Ubuntu Weekly Topics

2011年2月4日号NattyのAlpha2・Unityのキーボードショートカット・Arhchive Rebuild・カーネルのセキュリティアップデート

Nattyの開発

Alpha2

Nattyの開発は2つ目のマイルストーンであるAlpha2に向けてフリーズが行われリリースされました。Freezeアナウンスは手動で行われているため、一週間ほど前にFreezeアナウンス(の時期を間違えたもの)が流れていますが、今回のものが正しいFreezeタイミングです。

ただし、開発作業上では影響の大きめなバグも起きています[1]⁠。最新状態にアップグレードすれば明示的な対処は不要ですが、NattyにはX Server 1.10も来ている[2]上にKernelも2.6.38系に切り替わっているため、⁠Xとkernel関連を避けつつ他のパッケージをアップグレードする」といった対処が必要になる可能性があります。十分な自信がなければ、ひとまずNatty環境は今週末は触らずにおいたり、仮想環境で試す、といった方法に切り替えた方が安全です。

なお、Nattyの開発には直接関係ありませんが、10.10(Maverick)でもX関連の問題が生じています。フォントのアンチエイリアス表示を利用していない環境に限定されますが、この現象の場合注:あくまで10.10環境の場合)は積極的にアップデートした方がよい状態です。

Unityのキーボードショートカット

CanonicalでUbuntu Community Teamに所属するJorge Castroの手でUnityのキーボードショートカット一覧の作成が開始されました。

すでにNattyを利用している場合、あるいは将来的にNatty(+Unity)環境への移行を予定している場合、操作を確認しておくと便利なはずです。

Archive test rebuild

UbuntuやDebianの開発過程では、⁠現在存在するパッケージが、きちんとビルドできるか確認する」ための、⁠archive rebuild」⁠archive test rebuild」と呼ばれる作業が行われることがあります。これは、パッケージ同士の複雑な依存関係や、ビルド時の挙動の変化・依存パッケージのバージョン変更、名称変更などによって発生する、⁠ビルド不能なパッケージ」⁠FTBFS; Fails To Build From Source)を見つけるための作業です。

たとえば、Aというライブラリパッケージに依存する「パッケージB」をビルドする場合、⁠Aのバージョンが古い間はビルドできていたが、Aのバージョンが上がったら上手くビルドできなくなった」という問題が起こることがあります。ところが「B」は既にビルド済みなのでわざわざビルドされることがなく、⁠B」がビルド不能になったことに誰も気付かないまま数ヶ月、などということが起こりえます。特に、ライブラリ「A」のABIに変化がない場合は「B」をリビルドする必要もないので、⁠ふと気付くとどうやってもビルドできないパッケージが存在していた」という厄介な事態を招くことになります。

こうした問題を防ぐため、定期的にパッケージ全体をリビルドしてみる作業が「archive rebuild」です。全パッケージをリビルドする関係上、大規模な計算資源を消費する必要があります。代表的なものはLucas NussbaumによるFTBFSリストですが、Nattyの開発においては、builddを用いたオフィシャルなrebuildが行われています。結果はこちら。FTBFSの解決は、比較的容易な物も含まれるため、ビルドシステムの勉強のために追いかけてみるのも良いかもしれません。なお、解決にチャレンジする場合は、Ubuntu Developerになるための簡単なガイドPackagingGuideも参照してください。

その他のニュース

  • GiftWrapを用いて.debパッケージを作成する方法。
  • Ubuntu 10.10をベースにした、Openboxによるデスクトップを提供するディストリビューションMadBox 10.10のレビュー。Openboxは軽量ウインドウマネージャの一種で、パワーに余裕のないPCでも「軽く」動作することが長所です。古めのPCやNetbookなど、非力な環境での利用に向きます。
  • UbuntuやDebianをベースにした「1ソフトウェア1イメージ」注3のリリース形態のディストリビューション、TurnKey Linuxの最新版、TurnKey Linux 11がリリースされています。
  • Natty環境にSkypeを導入する方法
  • GRUBを使わず、WBMを用いてWindows7とUbuntu 10.10のデュアルブートを構成する手順。
  • UbuntuでNICのbondingを行う手順

今週のセキュリティアップデート

usn-1052-1usn-1055-1:OpenJDK のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-January/001236.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-February/001238.html
  • Ubuntu 9.10・10.04 LTS・10.10用のアップデータがリリースされています。CVE-2010-4351, CVE-2011-0025を修正します。
  • CVE-2010-4351は、OpenJDKに含まれるIcedTea(ブラウザ用プラグイン)において、SecurityManager.checkPermission()関数が例外をスローした際、誤って権限が付与されているとみなしてしまう問題です。これにより、本来許可されていないコードの実行が可能です。
  • CVE-2011-0025は、JARファイルの署名検証ルーチンにおいて、本来不適切な署名として扱うべき署名情報をもとに、誤って権限を付与してしまう問題です。これにより署名検証が機能せず、実行許可が不正に付与させることが可能です。
  • 対処方法:アップデータを適用した上で、JAVAを利用するアプリケーション(アプレットを含む)やサービスを再起動してください。
  • 備考:usn-1055-1は、usn-1052-1の再リリースも兼ねています。usn-1052-1CVE-2010-4351を修正するものですが、10.10のARM版へのアップデータが含まれていませんでした。
  • 備考2:usn-1052-1にはCVE-2011-0025への対処が含まれていないため、すべての環境で適用が必要です。
usn-1053-1:Subversionのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-February/001237.html
  • 現在サポートされている、すべてのUbuntu(6.06 LTS・8.04 LTS・9.10・10.04 LTS・10.10)用のアップデータがリリースされています。CVE-2007-2448, CVE-2010-3315, CVE-2010-4539, CVE-2010-4644を修正します。
  • CVE-2007-2448は、リポジトリ上のアクセス制限された領域から制限のない領域にコピーを行った場合に、メタデータ情報へのアクセス制御が失われる問題です。
  • CVE-2010-3315は、mod_dav_svnにおいてSVNPathAuthz short_circuitが設定されている場合に、名前付リポジトリへのアクセス制御が正常に機能しない問題です。
  • CVE-2010-4539は、mod_dav_svnにおいてSVNListParentPath directiveが設定されている場合に、特定のアクセスを受け取った場合にhttpdがクラッシュする問題です。既知のPoCが存在します。
  • CVE-2010-4644は、SVNリポジトリに対して特定の操作を行った場合、svnプロセスがメモリの過大消費を起こしてクラッシュする問題です。既知の再現手法が存在します。この問題は9.10・10.04 LTS・10.10にのみ影響します。
  • 対処方法:アップデータを適用後、svnを利用しているすべてのプロセス(例:Apacheのmod_dav_svn)を再起動してください。
usn-1054-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-February/001239.html
  • Ubuntu 10.04 LTS・10.10用のアップデータがリリースされています。CVE-2010-0435, CVE-2010-4165, CVE-2010-4169, CVE-2010-4249を修正します。
  • CVE-2010-0435は、KVM上の「ゲストOS」において、CPU命令を特定の順番で発行することでKVMホストをクラッシュさせることが可能な問題です。ただし、この攻撃を行なうにはゲストOSのカーネル側の細工が必要です。
  • CVE-2010-4165は、TCP実装上の問題で、MSSの値をチェックする際にkernel oopsによるクラッシュが発生しうる問題です。ローカルの攻撃者が任意にシステムをクラッシュさせることが可能です。
  • CVE-2010-4169は、パフォーマンスカウンタにおいて、誤ったVMAの開放を行なうため、一定の条件下においてカーネルがクラッシュする問題です。ローカルユーザーが任意に問題を再現させることが可能です。
  • CVE-2010-4249は、kernel内のsocketが利用したメモリのガベージコレクトにおいて、一定条件下において回収不能なメモリが生じる問題です。PoCが存在します。悪意あるローカルユーザーにより、DoSが可能です。
  • 対処方法:アップデータを適用した上で、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準では linux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるので、通常はそのままアップデートの適用を行えば対応できます。

おすすめ記事

記事・ニュース一覧