Ubuntu Weekly Topics

2009年10月23日号9.10のRC・UWN#164・今週のセキュリティアップデート

9.10のRC

10月22日に、Ubuntu 9.10のRelease Candidateがリリースされました。Japanese RemixのRC版は、月曜日頃までにリリースできる予定です。RCは本リリースとは異なり、通常通りHTTP経由での入手も可能です。

リリースに際して致命的なバグは減りつつありますが、駆け込みでVT6330へのドライバが追加されたり[1]⁠、UECやEC2で使われるEC2カーネルのABI番号が300の大台に乗ったあげくにまだ問題があったりと、いつものリリース前のどたばたした光景が展開されています[2]⁠。ほとんどの作業者がリリース作業に集中しているため、Topicsでお伝えすべき事項も停滞しています。

なおRCと同じ10月22日(昨日)の時点で、Language Pack Translation(要するに「翻訳の〆切⁠⁠)を迎え、⁠開発」と呼べる作業の大半は終了しています。残りの一週間は、リリースに際して致命的なバグの修正と、⁠どうしても必要な変更」だけが行われることになります。

待ちきれない方のために、インストーラで表示されるスライドのプレビューもあります。

このまま順調に進めば、Ubuntu 9.10は「来週の今頃」にはリリースされている予定です。9.10はUbuntuの最初のリリース(4.10)を基点にすると、⁠5周年」にあたる記念のリリースとなります。皆様のご愛顧、ならびにバグ報告・利用報告に感謝を申し上げます。

IBM Smart Work

IBMとCanonicalの共同プロダクトとして、Ubuntuをベースにしたデスクトップ製品がリリースされます。詳細はIBMの製品ページを確認すると良いでしょう。基本的なデザインとしては企業向けのデスクトップ環境で、IBM製(Lotusブランド)企業向けソフトウェアを動かすためのOS製品、という位置づけです。

なお、Web上に出回っている幾つかの画像ファイルを確認した限りでは、Ubuntu Hardy(8.04)の壁紙にNetbook Launcherという構成のデスクトップ上で、Lotus Symphonyなどのソフトウェアを動かす、といったデザインのようです。

Ubuntu Weekly Newsletter #164

Ubuntu Weekly Newsletter #164がリリースされています。

その他のニュース

  • 今週のチュートリアル……はちょっとお休みで、Conkyの設定ファイル投稿大会になっています。Conkyの利用については、Japanese Teamの青木さんが翻訳されている前回のチュートリアルも併せて確認すると良いでしょう。
  • Ubuntu 9.10/32bitで4GB越えメモリを使うためにPAEカーネルをインストールする話題。9.10からは「linux-generic-pae」という、PAEを有効にした32bitカーネルが準備されており、⁠sudo apt-get install linux-generic-pae」を行うことで導入できます。CPUがPAEをサポートしており、かつBIOSにメモリリマッピングが正しく実装されていれば、32bit環境でも4GB(周辺機器のアドレス分を入れると約3GB)を越えるメモリも利用できるようになります。
  • Ubuntu 9.10でREvolution Rを使う話題。

今週のセキュリティアップデート

usn-848-1:Zopeのセキュリティアップデート
  • 現在サポートされている全てのUbuntu(6.06 LTS・8.04 LTS・8.10・9.04)用のアップデータがリリースされています。CVE-2009-0668, CVE-2009-0669に加えて、CVE IDが付与されていない脆弱性一件を修正します。
  • CVE-2009-0668は、Zopeがバックエンドで利用するZODB(Zope Object Database)で利用されるZEOネットワークプロトコルにおいて、データベースに悪意ある細工を施したデータを格納することで、任意のPythonコードが実行されるおそれがある問題です。Zope単独での利用であれば比較的安全ですが、ZODBを他のアプリケーションと共用している場合に問題が生じる可能性があります。
  • CVE-2009-0669もZODB関連の問題で、ZODB上に一定のデータを格納することで、認証を迂回される問題です。データベースCVE-2009-0668と同様に、他のアプリケーションと共用している環境で問題になります。
  • もう一つの問題は、Zopeの利用において、オブジェクトIDの上限が設定されていなかったため、これを悪用してサーバーのリソースを過剰に消費させることが可能なものです。悪用によりZopeベースのホストを機能停止に追い込むことができます。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-849-1:libsndfileのセキュリティアップデート
  • 現在デスクトップ向けのサポートが提供されている全てのUbuntu(6.06 LTS・8.04 LTS・8.10・9.04)用のアップデータがリリースされています。CVE-2009-1788, CVE-2009-1791を修正します。
  • CVE-2009-1788CVE-2009-1791は、libsndfileを利用してVOC形式CVE-2009-1788⁠・AIFF形式CVE-2009-1791の音声ファイルを再生する際にヒープバッファオーバーフローが発生する問題です。これにより、libsndfileを利用したアプリケーション(デスクトップ環境では広範囲にわたります)でVOCファイルを読み込んだ際、任意のコードの実行やアプリケーションのクラッシュが発生する問題です。
  • 対処方法:アップデータを適用した上で、セッションを再起動してください(一度ログアウトしてログインし直してください⁠⁠。

おすすめ記事

記事・ニュース一覧