パッケージのアーキテクチャが異なるため、インストールできないのかと思います。
dellカスタマイズ版Ubuntu:lpia
雑誌等でdellカスタマイズ版と触れられていないパッケージ:（一般的に）i386

対策としてはlpiaとしてビルドされたパッケージを探せば良いかと考えます。

最後の編集者: kk (2009-02-03 00:39:39)

kk様、STGSAGWAN様
ありがとうございました。

結局、DEBSフォルダに移動してもエラー発生でインストールできませんでした。
デルのubuntuダメですね。ATOKもインストールできないし、本日、デル テクニカルサポートに電話を入れましたが、中国人の金さんが対応しただけでした。ubuntu担当部署に直接連絡をとるように迫りましたが、答えは、プリインストール以外のソフトについてはサポート外という返事。
それなら、日本語 Remix CDをインストールしたって同じ事だと言うことがよく分かりました。

デルのubuntuならcanonicalのサポートがあるとの情報も得ておりましたが、金が申すにはそのようなことは全くないとの事です。

デルのubuntu最低ですね。windows vistaに劣るとも優らない駄目さです。

ちょっと、日本語Remix CDでインストールし直してみますね。

購入条件に書いてある内容をシカトするのはかなりどうかと思うのですが、

https://launchpad.net/~openoffice-pkgs/+archive/ppa

とかある程度ちゃんとした方法があるのに、何故オフィシャルビルドからヘンな方法でインストールしようと苦戦されているのでしょうか……。

STGSAGWAN による投稿:

hito による投稿:

何故オフィシャルビルドからヘンな方法でインストールしようと苦戦されているのでしょうか……。

うーん、「聞いた事もない」リポジトリやサイトから入手するよりも、オフィシャルHPから入手するのは、Ubuntuユーザ(PCユーザ)としては正しいというか推奨される行動だと思うんですが、どうなんでしょう。
# もちろん、正規のリポジトリから手に入るならそこから入手するのが一番ですけど。

なるほど。だとすると結構困ったことになりそうな気がしてきました。
それなりに手順やリポジトリ管理を理解されている方がオフィシャルなサイトからダウンロードしてインストールするのは構わないのですが、一定の理解なく無理矢理にインストールするとアップデート・アップグレード時にかなり悲惨なことが起きる可能性があります（し、ハッシュなどによる安全性のチェックが行われていないのであれば、PPAから使うよりよほど危険な展開になりかねません）。

セキュリティ的には「野良から入れない」は正しいのですが、システムの整合性の面からは「オフィシャルからであっても入れるべきではない、むしろPPAの方がマシ」なのです。そしてハッシュのチェックといった、セキュリティ的に暗黙で期待されることをしないのであれば、トータルで見るとオフィシャルから落とす方がよほどいろんな意味で危ないと思われます。

STGSAGWANさん的な把握に基づいて教えて頂ければと思うのですが、

　・上記の背景を踏まえて、「こうなっているとユーザ的にはありがたい」ということを理想論と現実論に分けて教えてください。
　・これがダメだったと思う、とかでも構いません。

ちなみに、自分は8.04でOOo 3系列を使いたいという要望自体がどの程度切実なのかも分かってなかったりします（←それダメだろ）。

　hito さんが強調したいのは、わたしが太字赤色にしたところ、と理解してよろしいでしょうか？　

いえ、「アップデート・アップグレード時にかなり悲惨なことが起きる可能性があります」の方が差し迫った危機だと思います。ハッシュうんぬんもきっちりチェックして欲しいですが。

hitoさん による投稿:

セキュリティ的には「野良から入れない」は正しいのですが、システムの整合性の面からは「オフィシャルからであっても入れるべきではない、むしろPPAの方がマシ」なのです。そしてハッシュのチェックといった、セキュリティ的に暗黙で期待されることをしないのであれば、トータルで見るとオフィシャルから落とす方がよほどいろんな意味で危ないと思われます。

　この部分も一般論として理解してよろしいでしょうか？

この「一般論」という単語が示す範囲が微妙ですが、「Firefoxなどもそうか？」という意味では、はい。ただしDebパッケージで入れないのであれば話は変わってきます。

avidya による投稿:

hitoさん による投稿:

いえ、「アップデート・アップグレード時にかなり悲惨なことが起きる可能性があります」の方が差し迫った危機だと思います。

　これは OS のアップデート・アップグレード時の話ですか？それとも各アプリケーションのアップデート・アップグレードの時の話ですか？あるいは両方ですか？

両方です。
顕在化しやすいのはOS（というかディストリビューション。8.04=>8.10など）ですが、日常的なアップデート時にも問題が起こる可能性があります。

複数の軸の話が混じってきているので、リスクを分類させてください。
　・パッケージ管理上のリスク
　・セキュリティ的な（不正なバイナリを導入される）リスク

前者のリスクは、debパッケージの形で野良インストールした場合は常に発生します（PPAでもリスクはありますが、後述の緩和要素があります）。
これはアップデート等の失敗として顕在化します。

しかしPPAの場合は「バグっていたら直してもらえる可能性があり、リポジトリ管理者の側で対処されればユーザーが何もする必要がない」という緩和要素があります。オフィシャルに近い（そして利用者が多い）PPAであれば、対処してもらえる可能性は増します。膨大なユーザーがいる、あるいはubuntu.comの準公式レベルのチームによって運用されている場合、Main/Universeなどのリポジトリレベルですら対処される可能性があります。
しかし、PPA以外からdebパッケージを直接ダウンロードしてきて利用している場合、ユーザーが能動的に対処するしかありません。

これはソースからビルドし、インストールしているのであれば（chkinstallなどでdeb化しなければ）問題にはなりません。

逆に後者の方は、何をしようとも次の単純な法則に支配されます。
　法則a) 配布者が信用できるかどうか
　法則b) 配布チャネルが信用できるか

PPAなどでは法則a)に不安があります。これはyour own riskの範疇だと思います。
が、もし「これには悪意あるソフトウェア含まれてる」という報告がLPになされれば、そのPPAはdisableされることが期待できるので、ある程度楽観的に見ることができるのではなかろうかと思います（が、各種ソフトウェアの公式サイトに比べると信頼度は落ちるでしょう）。

b)が問題になるのは各ソフトウェアの公式サイトからのバイナリ配布が該当します。httpsで提供されている、あるいは信頼できるハッシュなどの検証手段が提供されており、利用者が正しく検証できるなら問題ありません。
# でも出来ないよねという感じですが;)

PPAではGPG署名をimportしておけば、aptが自動的に署名を検証することができるので、PPAの使い方のマニュアルに従う限り、ある程度自動的に安全性は担保されます。

で、リスクの話全体に戻ると、
　・現実的に問題が起きやすいのは前者（パッケージ管理上の問題）のはず
というのが「ソースからビルドすれば問題ないですか？」ということへの間接的な回答になります。具体的な回答としては、「ソースからビルドし、パッケージ化せずに使っていれば問題ないでしょう」となります。

hitoさん による投稿:

「Firefoxなどもそうか？」という意味では、はい。ただしDebパッケージで入れないのであれば話は変わってきます。

　この部分ですが、本家自体がバイナリパッケージの形で配布しているからリスキーである、という理解でよろしいですか？
　たとえば今日 Firefox 3.0.5 がリリースされました。3.0.4 までの Firefox にはバッファーオーバーフロー攻撃が可能な脆弱性があります。0 hour 攻撃が一般的になってきている昨今、やはりリポジトリの Firefox のアップデートを待つべきでしょうか？
　また、ソースからビルドするなら話は変わってくるという理解でよろしいですか？

そしてこちらですが、「本家自体がバイナリパッケージの形で配布しているからリスキー」という部分は前述の通りです。

でFirefox話になると、これは3.0.6ですよね。
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.6

バッファオーバーフローということでこれ（CVE-2009-0352・CVE-2009-0353）の事かと思いますが、
http://www.mozilla-japan.org/security/announce/2009/mfsa2009-01.html
これなら待ってもいいと思います。

一般論としては、
・Mainリポジトリのものであれば2〜3日なので待つ
・本気でどうしようもないパターンの場合は何かしら別の対処
が現状では妥当かと思います。幸いUbuntuの場合はセキュリティアップデートのリリースは「Mainに限る・重要性が高いものに限る」という制約こそあれ、致命的なものについては迅速なので、商用Unixのたぐいと違ってアップデートを待っても問題ないと思います。

一応、ほとんどのヒープバッファオーバーフロー攻撃のためのコードには「"安定した"コードの開発には時間がかかる」という特性があり、現状ではパッチ適用・配布のための時間の方が有意に短いため、リポジトリからの配布を待つで問題なかろうと思います。

ていうかですね、この手の攻撃コードをパッチよりも早くたたき込める攻撃者というか天才さんを仮定した場合、自力で脆弱性見つけてたたき込んでくるので、アドバイザリが出てきてから何か対策を打とうとしても実は「ゼロデイアタックの防止」という点では変わりません。優秀な攻撃者への対策としては、アドバイザリのリリースは「遅い」です。

もちろんアドバイザリが出てきてから数日で攻撃コードが作成される現状には変わりありませんから、

・見つかった脆弱性が、コマンドエグゼキューション/インジェクション・SQLインジェクションなどの攻撃コードの開発が容易なものである
・ヒープバッファオーバーフローなのだが攻撃コードの安定化が容易（アドレスが固定されてる上に上書きできるメモリの範囲・内容に制約がないとか）
・攻撃範囲がきわめて広い
・利用しているシステムの重要性が極端に高い

などといった条件が複合していれば別の対策が必要になりますので、先行してリリースされた本家版バイナリの導入なども「アリ」だとは思います。

ただ、これらは現実的にはパッチマネジメントの問題ではなく、システムレベルでの多層セキュリティ（MACとか、脆弱性のあるモジュールを切り離すとか）で守るべき部分のように思いますし、今回のFirefoxの件であればJavaScriptの無効化+フォームのボタンを押さない、でOKなんではないでしょうか。全部の脆弱性をソースレベルで検討するのはまだ出来てないですけど、たぶん攻撃者にとっては他の脆弱性(MS08-067)とかのがよほど魅力的なので、そっちが狙われてるのではなかろうかと思います。

つまり、
　・ケースバイケースで本家のバイナリを「一時的に」利用するのが正しいケースもある。
　・でもその場合も「一時的」なので、緊急避難が終わったら元に戻した方が安全。
　・今回のFirefoxの脆弱性は緊急避難が必要かというと別にそうでもない。
てな感じです。

最後の編集者: hito (2009-02-04 13:21:48)

hito による投稿:

STGSAGWANさん的な把握に基づいて教えて頂ければと思うのですが、

　・上記の背景を踏まえて、「こうなっているとユーザ的にはありがたい」ということを理想論と現実論に分けて教えてください。
　・これがダメだったと思う、とかでも構いません。

すみません、私には難しい質問で上手く答えられそうにありません。
なので、思いついたことをそのまま書きます。

Windowsでいう処のVector、窓の杜みたいな存在感をもつエンドユーザフレンドリな サードパーティのリポジトリサイトが出現すると嬉しい限りです。(もう既にありますか？)
# GetDebというサイトもありますが、あれはDebファイル配布ですものね。
そういう「有名処」が出てくれば、逆に(言い方は悪いですが)公式HPからダウンロードとかちまちまやってられん！となるのかな、と思います。

なお今のPPAはデベロッパ向けの雰囲気が相当強く感じます。トップページからしてデベロッパ気質を感じます。(批判しているわけではなく、素直にそう思うだけです)
少なくとも SourceForge.net くらいの親しみやすさになるといいな・・・。(単なる理想)

実は、PPAのこと詳しく知らなかったんです。
なんか妙にURLが長いですし、階層も深いので、誰が管理してるんだろ？ってリポジトリに対して妙な場末感を抱いてしまいました。
それなら、かのOpenOffice.orgの方が知名度あるし、そっちがいいんでない？と勝手な思い込みをしてしまいました。
もっと視野を広げて勉強します。

最後の編集者: STGSAGWAN (2009-02-04 21:49:41)

STGSAGWAN による投稿:

なので、思いついたことをそのまま書きます。

Windowsでいう処のVector、窓の杜みたいな存在感をもつエンドユーザフレンドリな サードパーティのリポジトリサイトが出現すると嬉しい限りです。(もう既にありますか？)
# GetDebというサイトもありますが、あれはDebファイル配布ですものね。
そういう「有名処」が出てくれば、逆に(言い方は悪いですが)公式HPからダウンロードとかちまちまやってられん！となるのかな、と思います。

なお今のPPAはデベロッパ向けの雰囲気が相当強く感じます。トップページからしてデベロッパ気質を感じます。(批判しているわけではなく、素直にそう思うだけです)
少なくとも SourceForge.net くらいの親しみやすさになるといいな・・・。(単なる理想)

なるほど。ということは、
　・PPAの存在が広く知られていて
　・かつ利用が簡単
という状態ならOKって感じですかね……。（どっちが先なのかは微妙なところですが。簡単に使えないと広まらないかな……）

どうもありがとうございます。ヘタに各ソフトウェアのオフィシャルバイナリdebを導入するのはトータルで見ると嬉しくないので、なにかしら考えてみようかと思います。

むしろ公式じゃないからこそ好き勝手が許されてる感がありますので、Japanese Teamリポジトリ入りはちょっとなーという気がします。