Debian プロジェクト技術委員会は 16 日、merged-/usr を Debian 12 では延期すると発表した (メーリングリストでのアナウンス、 Phoronix の記事)。

merged-/usr (UsrMerge) はルートファイルシステムのディレクトリ (bin・sbin・lib) を /usr 以下のサブディレクトリへ移動し、ルートファイルシステムにはそのシンボリックリンクを置くというものだ。Debian 11 では merged-/usr と non-merged-/usr が混在しているが、Debian 12 ですべてを merged-/usr へ移行する計画が 2021 年に示されていた。しかし、マージ後の /usr ファイルシステムのレイアウトの状態や、既存の Debian 11 に対するアップグレードパスの扱いに関する開発者からの疑問がいくつか解決していなかったという。

今回技術委員会では採決の結果、次の採決で取り消されるまで merged-/usr 実施の延期を決定した。個別のプロジェクトのメインテナーに対しては、早まってルートファイルシステムからファイルを /usr に移動しないことを推奨し、Debian 12 リリース時点で /usr・/bin・/lib*・/sbin の各ディレクトリに格納されていたファイルはそれぞれのディレクトリ内にとどまり、Debian 12 リリース後に /bin・/lib*・/sbin から /usr へ移動したファイルは元の場所に戻されるべきとのこと。

次の採決は Debian 13 "Trixie" の開発サイクル内で行う見込みとのことだ。

ハワイのジェミニ天文台が、地球に最も近いブラックホールを発見したそうだ。今回発見されたブラックホールは「ガイアBH1」と呼ばれ、地球から見て黄道上のへびつかい座の方向に位置する。質量は太陽の10倍ほどだという。距離にすると1600光年離れており、これは天文学的スケールからすると非常に近い距離であるとされる。これまでに発見されていたブラックホールで最も近いとされていた「一角獣座X-1」と比べると、新たに発見されたガイアBH1は地球との距離は3分の1ほどという近距離。ジェミニ天文台を運用している米NSF国立光赤外線天文学研究所は「私たちの宇宙のすぐ裏庭」ほどの距離だと説明している（Oxford Academic、GIGAZINE、ニューズウィーク日本版）。

Debian プロジェクトが採決を行い、公式イメージのインストーラーで非自由な (プロプライエタリの) ファームウェアを同梱可能にした (決議案、 採決結果、 The Register の記事)。

Debian では長らく非自由ファームウェアのサポートを避けてきたが、このようなファームウェアバイナリなしではモダンなコンピューターが完全に動作しなくなってきているというのが提案理由だ。

選択肢は大きく 3 つに分けられる。

1. 非自由ファームウェアを含む唯一のインストーラー
2. 非自由ファームウェアを含むインストーラーと含まないインストーラーの両方
3. 非自由ファームウェアを含むインストーラーを認めない

実際のオプションは以下のような 7 つとなる。

1. 唯一のインストーラー
2. 両方のインストーラーで非自由ファームウェアを含む方を推奨
3. 両方のインストーラーを提示可能にする
4. 非自由ソフトウェアを含むインストーラーを Debian の一部と認めない
5. 非自由ファームウェアを含められるよう Debian 社会契約を変更、唯一のインストーラー
6. 非自由ファームウェアを含められるよう Debian 社会契約を変更、両方のインストーラー
7. どれも該当しない

採決を勝ち抜いたのはオプション 5。Debian 社会契約の 5 番に「非自由ファームウェアを必要とするハードウェアを Debian で使用可能にするため、Debian の公式メディアには Debian の一部ではないファームウェアが同梱される可能性がある」といった趣旨の文言を追加し、同梱されるファームウェアバイナリはシステムの判断によりデフォルトで有効化されるといった声明を出すことになっている。

これにより、次期 Debian 12 (コードネーム: Bookworm) では、公式メディアに非自由ファームウェアが同梱可能となる。

台風14号が日本を通過したばかりだが、FNNプライムオンラインで台風のときに「川の様子」を見たくなる現象についての記事が掲載されている。危険であるにもかかわらず、このような行動をとってしまう人がいるのは、一体なぜなのか（FNNプライムオンライン）。

山口大学・人文学部の高橋征仁教授によると、一般には川や用水路の様子を見に行ってしまう心理は、仕事上の責任感から見に行ってしまうとされているが、進化心理学の観点では自分の縄張りを維持するためのスカウティング（偵察・哨戒行動）の一種なのだという。

教授によると、田んぼや川の様子を見に行って亡くなるのは基本的に男性であり、「若い男性」と「初老の男性」がこうした行為をおこないやすいのだという。教授によると女性の場合は、子どもや親の救出・安否確認が関心の焦点となることから、田んぼや川の様子を見に行って死亡することは聞いたことがないとしている。

Raspberry Pi OS はインストール時にデフォルトユーザーとして「pi」という名前のアカウントが作成されていたが、最新リリースで廃止になったそうだ (Raspberry Pi のニュース記事、 Phoronix の記事、 The Register の記事、 Ars Technica の記事)。

デフォルトユーザーアカウント廃止の理由はセキュリティだが、リスクとしては高くないという。それでもデフォルトユーザーアカウントの存在はブルートフォース攻撃を若干容易にすることになるため、廃止を決めたとのこと。

これにより、Raspberry Pi OS Bullseye の最新ビルドを新規フラッシュした場合、セットアップウィザードの中でユーザーアカウント作成のプロンプトが表示される。そのため、これまでウィザードの実行はオプションだったが、今後は実行をキャンセルできなくなる。

なお、アカウント作成プロンプトでアカウント名に「pi」を入力すると一応警告が表示される。ただし、ソフトウェアの中にはアカウント「pi」を必要とするものもあるため「pi」を完全にブロックすることはなく、アカウントの作成自体は可能にしているとのことだ。

今年後半に提供が予定されているFedora Linux 37では、従来のレガシーBIOSサポートを廃止、UEFIをx86_64環境の動作要件にする方針であるという。廃止された場合、非UEFI環境に関しては新規のインストールが出来なくなる。タレコミにもあるが、影響するのは新規インストールのみで、現状レガシーBIOS環境で運用している場合はアップグレードは可能であるとしている（FedoraWikiページ、Phoronix）。

あるAnonymous Coward 曰く、

Debian GNU/Linuxなら大ニュースだけどFedora Linuxなら妥当な提案ですね
ついでにCPUの要件もx86-64-v2に引き上げてほしい

既にインストール済みのシステムはFedora Linux 37にアップグレード可能なので早とちりしないよう注意

Leaning Technologiesは2月1日、Webブラウザーでx86仮想マシンを実行可能な「WebVM」を公開した。WebVMは主要なWebブラウザであれば、URLにアクセスするだけでWebブラウザ上にx86仮想マシンを動かせるようになる。WebVMではx86仮想マシンの上でLinux OSのDebianがバイナリが変更なしにそのまま動作しており、さまざまなコマンドも実行可能だとしている（Publickey、窓の杜）。

WebVMはLeaning Technologiesの製品群のデモとして作成されたものだという。WebVMでは、同社の「CheerpX」と呼ばれるWebAssembly製のx86マシンの仮想化技術をコアとして使用しており、CheerpXはx86のバイナリコードをWebAssemblyに変換して実行するJIT（Just In Compiler）機能を備えているという。

Debian が現在、Web ブラウザーサポートで悲しい状況となっているそうだ (Phoronix の記事)。

Debian に同梱されているブラウザー (Chromium、Firefox ESR、Falkon など) はいずれも、パッケージメインテナーが簡単に修正できないセキュリティ上の問題を抱えているという。Debian の Chromium はいまだにバージョン 90.0.4430.212-1であり、Debian Wiki では Firefox や Brave、ungoogled-chromium などへの移行を検討するよう求めている。

Debian の Firefox ESR はバージョン 78.15.0 (安定版の Debian 11 Bullseye では 78.14.0)で止まっており、91.x ESR ブランチへの移行が遅れている。これは Firefox ESR 91.3 で安定性の問題が報告されたためだ。ESR 91.3 はデフォルトで EGL を使用するよう変更されており、Bullseye の mesa (バージョン 20.3.5) が EGLの要件 (mesa 21.x 以上)を満たさないためではないかとも指摘されていたが、問題は ESR 91.4 で解決済みになっている。

このほか Falkon など Debian に同梱される他のブラウザーも長らくセキュリティパッチが適用されていないとのこと。Phoronix に問題を提起した読者はこの状況の非常に悲しい部分として、非自由なソフトウェアをデフォルトでユーザーから遠ざけるという哲学を持つ Debian が逆に人々を Google Chrome や Opera といったクローズドソースへ向かわせている点を指摘し、Debian プロジェクトにとって厳しい時期であると述べている。

headless 曰く、

Linux Mint プロジェクトは 1 日、次期リリース Linux Mint 20.3 のコードネームが「Una」になったことを発表した (The Linux Mint Blog の記事、 Neowin の記事、 BetaNews の記事)。

Linux Mint ではマイナーバージョンでアルファベットが 1 つ進んだバージョン 17.x を除き、メジャーバージョンにアルファベット順の女性の名前が割り当てられ、マイナーバージョンにはメジャーバージョンと同じ頭文字の女性名が割り当てられている。バージョン 19 ～ 19.3 は「Tara」「Tessa」「Tina」「Tricia」だったが、バージョン 20 ～ 20.3 はなぜか「Ulyana」「Ulyssa」「Uma」「Una」のように紛らわしいことになっている (Linux Mint Releases)。

Una は Cinnamon / MATE / Xfce の 3 つのフレーバーでクリスマスの安定版リリースが予定されている。Una ではライトテーマで特定のアプリのダーク表示を可能にするアプリのダークモードが追加され、削除されたテーマを含む新パッケージ mint-themes-legacy が利用可能になる。また、Debian 11 ベースの LMDE 5 のコードネームが「Elsie」となったことも発表された。

Lumen Technologies の Black Lotus Labs は 16 日、Windows Subsystem for Linux (WSL) をターゲットとするマルウェアが複数見つかったことを発表した (プレスリリース、 Lumen のブログ記事、 The Register の記事)。

一連のマルウェアは主に Python 3 で書かれ、PyInstaller で Linux の ELF (Executable and Linkable Format) バイナリに変換されている。サンプルの中には MSFVenom や Meterpreter で生成した軽量ペイロードを含むものや、リモートサーバーからシェルコードのダウンロードを試みるものがあったという。初期のサンプルでは純粋に Python 3 のみで書かれていたが、最新のサンプルでは ctypes を用いて Windows API を呼び出すものや、PowerShell スクリプトをホストマシン上で実行するようなものに進化しているそうだ。

Windows 向けのエンドポイントエージェントは ELF ファイルを分析するシグネチャを持っていないとみられ、VirusTotal での各サンプル検知率は非常に低い。一方、同様の機能を持つ WSL 向けでないマルウェアはよく検知されているとのこと。

Debianプロジェクトは8月14日、Linuxディストリビューションの最新安定版「Debian 11」（コードネーム：bullseye）をリリースした。前バージョンであるDebian 10は2019年にリリースされたことから、それから約2年ぶりの更新となっている（Debian 11 bullseyeリリース、ZDNet、CodeZine、Think IT）。

新たなハードウェア対応などを含む新機能もサポートされた。exFATファイルシステムのサポートが行われたほか、ベンダーに依存しないInternet Printing Protocol-over-USB（IPP-over-USB）プロトコルを使用するipp-usbを導入、USBデバイスをネットワークデバイスとして扱えるようになった。Debian 11では、主なデスクトップ環境のバージョンとして以下のものが含まれる。

• Gnome 3.38
• KDE Plasma 5.20
• LXDE 11
• LXQt 0.16
• MATE 1.24
• Xfce 4.16

多くのLinuxディストリビューションに標準でインストールされるシステムサービス「polkit」に7年以上前から存在していた特権昇格の脆弱性が修正された(The GitHub Blogの記事、 The Registerの記事、 Computingの記事、 CVE-2021-3560)。

polkitは非特権プロセスが特権プロセスと通信するためのポリシーを定義し、認証処理を行うツールキットだ。systemdがpolkitを使用するため、systemdを使用するLinuxディストリビューションはpolkitも使用することになる。今回発見された脆弱性は、polkitが認証処理を行っている最中にリクエスト元のプロセスを終了させることで、rootプロセスからのリクエストとして認証してしまうというものだ。

この脆弱性が導入されたのは2013年11月のコミット(バージョン0.113)だが、メジャーなLinuxディストリビューションの多くに脆弱性のあるpolkitが含まれるようになったのはずっと最近のことのようだ。

Fadoraの場合は2014年12月リリースのFedora 21に脆弱性のあるpolkitが含まれているが、Red Hat Enterprise Linux(RHEL)が脆弱性を含むFedora 28ベースになったのは2019年5月リリースのRHEL 8となる。Debianはpolkitのフォークを使用しているが、脆弱性のあるバージョンを含む安定版はリリースされておらず、現在テスト中の次期リリースDebian 11 「Bullseye」にのみ脆弱性のあるバージョンが含まれる。一方、DebianベースのUbuntuは昨年4月リリースのUbuntu 20.04以降に脆弱性が含まれるとのこと。いずれの場合も、脆弱性は最新版で修正されている。

Parallelsは14日、M1 Macをサポートする仮想マシン環境の「Parallels Desktop 16.5 for Mac」を公開した。このソフトウェアは、Intelチップ搭載Mac上でWindowsやLinuxを動かすための仮想環境ツールとして広く使われてきたが、M1 Macでは利用できなかった。昨年12月にテクニカルプレビュー版を、2月にはテクニカルプレビュー2公開して準備を進め、今回はM1 Macへの正式対応版として配布される（Parallels、Engadget、PC Watch）。

なお、M1 Mac上で動作可能なものは、ArmベースのOSでWindowsであれば、現状はInsider Previewで配布されているWindows 10 on ARMが必要。Linux系では Ubuntu 20.04、Kali Linux 2021.1、Debian 10.7、Fedora Workstation 33-1.2 などをサポートしている。テクニカルプレビューには10万を超えるM1 Mac ユーザーが参加、数万種類におよぶIntelベースのWindowsアプリケーションを実行させることができたとしている。

旧来のParallels Desktop 16の有料ライセンスを所有しているのであれば、無料でバージョンアップできるという。

sudoに10年近く前から存在したヒープベースのバッファーオーバーフロー脆弱性(CVE-2021-3156)がsudo 1.9.5p2で修正された(Sudo Stable Release、 Qualys Security Advisory、 The Registerの記事、 BetaNewsの記事)。

発見者のQualysが「Baron Samedit」と名付けたこの脆弱性はsudoが引数のエスケープを処理する方法に存在し、「sudoedit -s」コマンドにエスケープされていないバックスラッシュで終わる引数を指定して実行することによりヒープベースのバッファーオーバーフローが引き起こされる。この脆弱性を悪用することで、任意のユーザー権限の攻撃者がroot権限を取得できる可能性があるという。

脆弱性が導入されたのは2011年7月で、sudoのレガシー版1.8.2～1.8.31p2および安定版1.9.0～1.9.5p1が影響を受ける。上流では安定版のみが修正されているが、レガシー版を同梱するLinuxディストリビューションでは個別に修正が行われている。

Debianが完全に自由なオペレーティングシステムを実現するため、非自由な(プロプライエタリな)ドライバー・ファームウェアを同梱するバージョンが見つかりにくいようにしていることに対し、Windows 10からの移行で苦労したユーザーがDebian開発者メーリングリストで異議を唱え、議論となっている(The Registerの記事、 メーリングリスト投稿)。

投稿者はWindows 10がプリインストールされたノートPCにDebianをインストールしようとしたが、Debianのサイトで容易に見つかる「netinst」インストールイメージでは非自由なネットワークドライバーが利用できないため、DVD版のISOイメージを探し出すまでインストールできなかったという。そのため、非自由なドライバーを含むバージョンを隠す方針はWindows 10からの移行に興味を持つ人の導入を制限しているとし、誰にでも利用できるようにすることを提案している。

これに対し、ファームウェアをnon-freeからnon-free-firmwareに移動することを提案したが総意が得られなかった、Debian開発者は「完全に自由だが動作しない環境の多いバージョン」と「非自由ソフトウェアによりほとんどの環境で動作するバージョン」の2バージョンを作成し、動作する方を隠して動作しない方をトップページに置いているなど、現状に批判的な返信がみられる。一方、非自由なソフトウェアを含むバージョンを「動作する」とはみなさず、そういうものがよければUbuntuを使えばいいといった強硬意見や、Debian側で問題を修正不可能なソフトウェアは配布できないという意見も出ている。

現在非公式版として配布されている非自由ソフトウェア同梱版にトップページからたどり着けるようにすればいいという意見も早い段階で出ていたが、議論は完全な自由を選ぶか不完全な自由を選ぶかという方向に向かっているようだ。スラドの皆さんのご意見はいかがだろうか。