Ubuntu Weekly Topics
2010年4月23日号 10.04のリリース候補版・10.04の注意点・UWN#189
10. 04のリリースに向けた作業
10.
29日のリリースに向けて,
また,
10.
とは言うものの必須機能の一部はまだ完全な完成には至っておらず,
- 注1
- 10.
10で議論すべき (10. 04で大激論になった) 大物, 「ウインドウのボタン配置をどうするのか?」 問題など。ちなみに, 10. 04でボタンが左側に配置されたのは, 「いずれウインドウの右側に, 他のOSには存在しない画期的な新機能を搭載するため」 とされていますが, 具体的な新機能はこれからアイデア募集, という状態です。10. 04をインストールして, ウインドウの右側の空き空間に入れるべき画期的新機能を思いついた場合, フィードバックしておくと 『GUIにおけるウインドウデザインの常識を変えた人物』 としてユーザーインターフェース設計の歴史に名前が残る可能性があります (要英語力;))。 - 注2
- 日本語環境をインストールする際,
poppler-dataを自動的に導入するための依存関係がまだ設定されていません。技術的には, Ubuntuにおける 「各国語環境をサポートするためのパッケージ」 であるlanguage-supportパッケージ群のうち, 日本語環境にあたるlanguage-support-ja-*のいずれかにpoppler-dataへのDepends:またはSuggests:を設定することで実現される予定です。最悪の場合, リリース時点では問題は解決されず, リリース後にパッケージをアップデートして依存関係を追加する形で自動的にインストールする形となる可能性もあります。
10. 04 における注意点
10.
ウインドウのボタン配置
Ubuntuでは,
KMSの副作用
9.
各種デーモンがUpstartジョブになった
10.
また,
HALがなくなった
10.
特に影響があるのは,
Ubuntu Weekly Newsletter #189
Ubuntu Weekly Newsletter #189がリリースされています。
その他のニュース
- Webベースのapt-lineジェネレータが10.
04に対応しました。 - GoogleのGo言語をUbuntuで使う方法。
- 8.
04LTSから10. 04LTSへのアップグレードをThinkpad T60で試した人のレポート。 - Nautilus Elementary
(Ubuntu標準で使われているファイルマネージャであるNautilusの改変版) のインストール方法。
今週のセキュリティアップデート
- usn-928-1:sudoのセキュリティアップデート
- サポート終了間際の8.
10を含む, 現在サポートされている全てのUbuntu (6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04・ 9. 10) 用のアップデータがリリースされています。LP#563963で報告された問題を修正します。 - sudoに含まれるsudoeditコマンドがコマンドを実行する際,
PATH環境変数に 「.」 だけが含まれており, かつsecure_ path指定とignore_ dot指定が行われていない場合, 実行パス汚染によって, カレントディレクトリにある意図しないコマンドが実行されてしまう問題がありました。ただし, Ubuntuの標準ではsecure_ path指定が行われており, かつsudoeditを意図せず利用する可能性はないため, 設定の変更後にsudoeditによる編集をユーザーが行わない限り, 深刻な問題にはつながらないと考えられます。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- サポート終了間際の8.
- usn-890-6:CMakeのセキュリティアップデート
- Ubuntu 8.
04 LTS・ 8. 10・ 9. 04用のアップデータがリリースされています。CVE-2009-3560, CVE-2009-3720を修正します。いずれもusn-890-1で修正されたexpatの問題の, CMakeへの適用です。2010年1月29日号を併せて確認してください。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- Ubuntu 8.
- usn-929-1・
usn-929-2:irssiのセキュリティアップデート - Ubuntu 8.
04 LTS・ 8. 10・ 9. 04・ 9. 10用のアップデータがリリースされています。CVE-2010-1155, CVE-2010-1156を修正します。 - CVE-2010-1155は,
irssiがIRCサーバーとSSL接続を行う際, 対象サーバーのホスト名とSSL証明書のSubjectが一致することを確認していない問題です。これにより, SSLによる接続の保護がほぼ無意味になっていました。 - CVE-2010-1156は,
irssiのチャンネルからの退出時の処理に問題があり, NULLポインタ参照が発生する問題です。これによりirssiがクラッシュする可能性があります。 - これらの修正に加えて,
SSLv3とTLSv1のサポートが追加され, 同時にSSLv2のサポートが打ち切られています。 - 備考:当初対策版として公開されたバージョンは誤ってproxyのホスト名でSSL検証を行ってしまい,
結果としてproxy越しのSSL接続に必ず失敗する問題があったため, usn-929-2で修正版に差し替えられています。 - 対処方法:アップデータを適用した上で,
irssiを再起動してください。
- Ubuntu 8.
- usn-931-1:FFmpegのセキュリティアップデート
- Ubuntu 8.
04 LTS・ 8. 10・ 9. 04・ 9. 10用のアップデータがリリースされています。CVE-2009-4632, CVE-2009-4633, CVE-2009-4634, CVE-2009-4635, CVE-2009-4637, CVE-2009-4639, CVE-2009-4640を修正します。 - いずれの問題も,
FFmpegが処理する対象ファイルに関連するものです。悪意ある加工が施された対象ファイルを開くことで, 任意のコードが実行される恐れがあります。システム外からダウンロードなどでマルチメディアファイルを入手し, それをFFmpegで加工する場合に問題となる可能性があります。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- Ubuntu 8.
- usn-932-1:KDMのセキュリティアップデート
- Ubuntu 8.
10・ 9. 04・ 9. 10用のアップデータがリリースされています。CVE-2010-0436を修正します。 - CVE-2010-0436は,
KDMがソケットをユーザー所有の場所に生成するため, ローカルユーザーがソケット格納ディレクトリの削除を阻害しつつ, かつKDMによるファイル生成とのレースコンディションを発生させることにより, システム上の任意のファイルのパーミッションにo+wの付与が可能な問題です。これにより, システム上の重要なファイルの書き換え (≒root権限の奪取) が可能です。 - 対処方法:アップデータを適用した上で,
システムを再起動してください。
- Ubuntu 8.
バックナンバー
Ubuntu Weekly Topics
- 2010年4月30日号 10.04のリリース・日本語Remixのリリース予定・10.04の注意点(2)・UWN#190
- 2010年4月23日号 10.04のリリース候補版・10.04の注意点・UWN#189
- 2010年4月16日号 10.04のFinal Freeze・10.04 Japanese Remix Beta2・UWN#188
- 2010年4月9日号 Ubuntu 10.10 “Maverick Meerkat”・“ST1.5”とARM向けUbuntu・10.04の開発状況・8.10のEoL・UWN#187
- 2010年4月2日号 10.04の開発状況・LucidのPaper Cuts(5)・FCM#35・UWN#186
関連記事
- 2010年11月5日号 UDS終了・11.04の見通し・10.04向け2.6.35カーネル・Firefoxのセキュリティアップデート
- 2010年9月3日号 GwibberのOAuth対応・Magic trackpadのドライバ・10.10のBeta・10.10のPapercuts(3)・UWN#208
- 2010年8月20日号 “Natty Narwhal”・10.04.1のリリース・uTouch・jobs-admin・Count Down Banner募集・オフライン「プレ」ミーティングKansai 10.08
- 2010年7月30日号 10.10の翻訳開始・ACPIバグの検出・カーネルの686化・10.10のPapercuts(2)・Dellの10.04マシン・OSC名古屋・UWN#203
- 2010年7月23日号 10.04.1リリース延期・OneConf・SSLv2サポートの根絶・UWN#202・libvteのセキュリテイアップデート