Ubuntu Weekly Topics

2014年9月19日号UtopicのDocumentation String Freezeとtest rebuild・UWN#383

14.10のDocumentation String Freeze

Ubuntu 14.10の開発は予定通りDocumentation String Freezeを迎え、来週月曜日からはFinal Beta Freeze+Final Betaマイルストーンに突入します[1]⁠。ここからは「ほぼ」クオリティ確認のための時間となり、バグ修正や翻訳投入の確認、そしてカーネルのフリーズといった処置が行われる最後の一ヶ月を経て、10月23日(現地時間)のリリースを目指して開発が続けられる予定です。

なお、14.10で特に注目されるであろうUbuntu MATE 14.10の様子はこちらの記事を参照してください。

14.10は傾向として「おとなしめ」のリリースになりそうで、現時点では大きな動きはありません。このまま最後まで「おとなしめ」で終わるのか、まさかの新機能投入があるのか、という点ではどちらに転ぶかまだ分かりません。

また、開発終盤のお約束、test rebuildが行われています。test rebuildは「その時点で存在する全てのパッケージをビルドしなおす」作業です。これはパッケージに対する健康診断のようなもので、たいてい、⁠不健康な」状態のパッケージが見つかります。

「不健康な」状態のパッケージというのは、⁠開発版の特定のタイミングの環境を再現しないとビルドできない」というような理由で、⁠なぜか現在の環境ではビルドできない」というものです。これは、たとえば「ライブラリAとビルド環境Bが特定のバージョンでないとビルドできないが、しかしUbuntuのアーカイブ上、ライブラリAもビルド環境Bも、すでに新しいバージョンに更新されてしまっている」といった状態によって引き起こされます。結果として、⁠開発途中のこの日の環境を再現しないとビルドできない」⁠特定の日どころか、特定の瞬間を再現しないといけない」⁠それどころか、何故ビルドが通ったのかそう簡単にはわからない」といった光景に遭遇することになります。

こうなってしまうとパッケージにセキュリティ的な問題が見つかっても簡単には対処できない、あるいは未来永劫そのバージョンから更新できない、といった問題を残してしまうことになります。しかも、Ubuntuではポリシー的に「一度リリースされたらあまりにも大きな変更は取り込まない」という方針(SRUポリシー)を採用しているので、ヘタな状態のままリリースを迎えてしまうと、そのリリースでは二度と解決できなくなってしまう可能性もあります。

ということで、⁠現在のUbuntuのビルド環境・アーカイブ環境で正しくビルドできるのか」を確認しておくため、一斉に全パッケージをビルドしなおしてみる、というtest rebuildが実施されることになります。test rebuild後にはビルドに失敗(FTBFS)したパッケージが大量に発掘され、それの修正が行われることになります。

UWN#383

Ubuntu Weekly Newsletter #383がリリースされています。その他のニュース

今週のセキュリティアップデート

usn-2343-1:NSSのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-September/002656.html
  • Ubuntu 14.04 LTS・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-1544を修正します。
  • NSSにレースコンディションによってすでに解放済みのメモリをfreeしてしまう問題があり、悪用によりDoSや任意のコードの実行が可能です。
  • 対処方法:アップデータを適用の上、libnssを利用しているすべてのアプリケーションを再起動してください。
usn-2344-1:PHPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-September/002657.html
  • Ubuntu 14.04 LTS・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-3587, CVE-2014-3597を修正します。
  • 対処方法:アップデータを適用の上、Apacheやphp5-fpmのようなPHPをメモリ上に常駐させるアプリケーションを再起動してください。
usn-2330-1:Thunderbirdのセキュリティアップデート
usn-2346-1:curlのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-September/002659.html
  • Ubuntu 14.04 LTS・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-3613, CVE-2014-3620を修正します。
  • curlが特定の条件下で、誤ったIPアドレスを使ってcookieを解釈するため、本来意図しない別サイトに対してcookieの情報を漏洩する可能性がありました。また、より上位のドメインに対するcookieを発行する際、トップレベル・ドメインに対してのcookie発行を許していたため、これを利用して、まったく関係のない(しかしTLDが共通している)サイトの振る舞いを変更する形の攻撃が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2347-1:Djangoのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-September/002660.html
  • Ubuntu 14.04 LTS・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-0480, CVE-2014-0481, CVE-2014-0482, CVE-2014-0483を修正します。
  • Djangoが相対パス表記からURLを生成する際、特定の文字列を正しく解釈できず、本来同一サーバー内へのリンクを生成すべきところを異なるサーバーへのリンクとして生成してしまう、問題がありましたCVE-2014-0480⁠。これにより、利用者を外部サーバーへ誘導することが可能です。また、ファイル名のアップロード時にファイルが重複してしまった場合の処理に不適切なデッドロックが発生する余地があり、小さなファイルを大量にアップロードすることでリソース過大消費を起こさせ、これによるDoSが可能でしたCVE-2014-0481⁠。あわせて、contrib.auth.middleware.RemoteUserMiddlewareによって生成されるヘッダを改ざんすることが可能で、セッションハイジャックが可能な問題({CVE-20140-0482}⁠⁠、管理画面で行われるクエリ制約が、MVCのViewに対してのみ行われているため、Model構造について十分な知識を持つユーザーであれば制約を迂回してクエリを発行できてしまう問題CVE-2014-0482が存在しています。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2348-1:APTのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-September/002661.html
  • Ubuntu 14.04 LTS・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-0487, CVE-2014-0488, CVE-2014-0489, CVE-2014-0490を修正します。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-2319-3:OpenJDK 7の再アップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-September/002662.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。
  • USN-2319-2の再アップデートです。arm64・ppc64el環境で動作が不安定になっていた問題を解決します。
  • 対処方法:アップデータを適用の上、Javaを利用するソフトウェアを再起動してください。
usn-2349-1:Libavのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-September/002663.html
  • Ubuntu 12.04 LTS用のアップデータがリリースされています。LP#1370175を修正します。
  • 悪意ある加工の施されたメディアファイルを処理した際に、任意のコードの実行の可能性がある形でクラッシュする問題がありました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
  • 備考:Ubuntuの通常のアップデートと異なり、upstreamの新しいリリースをそのまま利用しています。セキュリティ修正以外の、非互換な振る舞いを含む可能性のあるバグ修正が含まれています。

おすすめ記事

記事・ニュース一覧