Ubuntu Weekly Topics

2009年5月15日号 Ubuntu Oneのクローズドベータ・9.10のAlpha1・UWN#141

この記事を読むのに必要な時間:およそ 4 分

今週のセキュリティアップデート

今週リリースされたセキュリティアップデートは以下の通りです。デスクトップ環境としてUbuntuを利用している場合,pangoのアップデートに注意してください。このアップデータを適用した上で,一度ログアウトする必要があります。また,8.04・8.10環境でKVMを使っている方向けのアップデータがリリースされています。アップデート(2回リリースされているうちの,新しい方)を適用した上で,KVMを利用した仮想マシンを再起動する必要があることに注意してください。

usn-771-1:libmodplugのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-May/000899.html
  • 現在サポートされている全てのUbuntu(Ubuntu 6.06 LTS・8.04 LTS・8.10・9.04)用のアップデータがリリースされています。CVE-2009-1438, CVE-2009-1513を修正します。
  • CVE-2009-1438は,libmodplugのMEDファイル(Amiga MED等のサウンドファイル)の読み込みルーチンの問題で,song commentもしくはsong nameに悪意ある細工の施されたファイルを開くことにより,整数オーバーフローが生じる可能性があります。これにより任意のコードの実行やアプリケーションのクラッシュが引き起こされると考えられます。
  • CVE-2009-1513はPATファイル(Gravis UltraSound GF1のパッチファイル)を開く処理の問題で,悪意ある細工を施したファイルを開いた際に任意のコードの実行やアプリケーションのクラッシュが引き起こされる可能性があります。この問題は9.04にのみ影響します。また,PATファイルの読み込みは通常,ユーザーによる操作を必要とするため,攻撃者がこの脆弱性を悪用するためには何らかの形でユーザーにファイルを読み込ませるための操作を行わせる必要があります。
  • 対処方法:通常の場合,アップデートを行うことでこの問題を解決できます。
  • 備考:libmodplugに相当する機能を提供するコードが,他のコーデックパッケージにコピーされて含まれている可能性があります。このような場合はlibmodplugのアップデートでは問題を解決できません。
usn-772-1:MPFRのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-May/000898.html
  • Ubuntu 9.04用のアップデータがリリースされています。CVE-2009-0757を修正します。
  • CVE-2009-0757は,MPFR(高品質多倍長浮動小数点ライブラリ)の出力部の問題で,悪意ある細工を施されたデータを処理した場合に任意のコードの実行,もしくはアプリケーションのクラッシュが発生する可能性がありました。
  • 対処方法:通常の場合,アップデートを行うことでこの問題を解決できます。libmpfrをリンクしているアプリケーションを実行している場合は,アプリケーションを一度終了させ,起動しなおしてください。
  • 備考:MPFR関連のパッケージは8.04以降に含まれていますが,8.04・8.10は該当する機能が実装されていない2.3系のバージョンであるため,この問題の影響を受けません。
usn-773-1:Pangoのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-May/000900.html
  • 6.06 LTS・8.04 LTS・8.10用のアップデータがリリースされています。CVE-2009-1194を修正します。
  • CVE-2009-1194は,pangoのフォント処理の問題で,サイズパラメータに不正な値をセットした状態でフォントをレンダリングさせることで整数オーバーフローが発生し,任意のコードの実行やアプリケーションのクラッシュを発生させることが可能です。この問題を利用してFirefox上で任意のJavaScriptを実行できることが示されています。
  • 対処方法:アップデートを適用した上で,再ログインしてください。
  • 備考:9.04ではこの問題は修正済みです。pangoはGTKやFirefoxなどの多くのソフトウェアで利用されている,多言語処理のためのバックエンドです。
usn-774-1:MoinMoinのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-May/000901.html
  • Ubuntu 8.10・9.04用のアップデータがリリースされています。CVE-2009-1482を修正します。
  • 対処方法:通常の場合,アップデートを行うことでこの問題を解決できます。
  • 「添付ファイル」ページに用いられるAttachFile.pyにおいて,添付ファイルのリネーム時に与えられたファイル名をエスケープせずに利用していたため,XSSが可能でした。
  • 備考:8.04等,より古いMoinMoinでの同種の問題はCVE-2008-0781としてCVE IDを付与されています。これらはusn-716-1として対処されています2009年2月6日号参照)⁠
usn-776-1usn-776-2 KVM vulnerabilities
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-May/000903.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-May/000904.html
  • 8.04LTS・8.10用のアップデータがリリースされています。CVE-2008-1945, CVE-2008-2004, CVE-2008-2382, CVE-2008-4539, CVE-2008-5714を修正します。
  • 備考:USN-776-2は,USN-776-1で行われた修正にエンバグが含まれており,libvirt経由で仮想マシンを起動できなくなる問題に対処したものです。
  • CVE-2008-1945CVE-2008-2004は,いずれもKVMの仮想ディスクファイルの読み込み処理の問題です。悪意ある細工を施したパーティション情報を持つ仮想ディスクファイルを読み込ませることで,ホストマシンのファイルを読み出すことが可能でした。
  • CVE-2008-2382は,KVM-QEMUが利用するVNCのプロトコル処理の問題です。悪意ある細工を施したVNCメッセージを送付することで,CPUを浪費させ,結果としてDoSを発生させることが可能でした。
  • CVE-2008-4539は,KVM-QEMUがエミュレーションする(Cirrus LogicのLGD-54XXチップに見える)仮想ビデオカードの実装の問題です。VNCコンソールで接続した状態で細工を施したbitblt命令を実行させることで,ヒープバッファオーバーフローを発生させ,任意のコードの実行・DoSなどを引き起こすことが可能でした。
  • CVE-2008-5714は,KVM-QEMUの問題で,VNCのパスワード認証を行う際,8文字目を無視してしまう問題です。これによりパスワードの強度が想定よりも下がってしまっています。
  • 対処方法:アップデータを適用した上で,KVMベースの仮想マシンを再起動してください。
usn-775-1:Quaggaのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-May/000902.html
  • 現在サポートされている全てのUbuntu(Ubuntu 6.06 LTS・8.04 LTS・8.10・9.04)用のアップデータがリリースされています。CVE-2009-1572を修正します。
  • CVE-2009-1572は,Quaggaが4byte ASNを含むASNパスを処理する際の問題で,悪意ある細工を施したデータを送付することでbgpdをクラッシュさせることができるものです。この攻撃には,攻撃元が認証を通過していることが条件です。
  • 対処方法:通常の場合,アップデートを行うことでこの問題を解決できます。

著者プロフィール

吉田史(よしだふみひと)

Ubuntu Japanese Team Member株式会社創夢所属。システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。