taraiok 曰く、

今年の4月にCanonicalはスマートフォン及びタブレット向けとして開発されてきた「Unity 8」の開発を打ち切る方針を発表した。同時に「Ubuntu for Phone」も終了した。このプロジェクトの担当者が、ブログでプロジェクト失敗の理由を考察している（LIEBERBIBER、itwire、Slashdot）。

失敗の理由としてはターゲット層の絞り込み失敗、ユーザーエクスペリエンスが悪い、デバイス入手が難しい、オープンコミュニティ主導にならなかったなど7項目が上げられている。

また、開発中バグが多数あったにもかかわらず、バグの修正よりもデバイス対応を増やすことに注力していたなどの問題点も指摘している。彼はプロジェクトに参加したことを後悔はしていないとしているものの、2016年の中頃に退社していたという。今は自由な時間を使って世界を旅しているそうだ。

IntelのSkylake/Kaby Lakeプロセッサにおいて、Hyper Threading Technology（HTT）関連のバグがあるという話が出ている（debian-user/debian-develメーリングリストへの投稿、Phoronix）。

この問題は、Hyper Threadingを有効にした場合、特定の状況下で予測できない振る舞いをするというもの。これによってシステムやアプリケーションが不正な挙動を行い、データの不整合や消失が発生する可能性があるという。この問題はIntel側でも認識されており、「Short Loops Which Use AH/BH/CH/DH Registers May Cause Unpredictable System Behavior.」としてErattaも出されている。

この問題はOSに関係なく発生するが、BIOS/UEFIでHyper Threadingを無効化する、もしくはプロセッサのマイクロコードのアップデートを行う等で対処が可能という。すでにDebianではこのマイクロコードをintel-microcodeパッケージで配布しているそうだ。

LinuxやUNIX系OSにおいて、一般ユーザーが不正に特権を得ることができる「Stack Guard Page Circumvention」と呼ばれる攻撃手法が発見された（Red Hat Customer Portal）。Linuxカーネルやglibc、sudoなどの脆弱性を利用するもので、幅広い影響が出るようだ。

ベースとなっているのは、スタック領域に多量のメモリ割り当てとデータ書き込みを行ってスタック領域を溢れさせることで、ヒープ領域のデータを不正に書き換えられることがあるという問題。Red Hatによると、関連する脆弱性はCVE-2017-1000364（Linuxカーネルのstack guard pageの脆弱性）、CVE-2017-1000366（glibcでLD_LIBRARY_PATHの値に細工をすることでヒープ/スタックの値を操作できる脆弱性）、CVE-2017-1000367（sudo 1.8.20以前の入力バリデーションの不備）という3つとされている。osdn曰く、

スタック範囲を他のメモリ領域と衝突させて悪用できる問題は2005年と2010年に示され、対策が取られてきました。しかしセキュリティ企業Qualysが19日、少なくともLinux、OpenBSD、NetBSD、FreeBSD、Solarisのi386とamd64では対策の不備があり、実際に悪用可能か、少なくともPoCが存在することを示しました。（ITmedia）。

数多くの入口からローカル権限上昇攻撃ができた （あるいは理論上可能な道筋がある） そうです。緩和策としてはlimits.conf等でスタックを制限することなどがありますが、完全ではありませんし副作用も大きいです。各ベンダーには既に通知され、順次対策が取られることになっていますので、アップデートの用意をしておくのが最善でしょう。

アドバイザリによれば、Debianでも8.5と8.6、また8.xと9以上の間には脆弱さに大きな違いがあり、最新のものほど効率よく悪用することは難しくなってきているそうです。

しかし現状で最も簡単に悪用できる方法はi386のDebianでEximを使ってローカル権限上昇をすることだ、とQualysは指摘しています。またOpenBSDではatを使って攻撃しようとしたものの、ファイルシステムが遅すぎて、一週間かけてもヒープがスタックに届くほどの数のジョブファイルを作成できなかったそうです。

なお、今回は64bitでもスタックと他領域が近い場合があることも示されましたが、基本的にはメモリ領域が広い方が安全です。

grsecurity/PaXにはスタック・ガードページの大きさを変更できる機能があるので、これを大きくするのは簡単で有効です。またGCCには-fstack-checkというオプションがあり、各4KBページにアクセスすることで、スタックポインタが他領域に行ってしまう前に必ずガードページに当たり、SEGVになってくれるそうです。パフォーマンスに影響はありますが、長期的には良い方法だとQualysは指摘しています。

osdn曰く、

Debian 9 "stretch"の初めてのバージョンが17日にリリースされました

8.0 "Jessie"から2年も経っていますし、7.x "Wheezy"のLTSがあと1年未満ですから、既存ユーザがアップデートする良い機会になりそうですね。

また、LiveイメージにはCinnamonやMate版もありますので、新規に試してみたい人のハードルも低くなっています。

タレコミ時点では、https://www.debian.org/CD/http-ftp/にある日本のミラーサーバのうちjaistとhanzubonしか9.0を持っていないようですが、http://debian-cd.debian.net/を使うと自動的に近場からダウンロードできます。また、DebianはBitTorrentの使用を推奨していますので、利用できるならそちらをどうぞ。（https://www.debian.org/distrib/）

LXDEのLiveイメージを起動してみたところ、日本語を選択しても、いきなりClipItのダイアログが英語で出てきたので、これは英語を読めない人には勧められないな、と思いました。

Devuanプロジェクトは25日、Devuan GNU+Linux初の安定版となる「Devuan Jessie 1.0.0 Stable」をリリースした(アナウンス、 Phoronixの記事、 The Registerの記事、 Softpediaの記事[1]、 [2])。

DevuanプロジェクトはDebianにおけるsystemdをめぐる論争の結果として、「Veteran Unix Admin」を名乗るグループが2014年11月にDebianをフォークして立ち上げたプロジェクト。initシステムの自由(Init Freedom)を掲げ、Debianからsystemdへの依存を排除して任意のinitシステムを使用できるようにすることを目指す。

Devuan Jessie 1.0.0は3週間前にRC2が公開されてから大きなバグの報告はなく、重大なバグは1件もないことから、安定版としての公開に至ったとのこと。本バージョンは同時に長期サポート版(LTS)となる。Debian 7/8からのアップグレードも可能だ。

プロジェクトによれば、DevuanはDebianのあるべき姿とのことで、目標は実用的で継続的な選択肢の提供だという。ナンセンスではないユニバーサルなGNU+Linuxを提供するという計画は始まったばかりであり、このリリースの先に広がっていくとのことだ。

headless曰く、

Windowsストアから入手したアプリのみが動作するというWindows 10 Sだが、Windowsストアで提供されているUWPアプリのすべてを使用できるわけではないようだ（Windows Command Line Tools For Developers）。

MicrosoftはBuild 2017で3つのLinuxディストリビューション（Ubuntu/Fedora/SUSE）がWindowsストアで入手可能になることを発表している。これらのLinuxディストリビューションはUWPアプリとして提供されるが、実行時にはUWPサンドボックスの外で動作するなど、通常のUWPアプリとは異なる動作をするのだという。

Windows 10 Sではローカルマシンのシステムやレジストリ、ファイルシステムなどに直接アクセス/変更するアプリの使用が禁じられるため、コマンドプロンプト（CMD）やWindows PowerShell、Bash/Windows Subsystem for Linuxなどが動作しない。Windowsストアで提供されるLinuxディストリビューションについても、これらのコマンドシェルと同様の扱いとなり、Windows 10 Sでは使用できないとのこと。

Windows 10 Sは技術系でないユーザーを主な対象にしており、技術系のユーザーが必要とする機能をあえて無効化しているのだという。そのため、開発者やシステム管理者、ITプロフェッショナルなどの使用には向いておらず、Surface LaptopのようなWindows 10 Sモデルのみが用意されているマシンを使用したい場合はWindows 10 Proに切り替えることが推奨されている。

Debian 8（Jessie）ではデフォルトの起動システムとしてsystemdが採用されたが、これに対し批判的なメンバーらが立ち上げたフォークプロジェクト「Devuan」が5月5日、バージョン1.0のリリース候補版である「Devuan Jessie 1.0.0 RC2」を発表した（gihyo.jp）。

Debuanではinitシステムを自由に選択できる「Init Freedom」を掲げており、旧来から使われていたsysvinitだけでなく、openrcやrunit、sinitといったinitシステムも提供されるとのこと。

headless曰く、

国際線の機内食は事前に指定することで食物アレルギーや食物不耐症、宗教などに対応したメニューを選択できるが、英国の男性が東京からシドニーへ向かうANA便でグルテンフリーを指定したところ、朝食がバナナ1本だったそうだ（The Telegraph、Foodbeast）。

男性はロンドンから東京経由でオーストラリアへ向かっていた。夕食はちゃんとしたグルテンフリー機内食が提供されたのだが、朝食に出てきたのは「GF（グルテンフリー）」と書かれた付箋付きのバナナ1本。ナプキンやナイフ・フォーク、塩などの入った袋が添えられていたとのこと。彼が苦情を言うと乗務員は問題を認識したようだが、通常の朝食が提供された周りの乗客は笑って見ていたという。

ANAはTelegraph Travelに答え、男性には申し訳ないことをしたと謝罪し、グルテンフリー機内食の提供内容などの見直しをすると述べたとのことだ。

headless 曰く、

Fedoraが、標準でMP3をフルサポートすることを発表した（Fedora Magazine、BetaNews、Phoronix）。

Fedora Workstationでは昨年11月、MP3デコードに関する特許の存続期間が満了したことを受け、mpg123ライブラリとGStreamerでのMP3デコードを有効化していた。さらに4月23日、Fraunhofer IISとTechnicolorがMP3関連特許とソフトウェアのライセンスプログラムを終了したことから、Red Hatの法務部門がFedoraへのMP3エンコーダー追加を認めたとのこと。

これまではライセンスの問題からFedoraのベースディストリビューションにMP3デコード/エンコード機能を含めることは困難だった。そのため、多くのユーザーがサードパーティーのリポジトリからMP3関連のライブラリをインストールしていたが、近いうちにFedora標準でMP3エンコードが可能になる。

Debianプロジェクトで複数のパッケージのメンテナンスを行っていたDmitry Bogatov氏が、ロシア当局に逮捕された。GlobalVoicesによると、容疑は暴動を引き起こすよう計画し、テロ活動を起こすよう呼びかける内容の投稿をロシアのネット掲示板に投稿したというもの。氏は容疑を否認している。

当局はIPアドレスから問題の投稿がBogatov氏によるものだと判断したようだが、TorやIPアドレス偽装技術などを使って氏以外のものが投稿を行った可能性もあるという話も出ている。

これを受けてDebianプロジェクトは声明を出し、氏が使用していた鍵を無効化するという対応を行ったと説明している。また、Bogatov氏はTorの中継オペレータとしても活動していたが、これに対してTorプロジェクトはTorネットワーク内での活動については一切収集・記録していないとし、この件については何の情報も持っていないという声明を出している。

あるAnonymous Coward曰く、

4月13日、Ubuntu 17.04（コードネーム「Zesty Zapus」）がリリースされた（Kledgeb、OSDN Magazine）。

本リリースではコード名がついにアルファベット最後の一文字「Z」に到達しました。次はどんな命名規則でコードネームをつけるのでしょうか。アンドロイドのように似たような方式でコードネームをつけるプロジェクトにとっては良き先例ないし反面教師になるのでしょうな。まあアンドロイドZは当分先だけど。

annoymouse coward 曰く、

ユナイテッド航空で、一度は着席した乗客が保安官にボコボコにされ飛行機から引きずり降ろされると言う前代未聞の出来事が起きた。Twitterで拡散された動画には、血まみれの乗客が機内通路を無残に引きずられる様子が鮮明に写っており、航空会社には非難が殺到している（Newsweek、ITmedia）。

事の発端はオーバーブッキング。手違いで座席が不足したため、航空会社はランダムに選んだ乗客4名に他の便への振替を要求した。しかしその中の1名がそれを拒否したため，保安官が無理やり引きずりおろした，ということらしい。

LinuxにはOOM killer という仕組みがある。OOM Killerはシステムがメモリ不足（Out of memory）になると発動し、ランダムに選んだプロセスをkillつまり強制終了することで、空きメモリを取り戻す。この仕組みは従来から「墜落しそうな飛行機が乗客をランダムに選んで窓から放り投げることで墜落を避けるような恐ろしい仕組み」という例え話で多くの利用者から批判されてきたが，ユナイテッド航空は例え話を現実のものにしてしまったようだ。

Androidと競合するLinuxベースのスマートデバイス向けOS「Tizen」はセキュリティ的に多くの問題を抱えているとの話が出ている（MOTHERBOARD、FOSSBYTES）。

このたびイスラエルの研究者らがTizenに40もの未公開のセキュリティ問題が存在すると指摘。さらにそのソースコードについて研究者は「今まで見た中で最悪のコードだ」と評している。外部から任意のコードを実行させるような深刻な脆弱性もあるそうだ。さらに、 SamsungがTizen向けに提供しているアプリストア「TizenStore」を利用するためのアプリケーションにも脆弱性があり、本来Samsungの審査を受けたアプリのみがインストール可能であるにも関わらず、脆弱性を付くことでそうでないソフトウェアもインストールできてしまうそうだ。

TizenはLinux Foundation傘下で進められているプロジェクトで、Samsungが採用に積極的な姿勢を見せている。すでに新興国向けスマートフォンなどでの採用例もある。

hylom 曰く、

UbuntuおよびCanonical創設者のMark Shuttleworth氏は5日、Ubuntuスマートフォンやコンバージェンス(スマートフォンに外部ディスプレイなどを接続してデスクトップPCとして使用する機能)のシェルとなっているUnity 8への投資を打ち切り、来年リリースされるUbuntu 18.04 LTSではデフォルトのデスクトップ環境をGNOMEに変更する方針を明らかにした(Ubuntu Insightsの記事)。

Shuttleworth氏によれば、既存のクローズドな技術に代わるものとしてコンバージェンスを推進してきたが、コミュニティーからイノベーションではなくフラグメンテーションだと受け止められ、業界からの支持も得られなかったことから、Unityデスクトップの廃止を決めたとのこと。

一方 kawakazu 曰く、

Ubuntuは今後、クラウドとIoTに注力する。Unity 8の開発中止に合わせ、マルチデバイス対応ディスプレイサーバー「Mir」の開発も中止するようだ。

タレコミ者的にはTurbolinux wizpy音楽プレーヤーみたいなのも出て来ると期待していたが、デスクトップOSとモバイルOSの統合はかなり難しいようだ。

Shuttleworth氏はGoogle+への投稿で、多くのIoTプロジェクトがMirを使用していると述べていることから、規模を縮小しつつMirの維持は続けられるものとみられる。CanonicalではUnityチームの半数以上を解雇しており、Shuttleworth氏がCanonicalのCEOに復帰するとも報道されている。一方、コミュニティーではUnity 8をフォークする動きも出ているとのことだ。

中国・中標軟件がWindows 7風のユーザーインターフェイスを持つデスクトップOS「中標麒麟卓面操作系統V7.0」をリリースした（中標軟件の発表、PC Watch）。

このOSは中国の龍芯（Loongson）が開発したCPU「龍芯3号」で動作するとのこと。龍芯はMIPSベースのCPUで、独自の命令セットを備えているのが特徴。さらに、x86やARMのバイナリを逐次変換して実行する機能も備えている。龍芯3号が搭載されたノートPCも発売されるようだ（PC Watchの別記事）。