2011年11月18日号　UDS-Pの成果物(2)・Upstartのsetuid/setgid stanza・OSC2011 Tokyo/Fall・UWN#241

UDS-Pの成果物(2)

前回に引き続き、今回もUDS-Pの成果であるBlueprintを見ていきましょう。今回はFoundationの残りとカーネル・ARM関連です。

Foundation/Kernel/Hardware

foundations-p-64bit-by-default：Adobe Flashなどの「32bit必須」ソフトウェアが減ってきたので[1]⁠、64bitカーネル + x64/x86 Multiarch環境を推奨扱いに変更し、x86版はサブ扱いにすることを検討しよう[2]⁠。さまざまな課題はまだ残っているので[3]⁠、それを解決していこう[4]⁠。
hardware-p-kernel-version-and-flavors：Preciseに向けてカーネルのFlavourを整理しよう。特にx64環境のgenericとserverはひとまとめにできるかもしれない。また、Desktop用途だということがわかるように、genericはdesktopへ改名し、preemptionを有効にして提供することを検討しよう。あわせて、12.04で利用するデフォルトカーネルは3.2か3.3か検討しよう。
other-p-lowlatency：universeで良いので、-lowlatencyカーネルを公式リポジトリ経由で提供しよう。
hardware-p-uefi-status：UEFI環境でのインストール（特にPXE経由⁠）⁠・ブートをきちんと行えるようにしよう。
servercloud-p-ceph：今度こそCEPHを使える様態にしよう。

ARM関連

ubuntu-arm-p-live-installer：ARMでもLive Installerが利用できるようにしよう。12.04ではひとまずPandaBoard対象。
linaro-gfxmm-unity-gles：OpenGL ES2.0対応GPUでCompizが動作する状態にし、UnityがARM環境でも動作する状態にしよう。
foundations-p-openjdk-arm：ARMでもOpenJDKをきちんと動作するようにしよう。
security-p-usn-database-format：USN（Ubuntu Security Notice）のフォーマットを変更し、machine readableにしよう。
security-p-mozilla-lts：12.04 LTSでのFirefoxは本当に「ラピッドリリース」（⁠Firefox 4以降の6週間で新バージョンに切り替わるリリース）のままで良いのか検討してみよう。結論として「ラピッドリリースにする方向でアナウンスを行う」という決定が行われています。

Upstartのsetuid/setgid stanza

12.04世代では、Upstartに便利な機能が追加されそうです。追加される機能は「setuid」と「setgid」構文です。この構文そのものがすべてを表していますが、「⁠ジョブを実行するユーザー・グループ権限を特定のものに制約する」機能です。「⁠rootから権限を落として起動する」という動作をUpstart側でサポートすることになります。

これが提供されると、rootユーザーがserviceコマンドでジョブを再起動した際、指定したユーザー権限で起動することを保証できます。これまでの実装では、サービスを構成するソフトウェア側で責任を持ってsetuid/setgidする必要があり、そもそもこうした機能を持たないソフトウェアで同様のことを行おうとすると、suやsudoなどで権限を落としたり、といった措置が必要で、きちんと実装するには少々面倒なものでした。

ただし、まだパッチは受け入れられていません。James Hunt（現在のUpstartのメンテナ）がコードレビュー＆クリーンアップを行うフェーズに入っているため、これまで（グラフ表示等）の実績から考えると年内には取り込まれそうですが、現時点では「将来実装されるかもしれない」という段階です。

OSC2011 Tokyo/Fall

11月19日(土)・20日(日)に、オープンソースカンファレンス2011 Tokyo/Fallが開催されます。Ubuntu Japanese Teamもブース出展・セミナーを行う予定です。

イベント名	オープンソースカンファレンス2011 Tokyo/Fall
日時	2011年11月19日(土)・20日(日) 10:00-17:00
入場	無料
会場	明星大学 28号館 (受付は4Fロビー) (東京都日野市)
主催	オープンソースカンファレンス実行委員会
協賛	明星大学 / 明星大学情報学部
内容	オープンソース関連の最新情報提供 (展示・セミナー)
Twitterハッシュタグ	#osc11tk

なお、会場の様子はhttp://www.ustream.tv/channel/weeklycmsでUstream配信される予定です。遠方から参加される方はこちらもどうぞ。

UWN#241

Ubuntu Weekly Newsletter #241がリリースされました。

その他のニュース

Unity環境でデスクトップアイコンを作成する方法。
12.04に向けて採用されるテスト体制の話題。オープンソースプロジェクトでよくある、「⁠三地域に分散して担当者が一人ずつ、計3人いれば、誰も無理な時間に働かずに24時間対応する体制が組める」というアプローチが採用されています[5]⁠。

今週のセキュリティアップデート

usn-1255-1：libmodplugのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-November/001472.html
Ubuntu 11.10・11.04・10.10・10.04 LTS用のアップデータがリリースされています。CVE-2011-2911, CVE-2011-2912, CVE-2011-2913, CVE-2011-2914, CVE-2011-2915を修正します。
libmodplugに不正な加工を施したメディアファイル（.wav/.s3m/.ams/.dsm）を開いた際、ヒープバッファオーバーフロー（.wav⁠）⁠・スタックバッファオーバーフロー（.s3m/.ams⁠）⁠・off-by-oneエラーが生じます。libmodplugを利用したメディアプレイヤーアプリケーションでこれらのファイルを開くことで、任意のコード実行・DoSが可能です。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-1256-1：Linux kernel (Natty backport)のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-November/001473.html
Ubuntu 10.04用Nattyカーネルのセキュリティアップデータがリリースされています。CVE-2011-1020, CVE-2011-1078, CVE-2011-1079, CVE-2011-1080, CVE-2011-1093, CVE-2011-1160, CVE-2011-1180, CVE-2011-1478, CVE-2011-1479, CVE-2011-1493, CVE-2011-1573, CVE-2011-1576, CVE-2011-1577, CVE-2011-1581, CVE-2011-1585, CVE-2011-1767, CVE-2011-1768, CVE-2011-1771, CVE-2011-1776, CVE-2011-1833, CVE-2011-2183, CVE-2011-2213, CVE-2011-2479, CVE-2011-2484, CVE-2011-2491, CVE-2011-2492, CVE-2011-2493, CVE-2011-2494, CVE-2011-2495, CVE-2011-2496, CVE-2011-2497, CVE-2011-2517, CVE-2011-2525, CVE-2011-2689, CVE-2011-2695, CVE-2011-2699, CVE-2011-2700, CVE-2011-2723, CVE-2011-2905, CVE-2011-2909を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるので、通常はそのままアップデートの適用を行えば対応できます。

usn-1257-1：radvdのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-November/001474.html
Ubuntu 11.10・11.04・10.10・10.04 LTS用のアップデータがリリースされています。CVE-2011-3601, CVE-2011-3602, CVE-2011-3604, CVE-2011-3605を修正します。
CVE-2011-3601は、radvdがRAを処理するルーチンの問題で、ND_OPT_DNSSL_INFORMATIONの特定のオプションに不正な値を与えることで、スタックバッファオーバーフローを発生させることが可能です。これにより任意のコードの実行・DoSが可能です。ただし、Ubuntuではgccに与えられるデフォルトのコンパイラオプションによりスタック破壊が検知されるため、影響はDoSに留まります。
CVE-2011-3602は、radvdが一部のファイルを作成する際にインターフェース名を適切にチェックしないため、ローカルユーザーが任意のファイルを書き換える方法として利用できる問題です。
CVE-2011-3604は、radvdがRAを処理するルーチンの問題で、本来読むべき範囲を越えてスタックバッファを読んでしまう問題です。これにより、radvdがクラッシュします。
CVE-2011-3605は、悪意ある細工を施したパケットを送出し続けることで、ユニキャストモード（Ubuntuでのデフォルト）で動作しているradvdを機能停止状態に追い込むことが可能な問題です。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-1258-1：ClamAVのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-November/001475.html
Ubuntu 11.10・11.04・10.10・10.04 LTS用のアップデータがリリースされています。CVE-2011-3627を修正します。
CVE-2011-3627は、特定のファイルを検査した際、ClamAVプロセスがクラッシュする問題です。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-1251-1：Firefox and Xulrunnerのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-November/001476.html
Ubuntu 10.10・10.04 LTS用のアップデータがリリースされています。CVE-2011-3647, CVE-2011-3648, CVE-2011-3650を修正します。
Firefox 3.6.24に相当するアップデートです。
対処方法：アップデータを適用の上、Firefoxを再起動してください。

usn-1259-1：Apacheのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-November/001477.html
Ubuntu 11.10・11.04・10.10・10.04 LTS・8.04 LTS用のアップデータです。CVE-2011-1176, CVE-2011-3348, CVE-2011-3368を修正します。
CVE-2011-3368は、ApacheのReverse Proxyを利用し、かつ、RewirteRuleまたはProxyPassMatchディレクティブで、ディレクトリ区切りのためのスラッシュにマッチするパターンを設定していた場合に、本来Reverse Proxyで見せる意図のないURLを参照することが可能になってしまう問題です。これにより、本来公開を意図していない内部サーバーへの外部からのアクセスが可能になるおそれがあります。
CVE-2011-3348は、mod_proxy_ajpとmod_proxy_balancerを併用している場合に、不正なHTTPリクエストを送出することでクラッシュを誘発できる問題です。
CVE-2011-1176は、mpm-itkを利用している環境において特定の設定を行っていた場合に、適切に権限を制約できない問題です。この問題は10.04 LTS・10.10・11.04にのみ影響します。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。
備考：usn-1199-1で行われた、“⁠Apache Killer⁠”（CVE-2011-3192）対応のためのコードがApache 2.2.21相当に更新され、Rangeリクエストの取り扱いが過去のバージョンと同等になりました。

usn-1260-1：Linux kernel (OMAP4)のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-November/001478.html
Ubuntu 11.10用OMAP4向けカーネルのアップデータがリリースされています。CVE-2011-3323, CVE-2011-3324, CVE-2011-3325, CVE-2011-3326, CVE-2011-3327を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。

usn-1261-1：Quaggaのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-November/001479.html
Ubuntu 11.10・11.04・10.10・10.04 LTS用のアップデータがリリースされています。CVE-2011-3323, CVE-2011-3324, CVE-2011-3325, CVE-2011-3326, CVE-2011-3327を修正します。
Quaggaに存在する複数のDoS脆弱性を修正します。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-1262-1：Light Display Manager（LightDM）のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-November/001480.html
Ubuntu 11.10用のアップデータがリリースされています。CVE-2011-3153, CVE-2011-4105を修正します。
CVE-2011-3153は、LightDMが.dmrcファイルを読み取る際、ファイルのパーミッション・オーナーを適切にチェックしておらず、.dmrc内に不正なコマンドを含めることで任意のファイルの読み取りに利用できるものです。
CVE-2011-4105は、LightDMが.Xauthorityファイルのパーミッション・オーナーを適切にチェックしておらず、古典的シンボリックリンク攻撃により任意のファイルの破壊・改ざんに利用できる問題です。ただし、Ubuntu 11.10ではYAMAセキュリティモジュールによるシンボリックリンク制約により、デフォルト状態ではユーザーがオーナー権限を持たないファイルへのアクセスは禁止されており、攻撃は成立しません。
対処方法：アップデータを適用の上、システムを再起動してください。