Ubuntu Weekly Topics

2014年5月2日号14.10のコードネーム・14.04 LTS 日本語Remixのリリース・Ubuntu for Androidの去就・12.10のEOL・UWN#345

Ubuntu 14.10のコードネーム

14.04 LTSのリリースが完了し、14.10の開発が始まりました。あわせて、Mark Shuttleworthによるコードネームの宣言も行われ、Ubuntu 14.10は⁠Utopic Unicorn⁠と名付けられました。

“Utopic⁠はUtopia(ユートピア・理想郷・無何有郷)の形容詞形なので、⁠理想郷のユニコーン」もしくは暗黙の含意を考慮して「山の向こうのユニコーン」⁠辿り着けないほど理想的なユニコーン」となります。

ユニコーンは童話やファンタジーでおなじみの一角獣(一本のツノの生えた馬)で、9.04の⁠Jaunty Jackalope⁠以来、二度目のUMAとなります。一角獣はおそろしく獰猛である半面、純潔と優雅さの象徴で、その角は万能の治療薬として珍重されるという二面性をもった幻想動物です。Tahr(14.04 LTS)やSalamander(13.10)以上にさまざまな解釈が可能なのですが、珍しくMarkによる「動物を選んだ理由」の解説がないため、⁠なぜユニコーンなのか」という部分はまだしばらく不明なままでしょう。なお、このあたりものとは関係ないはずです。たぶん。あとこれでもありません

実装サイドとしては次の4つが示されています。

  • Upstartからsystemdへの移行
  • デフォルト構成におけるPython 2.x系への依存を排除
  • Upstreamとのよりよい連携
  • わざわいをもたらしかねない古代の遺物や、忘れ去られたブツの排除

("time to bring systemd to the centre of Ubuntu, time to untwist ourselves from Python 2.x and time to walk a little uphill and, thereby, upstream. Time to purge the ugsome and prune the unusable.")

systemdへの移行は規定路線ではありますが、それ以上に「Python 2.x系からの完全な移行」がポイントとなります。Ubuntu的にはこの数リリースのあいだ継続してPython 2.x系を排除しようとしていますが[1]完全には排除しきれておらず、ここで過去の遺産をうまく捨てられると、Python関連のメンテナンスコストを引き下げることができます。

systemdへの移行は最優先で進められており、テストパッケージの準備を経て、少なくともブートする状態には持ち込まれています。ここが最初期に完了しないと関連するパッケージ(特にサーバー関連)の作業も進められなくなるため、Canonicalの抱えるコア開発者が投入されて作業が進められています。

また、Mark Shuttleworhの宣言には含まれていませんが、14.10ではデフォルトのRubyはDebianが2.0なのは分かっているが2.1にするという宣言も行われており、全体的にドラスティックな変更が加えれるリリースとなりそうです[2]⁠。

リリーススケジュールも確定しています。Ubuntu 14.10 ⁠Utopic Unicorn⁠は、2014年10月16日にリリース予定です。

Ubuntu 14.04 LTS 日本語Remixのリリース

4月28日、Ubuntu Japanese TeamはUbuntu 14.04 LTS 日本語Remixをリリースしました。今回はamd64が主、i386は「参考版」という扱いとなります。これまでの日本語Remixよりもubuntu.com版との差異が大きくなっているため(ただし基本的にはIMまわりの変更のみ⁠⁠、混同しないように注意してください。

Ubuntu 14.04 LTSリリースパーティ+オフラインミーティング14.05

Ubuntu Japanese Teamでは、5月10日(土)にUbuntu 14.04 LTSリリースパーティ+オフラインミーティング14.05と題して、14.04 LTSのリリースパーティを行います。会場はUbuntuのヘビーユーザーでもあるグリー株式会社様です。

興味のある方はお気軽にご参加ください。無料です。

12.10のEOL

14.10の開発開始に伴い、12.10のEOLが宣言されています。12.10は最後の「18ヶ月サポートの通常版」であり、直接の後継である13.04がすでにサポート終了している(=直接乗り換えにくい)こともあり、14.04 LTSと重複する特例期間が設けられています。

12.10のEOLは、標準とは若干異なり、2014年5月16日までとなります。この日までにより新しいバージョンに乗り換えてください(ただし、13.04はすでにEOL済、13.10はもうすぐEOLなので事実上14.04 LTS必須⁠⁠。

また、12.10は特例で13.10に直接アップグレードできるため、一度13.10に更新してから14.04 LTSへ乗り換えるという対応が推奨されます。

Ubuntu for Androidの去就

Utopicの「古くて使われなくなったものを捨てる」という方針に関連しそうな動きとして、Ubuntu for Androidの去就が話題になりました。

要約すると、次のような騒動です。

  • mpt(Canonicalのデザイナー)が、⁠Ubuntu for Androidはもう死んでいるプロダクトなのでWebページから削除するべきだ。少なくとも「2012年終盤にはリリースしてるぜ」とかいう記述はおかしいよね」というバグレポートを行う。
  • しかもPrivate bugからPublic bugに属性を切り替えてしまい、世間から見える状態に(ただし、現在は再びPrivate扱いに戻っている⁠⁠。結果、⁠Ubuntu for Android is no longer in development」とかいうフレーズが一人歩きして騒ぎに。
  • Reddit上で、よく分からないぜーという小規模フレームウォーに突入。問題のバグレポートが見えないこともあり、開発が中断しているだけなのか、それとも諦めたプロダクトなのか、外野からはさっぱり見えない状態のため、爆発的にカオス化。
  • とりあえずCanonicalからコメントを取れた内容からすると、「完成しているがOEMが見つからないので塩漬けなう」という結論に。
  • そうなったものの、⁠Ubuntu for Android is no longer in development」とかいうフレーズが一人歩きしているため「Ubuntu for Androidは死んだ! なぜだ!」という感じのニュースだけが広まっていく、不毛きわまりない状態に突入。現在も「Ubuntu for Android is no longer in development」「Ubuntu for Android is dead」に化けたりしつつ拡大中。

Ubuntu for Androidは「Android端末の裏にフルセットのUbuntuを導入しておく」というプロダクトで、ふだんはAndroidスマートフォンとして、そして自宅等のモニタ・キーボード・マウスが存在する環境ではクレードルに収納してフルセットのUbuntu Desktopとして使えるというものです。現在のUbuntu Touch + Ubuntu Desktopが提供しようとしている「コンバージド」デスクトップの源流にあたります。

基本的にAndroid環境とUbuntu環境は隔離されていて、Ubuntu環境で電話を取ったりSMSに応答するといったことは可能なものの、同じアプリケーションが使えるといった特徴もないため、⁠コンバージド」デスクトップのサブセットに相当します。Android端末を投入する各ベンダにセールスをかけたものの、商談がまとまるところまでは辿り着かなかったという話のようです。

アイデアが公開された当時には十分なメリットがあったものの、机上端末としてスマートフォンをそのまま動かすぐらいならシンクライアントとして使った方が良い、そもそもスマートフォンを企業が支給するぐらいならBYOD的なプロダクトを投入して個人の端末を利用させた方がマシ、フルセットのデスクトップを持ち歩けるわりにセキュリティ機能が足りないといった事情もあって、現時点でビジネス的な競争力があるかというと厳しいものもあります。

……というわけで、OEMが見つからないまま塩漬けというのももったいないという判断がどこかで下されるのか、このまま永遠に世の中に出てこないのか、この部分は分からないものの、Utopicフェーズで行われる「棚卸し」の結果として世に出てくる可能性もあり、まだまだ目が離せなさそうです。

UWN#364

Ubuntu Weekly Newsletter #364がリリースされています。

その他のニュース

今週のセキュリティアップデート

usn-2169-1usn-2169-2:Djangoのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002465.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002466.html
  • Ubuntu 14.04 LTS・13.10・12.10・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-0472, CVE-2014-0473, CVE-2014-0474を修正します。
  • Djangoに含まれるreverse()関数の処理に問題があり、ドットが含まれるパスを処理した場合に想定されていないPythonモジュールをロードすることがありました。これにより任意のコードの実行が可能かもしれません。また、CookieによるCSRFの可能性・MySQLデータベースに含まれるフィールドの変換が不適切に行われる問題を解決します。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
  • 備考:usn-2169-1に問題があったため、usn-2169-2として再アップデート版がリリースされています。
usn-2170-1:MySQLのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002467.html
  • Ubuntu 14.04 LTS・13.10・12.10・12.04 LTS用のアップデータがリリースされています。MySQL 5.5.37のUbuntuパッケージ版です。CPUApr2014としてCVE-2014-0001, CVE-2014-0384, CVE-2014-2419, CVE-2014-2430, CVE-2014-2431, CVE-2014-2432, CVE-2014-2436, CVE-2014-2438, CVE-2014-2440を修正します。
  • 備考:MySQL 5.5.36MySQL 5.5.37のリリースノートを確認してください。また、mysql-5.5パッケージに切り替わったタイミングで、誤ってtest_*にマッチするデータベースをローカルホストから接続可能にするパッチが含まれなくなっていました。アップデータにはこの問題への修正も含まれています。ただし、既存のデータベースの設定変更は自動的には適用されません。対応手順を確認する必要があります。
usn-2171-1:rsyncのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002468.html
  • Ubuntu 14.04 LTSを修正します。CVE-2014-2855を修正します。
  • rsyncのユーザー名処理に問題があり、悪意ある加工の施された文字列を読み込ませることでメモリの過大消費を招くことが可能です。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2172-1:CUPS のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002469.html
  • Ubuntu 13.10・12.10・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-2856を修正します。
  • CUPSのWebUIにXSSがありました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2173-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002470.html
  • Ubuntu 10.04 LTS用のアップデータがリリースされています。CVE-2014-0101, CVE-2014-2523を修正します。
  • SCTPハンドシェーク・DCCPにおいてクラッシュが発生する可能性があります。DCCPでのクラッシュはメモリ破壊を伴うため、潜在的に任意のコードの実行が可能です。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-2174-1:Linux kernel (EC2)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002471.html
  • Ubuntu 10.04 LTS用のアップデータがリリースされています。CVE-2014-0101, CVE-2014-2523を修正します。
  • SCTPハンドシェーク・DCCPにおいてクラッシュが発生する可能性があります。DCCPでのクラッシュはメモリ破壊を伴うため、潜在的に任意のコードの実行が可能です。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-2175-1:Linux kernel (Quantal HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002472.html
  • Ubuntu 12.04 LTS用のアップデータがリリースされています。CVE-2014-0049, CVE-2014-0069を修正します。
  • KVMサブシステムの問題により、ゲストOS上で悪意あるコードを実行することでホストOS上で任意のコードを実行することが可能です。また、CIFSのキャッシュされていないwriteオペレーションにおけるシステムクラッシュと、クラッシュ時にkmemが露出することによるクレデンシャルの漏洩が生じるおそれがありました。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-2176-1:Linux kernel (Raring HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002473.html
  • Ubuntu 12.04 LTS用のアップデータがリリースされています。CVE-2014-0049, CVE-2014-0069を修正します。
  • KVMサブシステムの問題により、ゲストOS上で悪意あるコードを実行することでホストOS上で任意のコードを実行することが可能です。また、CIFSのキャッシュされていないwriteオペレーションにおけるシステムクラッシュと、クラッシュ時にkmemが露出することによるクレデンシャルの漏洩が生じるおそれがありました。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-2177-1:Linux kernel (Saucy HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002474.html
  • Ubuntu 12.04 LTS用のアップデータがリリースされています。CVE-2014-0049, CVE-2014-0069を修正します。
  • KVMサブシステムの問題により、ゲストOS上で悪意あるコードを実行することでホストOS上で任意のコードを実行することが可能です。また、CIFSのキャッシュされていないwriteオペレーションにおけるシステムクラッシュと、クラッシュ時にkmemが露出することによるクレデンシャルの漏洩が生じるおそれがありました。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-2178-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002475.html
  • Ubuntu 12.10用のアップデータがリリースされています。CVE-2014-0049, CVE-2014-0069を修正します。
  • KVMサブシステムの問題により、ゲストOS上で悪意あるコードを実行することでホストOS上で任意のコードを実行することが可能です。また、CIFSのキャッシュされていないwriteオペレーションにおけるシステムクラッシュと、クラッシュ時にkmemが露出することによるクレデンシャルの漏洩が生じるおそれがありました。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-2179-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002476.html
  • Ubuntu 13.10用のアップデータがリリースされています。CVE-2014-0049, CVE-2014-0069を修正します。
  • KVMサブシステムの問題により、ゲストOS上で悪意あるコードを実行することでホストOS上で任意のコードを実行することが可能です。また、CIFSのキャッシュされていないwriteオペレーションにおけるシステムクラッシュと、クラッシュ時にkmemが露出することによるクレデンシャルの漏洩が生じるおそれがありました。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-2180-1:Linux kernel (OMAP4)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002477.html
  • Ubuntu 12.10用のアップデータがリリースされています。CVE-2014-0049, CVE-2014-0069を修正します。
  • KVMサブシステムの問題により、ゲストOS上で悪意あるコードを実行することでホストOS上で任意のコードを実行することが可能です。また、CIFSのキャッシュされていないwriteオペレーションにおけるシステムクラッシュと、クラッシュ時にkmemが露出することによるクレデンシャルの漏洩が生じるおそれがありました。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-2181-1:Linux kernel (OMAP4)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002478.html
  • Ubuntu 13.10用のアップデータがリリースされています。CVE-2014-0049, CVE-2014-0069を修正します。
  • KVMサブシステムの問題により、ゲストOS上で悪意あるコードを実行することでホストOS上で任意のコードを実行することが可能です。また、CIFSのキャッシュされていないwriteオペレーションにおけるシステムクラッシュと、クラッシュ時にkmemが露出することによるクレデンシャルの漏洩が生じるおそれがありました。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-2182-1:QEMUのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002479.html
  • Ubuntu 14.04 LTS・13.10・12.10・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2013-4544, CVE-2014-0150, CVE-2014-2894を修正します。
  • QEMU上のvmxnet3・virtio-netドライバ・SMART応答において、DoS・任意のコードの実行の可能性がありました。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
usn-2183-1:dpkgのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002480.html
  • Ubuntu 14.04 LTS・13.10・12.10・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-0471を修正します。
  • dpkgがソースパッケージを展開する際、パッケージに含まれるパス・symlinkに悪意ある加工を施しておくことで、ファイルシステム上に本来想定していない形で任意のファイルを展開することが可能です。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2184-1usn-2184-2:Unityのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002481.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002486.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。LP#1308850, LP#1313885を修正します。
  • Unityが提供するスクリーンロックが不十分なため、ショートカットキーによるコマンド実行・Dash経由でのコマンド実行が可能な場合がありました。
  • 対処方法:アップデータを適用の上、セッションを再起動(一度ログアウトして再ログイン)してください。
  • 備考:修正が不十分であったため、複数回のアップデートが行われています。
usn-2185-1:Firefoxのセキュリティアップデート
usn-2186-1:Date and Time Indicatorのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002483.html
  • Ubuntu 13.10用のアップデータがリリースされています。CVE-2013-7374に対応します。
  • Date and Time IndicatorがGreeter(ログイン画面)経由で実行された場合、さらに外部のアプリケーションを呼び出す際に特権を落とさずに動作していました。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
usn-2187-1:OpenJDK 7のセキュリティアップデート
usn-2188-1:elfutilsのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002485.html
  • Ubuntu 14.04 LTS・13.10・12.10用のアップデータがリリースされています。CVE-2014-0172を修正します。
  • libdwを利用したアプリケーションからデバッグセクションに細工を施した不正なELFファイルを開いた際に、メモリ破壊を伴うクラッシュが生じることがありました。これにより任意のコードを実行させることが可能かもしれません。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2189-1:Thunderbirdのセキュリティアップデート

おすすめ記事

記事・ニュース一覧