Ubuntu Weekly Topics

2013年11月1日号Cloud Imagesの-root.tar.gzの仕様変更・日本語Remixのリリース作業継続中・UWN#340

Cloud Imagesの-root.tar.gzの仕様変更

Ubuntuには、⁠Cloud Images」と呼ばれるリリース形態があります。これは「クラウド環境(AWS等)で利用しやすい仮想マシンイメージ」を定期的に提供するというものです。端的には、⁠AWSで動いているUbuntuのイメージ」がそのままダウンロードもしくは起動できるというものです。

Cloud Imagesにはいくつかのリリース形式があるのですが、このうち、-root.tar.gz形式のファイルに、カーネルが含まれなくなりました。-root.tar.gz形式はもともと、⁠EC2上の伝統的なマシンイメージ(AMI)はそのままでは通常の仮想環境では起動できないので(カーネルが格納されているAKIと組み合わせないと通常のマシンとして機能しないので⁠⁠、起動用のブートローダーとカーネルを同梱している」というものでした。つまり、⁠ほぼAMIをtarにまとめたもの」に変化することになります。この変更により、⁠直接起動することができなくなる」ものの、かわりに「イメージのダウンロードサイズが小さくなる」⁠一種のUbuntu Core[1]として使うこともできる」という特性になります。

事実上、このイメージはLXCで使うのに非常に都合のいいものになります。

なお、-root.tar.gz形式のファイルはCloud Imagesの中ではもっとも古いリリース形式のひとつで、現在はこのタイプのイメージを使うことはLXC以外にはほとんどありません。通常は.imgファイルを入手して展開するか、あるいはS3/EBSイメージを使ってAWS上に直接展開することがほとんどなので、実用上はデメリットなくLXCのubuntu-cloudイメージが使いやすくなる、ということになります。

日本語Remixのリリース作業

日本語RemixのISOとしてのリリースは、RCに問題が見つかったため延期になっています。現状はIRCでの議論を確認してください。なお、⁠インストール時に入力モードを切り替えるにはShift+Super+Space(Shift+Windowsキー+Space)を押す』ということを把握しておけば、RCでも問題なく利用できます。

Ubuntu搭載のHDMIスティック

Ubuntu搭載のHDMIスティック型PC⁠Rikomagic MK802 IV LE』が登場しました。厳密には搭載されているのはUbuntu 13.04のカスタム版(PicUntu)で純正のUbuntuではありませんが、ソフトウェアセンターを始めとするUbuntuの機能を利用できます。

残念ながら国内では電波法の都合から(法整備の問題だけでなく、実際に出力が高すぎて周辺に迷惑をかけかねません)wifiを利用することが難しく、USBポートにUSB-Ethernetアダプタを接続して有線で使うことになりますが、小型・4コアCPU・一定のグラフィックス性能・2GBメモリを備えた小型デスクトップとして利用できます。

上位モデルでも国際送料込みで £84.99(約13,500円)で、手軽に入手できるデバイスとしては安価な部類に入ります[2]⁠。もちろんこの種のデバイスの常として、⁠そのまま完璧に使える」というわけではなく、ある程度の気合と広い心が必要になりますが、⁠オモチャ」として購入する分には問題ないでしょう。

UWN#340

Ubuntu Weekly Newsletter #340がリリースされています。

その他のニュース

  • Ubuntu 12.04環境でHHVM(PHPのコードを生のバイナリに変換して実行するコンパイラ)環境を準備する方法
  • Ubuntu Phone上で動作するゲーム。Ubuntu SDKでのアプリケーション開発入門のためのサンプルとして利用することもできます。
  • Samsung製のChromebook(比較的古いもの)Xubuntuを利用する手順。
  • PulseAudio上で機能するイコライザー

今週のセキュリティアップデート

usn-2001-1:Swiftのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2013-October/002289.html
  • Ubuntu 13.04・12.10・12.04 LTS用のアップデータがリリースされています。CVE-2013-4155を修正します。
  • Swift経由のディスクアクセスにおいて、X-Timestampに不正な値を与えることで本来許可されていないストレージ消費を発生させることが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2003-1:Glanceのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2013-October/002290.html
  • Ubuntu 13.04・12.10用のアップデータがリリースされています。CVE-2013-4428を修正します。
  • Glanceが動作する上で、download_imageポリシーが適切に反映されていませんでした。これにより、本来ダウンロードできるべきでないファイルへのアクセス制御が機能していませんでした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2002-1:Keystoneのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2013-October/002291.html
  • Ubuntu 13.04・12.10用のアップデータがリリースされています。CVE-2013-4222, CVE-2013-4294を修正します。
  • Keystoneのアクセス制御において、無効化されたユーザーのトークンがそのまま利用可能なことがありました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2004-1:python-glanceclientのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2013-October/002292.html
  • Ubuntu 13.04用のアップデータがリリースされています。CVE-2013-4111を修正します。
  • python-glanceclientがSSL証明書を検証していませんでした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2005-1:Cinderのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2013-October/002293.html
  • Ubuntu 13.04用のアップデータがリリースされています。CVE-2013-4179, CVE-2013-4183, CVE-2013-4202を修正します。
  • CinderをLVMバックエンドで利用する場合、削除したスナップショットをゼロクリアしていませんでした。これにより、データ復旧と同じアプローチでイメージの残骸にアクセスすることが可能でした。また、API経由でのアクセス時に細工を施したXMLを投下することで、リソースの過大消費を発生させることが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2006-1:MySQLのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2013-October/002294.html
  • Ubuntu 13.10・13.04・12.10・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2013-3839, CVE-2013-5807を修正します。
  • CPUOct2013に相当するパッケージのアップデートです。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
  • 備考:Ubuntuの通常のアップデートと異なり、セキュリティ修正や重篤なバグ修正以外の変更を含む、upstreamの新リリースへの更新です。10.04 LTSでは5.1.72へ、12.04 LTS・12.10・13.04・13.10では5 .5.34へ更新されます。
usn-2007-1:Apportのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2013-October/002295.html
  • Ubuntu 13.10・13.04・12.10・12.04 LTS用のアップデータがリリースされています。CVE-2013-1067を修正します。
  • setuidされたバイナリがクラッシュした場合のcoreのパーミッションが不適切であるため、本来読めるべきでない情報にアクセスできる可能性がありました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2008-1:Sudsのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2013-October/002296.html
  • Ubuntu 13.04・12.10・12.04 LTS用のアップデータがリリースされています。CVE-2013-2217を修正します。
  • Sudsが作成する一時ファイルに対して、古典的シンボリックリンク攻撃が可能でした。Ubuntuのデフォルト設定ではYAMAによるSticky Symlink機能によりこの攻撃を防止できます。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

おすすめ記事

記事・ニュース一覧