vol.01は来週火曜日、9月29日に全国の書店で発売予定です。価格は1100円+税で、特別付録に特製Ubuntuステッカーが付いています。

Ubuntu Weekly Newsletter #160

Ubuntu Weekly Newsletter #160がリリースされています。

その他のニュース

今週のセキュリティアップデート

usn-832-1:freeradiusのセキュリティアップデート
  • 8.04 LTSのアップデータがリリースされています。CVE-2009-3111を修正します。
  • CVE-2009-3111は、RADIUSデータの特定のアトリビュート値の解釈における問題で、文字列長としてマイナスの値を与えることでradiusdがクラッシュする可能性があります。以前にCVE-2003-0967として報告されていた問題が再発しています。RADIUSベースの認証系を構築しているシステムでは、場合によってはサービスに致命的な結果をもたらす可能性があります。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-833-1:kde4libs・kdelibsのセキュリティアップデート
  • 現在デスクトップ向けサポートが提供されている全てのUbuntu(8.04 LTS・8.10・9.04)用のアップデータがリリースされています。CVE-2009-2702を修正します。
  • CVE-2009-2702は、X.509証明書のSubject DNにヌル文字が含まれていることにより、ホスト名の検証を適切に実施しない問題です。同種の問題として、2009年8月21日号CVE-2009-2666の記述を参照してください。
  • 対処方法:アップデータを適用した上で、セッションをリスタート(一度ログアウトしてから再ログイン)してください。
usn-834-1:postgresql-8.1・postgresql-8.3のセキュリティアップデート
  • 現在サポートされている全てのUbuntu(6.06 LTS・8.04 LTS・8.10・9.04)用のアップデータがリリースされています。CVE-2009-3229, CVE-2009-3230, CVE-2009-3231を修正します。
  • CVE-2009-3229は、PostgreSQLのLOADコマンドにおいて、すでにロードされているモジュールを一度アンロードしてから再ロードしてしまう問題です。これにより、LOADコマンドを発行できる一般ユーザーによって、DBを停止させられてしまう可能性があります。セキュリティ的な脆弱性としてよりも、運用上の思わぬトラブルとして結実する恐れが高いでしょう。この問題は6.06 LTSには影響しません。
  • CVE-2009-3230は、一般ユーザーから発行されるRESET SESSION AUTHORIZATION・RESET ROLEの取り扱いの問題により、一般ユーザーから管理者ユーザーへの権限昇格が可能になるものです。この問題は、usn-568-1で修正されたCVE-2007-6600の修正が不完全だったために発生しました。
  • CVE-2009-3231は、PostgreSQLのLDAPサポートの問題で、anonymous bindが有効に設定されていると、空のパスワードで認証を通過できてしまう問題です。この問題は6.06 LTSには影響しません。
  • 対処方法:通常の場合、アップデータを適用することで問題が解決できます。アップデート時にPostgreSQL関連のプロセスが再起動される可能性があるため、適用タイミングに注意してください。
usn-835-1:neon・neon27のセキュリティアップデート
  • 現在サポートされている全てのUbuntu(6.06 LTS・8.04 LTS・8.10・9.04)用のアップデータがリリースされています。CVE-2008-3746, CVE-2009-2474を修正します。
  • CVE-2008-3746は、neonが提供するHTTP(含WebDAV)の実装において、ダイジェスト認証を行う際にヌルポインタ参照が発生し、neonを用いるアプリケーションがクラッシュする問題です。
  • CVE-2009-2702は、X.509証明書のSubject DNにヌル文字が含まれていることにより、ホスト名の検証を適切に実施しない問題です。同種の問題として、2009年8月21日号CVE-2009-2666の記述を参照してください。
  • 対処方法:通常の場合、アップデータを適用することで問題が解決できます。アプリケーションの実装によっては、アプリケーション単位での再起動が必要になるかもしれません。
usn-836-1:WebKitのセキュリティアップデート
  • 8.10・9.04用のアップデータがリリースされています。CVE-2009-0945, CVE-2009-1687, CVE-2009-1690, CVE-2009-1698, CVE-2009-1711, CVE-2009-1712, CVE-2009-1725を修正します。
  • CVE-2009-0945は、WebKitに含まれるSVG画像レンダリングエンジンのSVGListオブジェクトの取り扱いに問題があり、悪意ある細工が施されたSVG画像を読み込ませることで、任意のコードの実行が可能になる問題です。これにより、ブラウザなどでSVG画像を表示させることにより、ユーザーの権限で悪意あるコードを実行させることが可能です。
  • CVE-2009-1687, CVE-2009-1690, CVE-2009-1698, CVE-2009-1711, CVE-2009-1725は、いずれもWebKitのブラウザエンジン・JavaScriptエンジンに含まれる問題で、悪意ある細工の施されたHTML・JavaScriptを読み込ませることで任意のコードの実行が可能になる問題です。ブラウザ経由の攻撃が可能と考えられます。
  • CVE-2009-1712はWebKitに含まれるJAVAアプレットローダの問題で、悪意ある細工の施されたJAVAアプレットをロードするHTMLを読み込ませることで任意のコードの実行が可能になる問題です。ブラウザ経由の攻撃が可能と考えられます。
  • 対処方法:通常の場合、アップデータを適用した上でWebKitを利用するアプリケーションを再起動することで問題に対処できます。WebKitを利用するアプリケーションの代表例はEpiphany-webkitやMidoriです。

おすすめ記事

記事・ニュース一覧