Ubuntu Weekly Topics
2009年10月9日号 9.10のI/Oスケジューラ・Ubuntu Oneの有償プラン・Full Circle Magazine#29・UWN#162・GLibのセキュリティアップデート
この記事を読むのに必要な時間:およそ 3 分
9.10の進捗
Betaのリリースが現地時間10月1日に行われて以降,
試すマシンがない方は,
- 注1
- とはいえ,
既にEucalyptus (Ubuntu Enterprise Cloud) はテストケース通りに動作しており, マシンさえ準備できれば非常に手軽にAmazon EC2互換環境を構築できるようになっています。Betaに駆け込みで間に合わせた機能ではあるので, RCまでの間にUEC Image (Eucalyptusで使うOSイメージ) も含めた, テストと微調整が必要ではあります。
I/Oスケジューラの変更・ふたたび
……というベータリリース後なのですが,
- 注2
- 先週のUbuntu Weekly Topicsも参照してください。
Ubuntu Oneの有償プラン
Ubuntu Oneの有償プランが開始されました。この種のオンラインストレージサービスの相場からはやや外れていますが,
また,
Full Circle Magazine#29
Ubuntuに関する記事を集めた月刊のWebマガジンであるFull Circle Magazineの29号がリリースされています。主な内容は次の通りです。
- ターミナル操作のすすめ。今回はxmodmapを利用したキーアサインの変更方法です。
- HowTo: Pythonを使ったプログラミング,
第三回。今回はPythonの数値計算と, テキストベースの 「枠」 を作り, その中に各種項目を表示するための方法についてです。 - HowTo: LAMPサーバ構築の第二回。今回はFTPとファイアウォール・
PHPからのメール送信のための基本的なセットアップを学びます。 - HowTo: PPTPを用いたVPNのセットアップ。
などなど
Ubuntu Weekly Newsletter #162
Ubuntu Weekly Newsletter #162がリリースされています。
その他のニュース
- 新しいCommunity Councilが決定しました。
- 「Conky Google Calendar Python Script」
の日本語翻訳版, Google CalendarとConkyを繋げよう。 - 9.
10 BetaでDropboxをtar. gzからコンパイルして利用する 方法。 - WindowsキーでUbuntuの
「アプリケーション」 方法。メニューを開く
今週のセキュリティアップデート
今週のセキュリティアップデートは次の通りです。ほとんどのデスクトップユーザーにとっては,
- usn-839-1:Sambaのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-October/ 000976. html - 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04) 用のアップデータがリリースされています。CVE-2009-1886, CVE-2009-1888, CVE-2009-2813, CVE-2009-2906, CVE-2009-2948を修正します。 - CVE-2009-2813は,
「homes」 に対する共有が有効になっている環境において, ユーザーのホームディレクトリが存在しない場合に, 接続したユーザーがファイルシステム上の全ファイルにアクセスできる (/がホームとして扱われてしまう) 問題です。 - CVE-2009-2906は,
smbdが一部のネットワーク応答を正しく取り扱わないことにより, 特定の応答パケットが返された場合に, CPUリソースを異常消費してしまう問題です。これによりSambaサーバを提供しているマシンをサービス不能に追い込むことが可能でした。 - CVE-2009-2948は,
sambaに付属するmount. cifsプログラムにおいて, mount. cifsがsetuidされている場合に, 認証情報の有効性を検証せずにアクセス権を付与してしまう問題がありました。これにより, 重要な認証情報が含まれたファイルをユーザーが読み取ることが可能でした。 - CVE-2009-1886はSambaクライアント
(smbclient) のファイル名の取り扱い上の問題で, 細工の施されたファイル名を取り扱わせることで, smbclientのクラッシュを引き起こすことが可能です。この問題は本来任意のコード実行が可能な重篤なものですが, Ubuntuの場合はAppArmorにより, この攻撃方法で受ける被害は限定的なものに留められています。この問題はUbuntu 8. 10のみに影響します。 - CVE-2009-1888は,
Sambaの (デフォルトではない) オプションのひとつであるdos filemodesが有効な場合に, ファイルアクセスの制御が正しく適用されない問題です。これにより, 本来持っていない権限でのファイルの読み書きが可能になるおそれがあります。この問題はUbuntu 8. 10・ 9. 04にのみ影響します。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決することができます。
- https://
- usn-840-1:OpenOffice.
orgのセキュリティアップデート - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-October/ 000977. html - 現在デスクトップ向けのサポートが提供されている全てのUbuntu
(8. 04LTS・ 8. 10・ 9. 04) 用のアップデータがリリースされています。CVE-2009-0200, CVE-2009-0201, CVE-2009-2139を修正します。 - CVE-2009-0200, CVE-2009-0201は,
OpenOffice. orgのWordファイルを開くためのフィルタの問題で, Word形式ドキュメントに含まれる段組の処理において, 任意のコードの実行ないしクラッシュが発生する可能性があるものです。これにより, 悪意ある細工を施したWordドキュメントを経由して, OpenOffice. orgを実行しているユーザーの権限で任意のコードを実行できる可能性があります。 - CVE-2009-2139は,
OpenOffice. orgがEMFファイルを開く際の問題です。任意のコードの実行ないしクラッシュが発生する可能性がありました。 - 対処方法:アップデータを適用した上で,
OpenOffice. orgを再起動してください。
- https://
- usn-841-1:GLibのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-October/ 000978. html - 現在デスクトップ向けのサポートが提供されている全てのUbuntu
(8. 04LTS・ 8. 10・ 9. 04) 用のアップデータがリリースされています。CVE-2009-3289を修正します。 - CVE-2009-3289は,
GLibを利用したアプリケーション (Nautilusファイル・ マネージャなど) において, シンボリックリンクが正しく扱われない問題です。これにより, Nautilusなどでコピーを行った際に, シンボリックリンクの対象ファイルが全ユーザーから書き込み可能に変更されてしまい, 他のローカルユーザーが重要なデータを侵害できる可能性がありました。 - 対処方法:アップデータを適用した上で,
セッションを再起動 (一度ログアウトしてから再度ログイン) してください。
- https://
- usn-842-1:wgetのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-October/ 000979. html - 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04) 用のアップデータがリリースされています。CVE-2009-3490を修正します。 - CVE-2009-3490は,
CVE-2009-2700と同質の, ヌル文字を含むSSL証明書を正しく解釈できない問題です。問題の概要は2009年9月18日号等を参照してください。 - 対処方法:通常の場合,
アップデータを適用することで問題を修正できます。
- https://
- usn-843-1:BackupPCのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-October/ 000980. html - 現在デスクトップ向けのサポートが提供されている全てのUbuntu
(8. 04LTS・ 8. 10・ 9. 04) 用のアップデータがリリースされています。CVE-2009-3369を修正します。 - CVE-2009-3369は,
BackupPCの実装上の問題により, ClientNameAliasパラメータを一般ユーザーが制限なく変更できてしまう問題です。これにより, 管理者が意図したアクセス制御を回避してBackupPCにアクセスし, 他のホストのデータにアクセスすることが可能でした。 - 対処方法:通常の場合,
アップデータを適用することで問題を修正できます。
- https://
バックナンバー
Ubuntu Weekly Topics
- 2009年10月30日号 9.10のリリース・オープンソースカンファレンス2009 Tokyo/Fall・カーネルのセキュリティアップデート
- 2009年10月23日号 9.10のRC・UWN#164・今週のセキュリティアップデート
- 2009年10月16日号 9.10のリリースフリーズ・UECのテストとアプライアンスイメージ・Japanese Remixの配布方法・UWN#163・Ubuntu Open Week
- 2009年10月9日号 9.10のI/Oスケジューラ・Ubuntu Oneの有償プラン・Full Circle Magazine#29・UWN#162・GLibのセキュリティアップデート
- 2009年10月2日 9.10ベータ・Hundred Paper cuts round 9~10・Ubuntu Moblin Remix Developer Edition・UWN#161