[Momonga-devel.ja:02803] Momonga Linux Status Report (2004/9/18-9/25)
- From: KOMATSU Shinichiro <koma2@xxxxxxxxxxxxxxxx>
- Date: Wed, 29 Sep 2004 02:56:17 +0900
小松です。
先週分(2004/9/18-9/25)の Momonga Linux Status Report を流します。
今週のハイライトは KDE 3.3, Qt 3.3, KOffice 1.3.3 です。
また、trunk で sudo (trunk のみ影響), subversion, samba の
脆弱性が修正されており、
STABLE_1 でも squid, KDE, kaffeine の脆弱性への修正が
merge されています。
以前書いたように、wiki の方は凍結してあるわけではないので
今後更新される可能性もあります。
あくまで現時点での snapshot と思って下さい。
最新のものは
http://developer.momonga-linux.org/wiki/?StatusReport-20040925
を参照して下さい。
------------------------------------------------------------------
!Momonga Linux Status Report (2004/09/18〜2004/09/25)
2004年09月18日(土)から2004年09月25日までの変更点です(rev.3141〜3172)
!!Security Fix
!!! sudoedit can expose file contents
sudo 1.6.8 の -e オプション (aka. sudoedit) に欠陥があり、
これを利用して一般ユーザーが本来閲覧できないファイルを
閲覧できてしまうという脆弱性があります。
この脆弱性は1.6.8のみに存在し1.6.7系には存在しないので、
STABLE_1のsudoには脆弱性はありません。trunkのsudoのみに存在します。
詳細:
*http://www.sudo.ws/sudo/alerts/sudoedit.html
*[[セキュリティホール memo|http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/09.html#20040922_sudo]];
!!! subversion (CAN-2004-0749)
subversion 1.0系の 1.0.7以前、1.1 系の 1.1.0-rc3 以前に含まれる
mod_authz_svn には、
アクセスを許していない path のメタデータを
一部見せてしまうという脆弱性があります。
STABLE_1 の subversion は 1.0.8 に、
trunk の subversion は 1.1.0-rc4 にそれぞれ update されました。
詳細:
* http://subversion.tigris.org/security/CAN-2004-0749-advisory.txt
* [[CVE:CAN-2004-0749]]
!!! Samba 3.0.x Denial of Service Flaw
samba <= 3.0.6 には次の 2つの DoS bug があります。
# smbd に欠陥があり、認証中に細工したパケットを送り付けると smbd が無限ループに入る。これを繰り返すことにより、サーバーのメモリを食い尽くさせることができる。
# nmbd の MailSlot パケット処理に欠陥があり、リモートから nmbd をクラッシュさせることができる。
これらが修正された samba 3.0.7 が commit されています。
また、STABLE_1 にも samba 3.0.7 が merge され、
[[StatusReport-20040904]] にある samba 3.0.6 の脆弱性とともに
修正されています。
詳細:
* http://us3.samba.org/samba/history/3.0_DOS_sept04_announce.txt
* http://www.idefense.com/application/poi/display?id=138&type=vulnerabilities
* http://www.idefense.com/application/poi/display?id=139&type=vulnerabilities
* [[BID:11156]]
* [[CVE:CAN-2004-0807]]
* [[CVE:CAN-2004-0808]]
!!! squid NTLM authentication denial of service (STABLE_1)
trunk の squid の security fix ([[CVE:CAN-2004-0832]]) が
STABLE_1 に merge されました。
詳細は [[StatusReport-20040911]] を参照して下さい。
!!! KDE の 4つの脆弱性 (STABLE_1)
trunk で修正されている KDE の 4つの脆弱性への修正が
STABLE_1 に merge されました。
詳細は [[StatusReport-20040821]], [[StatusReport-20040904]]
を参照して下さい。
!!! kaffeine 0.4.3b (STABLE_1)
trunk の kaffeine の security fix が STABLE_1 に merge されました。
詳細は [[StatusReport-20040821]] を参照して下さい。
!!重要な更新
!!! KDE 3.3, Qt 3.3, KOffice 1.3.3 (rev. 3171,3172)
KDEが[[3.3.0|http://www.kde.org/announcements/announce-3.3.php]];に、
KOfficeが[[1.3.3|http://kde.org/areas/koffice/releases/1.3.3-release.php]];に
upgradeされました({{devel_ja(2792)}})。
KDE が 3.3 から Qt 3.3.x を要求するようになったので、
Qt も Fedora Core のものを参考にするかたちで 3.3.3 に
upgrade されています。
Qt 3.3.x は 3.2.xとbinary compatibleです。
いくつか注意点など。
!!!! Qt への immoduleパッチの適用
Fedoraにならう形で
[[immodule for Qt|http://immodule-qt.freedesktop.org/]];の
patchが適用されています。
!!!! kdewebdev
HTMLエディタの quantaが他に kimagemapeditorなどを含んで
kdewebdevというパッケージに名称変更されたので、
パッケージをrenameしました。
!!!! kdemultimedia のkernel-2.4.xでのビルドエラー
kernel-2.4.{26,27}の環境ではビルドに失敗します。
どうやらkernelのヘッダに原因があるらしいのですが、
詳しいことはよくわかっていません。
kernel-2.6.xの環境ではビルドできます。
!!!! 更新されたパッケージ一覧
* arts 1.3.0-1m
* kdeaccessibility 3.3.0-1m
* kdeaddons 3.3.0-1m
* kdeadmin 3.3.0-1m
* kdeartwork 3.3.0-1m
* kdebase 3.3.0-1m
* kdebindings 3.3.0-1m
* kdeedu 3.3.0-1m
* kdegames 3.3.0-1m
* kdegraphics 3.3.0-1m
* kde-i18n 3.3.0-1m
* kdelibs 3.3.0-1m
* kdemultimedia 3.3.0-1m
* kdenetwork 3.3.0-1m
* kdepim 3.3.0-1m
* kdesdk 3.3.0-1m
* kdetoys 3.3.0-1m
* kdeutils 3.3.0-1m
* kdevelop 3.1.0-1m
* kdewebdev 3.3.0-1m
* koffice 1.3.3-1m
* koffice-i18n 1.3.3-1m
!!! ruby-rpm
ruby-rpm にいくつかの bug fix があります。
これらを直さないと install できなかったり
SIGSEGV で落ちる、などの問題があるものです。
* db.c (rpm_transaction_install rpm_transaction_upgrade transaction_callback): key として char* を渡しているが RPM::Problems では VALUE として扱うので VALUE に統一した。
* db.c (package_new_from_NEVR): バージョンが不定で RPM::Version を作ると SEGV る。
* package.c (package_s_create): return を忘れている。
* db.c (rpm_transaction_delete): TYPE(pkg) == T_STRING のとき RPM_HEADER(pkg) は type mismatch.
* package.c (rpm_package_inspect): Package#inspect を追加。
* version.c (rpm_version_inspect): Version#inspect を追加。
!!追加されたパッケージ
!!!thunderbird (rev. 3153)
Fedora Core の SRPM を元に momonga で通るようにした物を
trunk に import しました({{devel_ja(2783)}})。
メニューなどは英語のままです。
!!更新されたパッケージ
!!! firefox に firefox-remote{,-tab} を追加
mozilla と同じように、firefox-remote, firefox-remote-tab を追加しました.
これを使うと、既にfirefox が起動されていれば新規{窓,tab}で、
起動されていなければ新たに firefox を起動して
指定された URL を開くことができます.
!!! その他の更新
* libiconv (rev. 3141)
** [[libiconv-1.9.2-cp932 patch|http://www2d.biglobe.ne.jp/~msyk/software/libiconv-1.9.2-cp932-patch.html]]; を追加。
** glibcのiconvとのconflictを解消
* gaim (->1.0.0)
* gnome-applets, gnome-media: rebuild against gstreamer-0.8.5-1m
* flashplayer: add firefox-plugin-flashplayer
* mozplugger: add firefox-plugin-mozplugger
* mdadm: kernel 2.6 用の修正
* kita (->0.170.0-0.20040921.1m)
* tftp (->0.39)
* xmms-vumeter ({{devel_ja(2785)}})
** 新しい skin (by, classic) 追加
** update spec to create a link to skins in the installer user's home directory.
* bind
** -> 9.2.4
** bind-manpages.tar.bz2 で配布元の man page が上書きされていたが、配布元の man page の方を使うようにした。
* k3b(->0.11.17)
* iproute: kernel 2.6 用の修正
* SpamAssassin (-> 3.0.0.)
* OmoiKondara.logを無視するように変更された (rev. 3150)
!!webの更新
!!!http://www.momonga-linux.org/errata/