Ubuntu Weekly Topics

2014年10月3日号 14.10の〆切間際の攻防・“shellshock”の振り返り・UWN#385

この記事を読むのに必要な時間:およそ 3 分

14.10の開発・〆切間際の攻防

14.10は10月9日のKernel Freeze注1や10月16日のFinal Freezeに向け,さまざまなパッチ提案とそれに伴う攻防が繰り広げられています。

たとえば,ARM64環境のPCIサポートについて,⁠このパッチは大きすぎて影響が読めない上に3.18のやつだし,まだほとんどテストされてないからダメ。却下(NAK)⁠ではこっちならどうだ,汎用的なPCIサポートは捨ててX-Gene専用にしたから影響範囲も狭いし,手元では実際問題なく動いてる!」というやりとりがあったり,あるいはUbuntu Core関連の,なにかするために必要になりそうな謎のパッケージのアーカイブへの投入要請があったり,といった,Ubuntuの開発終盤では非常によく見かける光景が観測できます。14.10のリリースに間に合わせることを考えると最後の一週間なので,しばらくの間はアップデートに注意が必要です。

とはいえ,UbuntuそのものはMir/Unity 8の投入がまだ先ということもあり,比較的落ち着いたリリースとなりそうです。他のフレーバーについてはUbuntu MATEを始めとしたいくつかの変化がもたらされる予定です。これらの変更についてのユーザーへの影響はUbuntu Weekly Recipeで紹介されるでしょう。

注1
カーネルについてはテストの都合もあるので,今日明日がほぼ最後のタイミングです。

“shellshock”現状のまとめ

先週世界を騒がせた⁠shellshock⁠について,Ubuntuでの現状を簡単に振り返ってみましょう。

短いまとめとしては,⁠2014年10月2日時点でのUbuntuにおけるbashパッケージは,usn-2364-1が最新版で,このバージョンであれば⁠shellshock⁠の影響を防ぐことができる」です。

現状として,⁠shellshock⁠を構成する脆弱性は合計6つあり,次のCVE IDが割り振られています。

  1. CVE-2014-6271
  2. CVE-2014-7169:通称⁠Taviso⁠バグ
  3. CVE-2014-7186
  4. CVE-2014-7187
  5. CVE-2014-6277
  6. CVE-2014-6278

このうち重要なのは1・2・5・6の4つです。いずれも環境変数経由での関数処理機能の問題で,特殊な文字列を与えることで任意のコマンドを実行できる(=bashが本来実行することを期待されているのとは別の,攻撃者が期待するコマンドが実行できてしまう)脆弱性です。

3・4は,通称⁠Taviso⁠バグ注2修正の過程で発見された比較的軽微なメモリ破壊バグで,ほとんどの場合,無視しても現実的な実害はありません注3)⁠また,usn-2364-1の時点で対応済みです。

5・6はメモリ破壊としては比較的典型的な形でコード実行につながるものです。10月2日時点のUbuntuではCVE-2014-6277CVE-2014-6278への明示的な対応は記述されていませんが,⁠Florian's patch⁠注4と称されるパッチによって保護されます。Ubuntuでは,Florian's patchはusn-2364-1でマージされています(注5)⁠strong>

ということで,usn-2364-1で提供される以下のバージョンのパッケージに更新されていれば(そしてさらに⁠shellshock⁠ファミリーに新しい脆弱性が追加されなければ)Ubuntuにおける⁠shellshock⁠への対応は完了となります。

  • 14.04 LTS: 4.3-7ubuntu1.4
  • 12.04 LTS: 4.2-2ubuntu2.5
  • 10.04 LTS: 4.1-2ubuntu3.4

あらためて,管理下にあるシステムが上記のバージョンに更新されていることを確認してください。

注2
Tavisoは1.の修正漏れを指摘した人物の名前です。
注3
攻撃によってbashを確実にクラッシュさせることができるため,bashスクリプトがCGI経由等で公開されているといった場合は,深刻なサービス妨害につながるシナリオを仮定できないわけではありません。
注4
これも人名で,Red Hatが2.への対応時に,⁠今後同類のバグがあった場合にあわせて対応する」ために作成したパッチでの作者です。このパッチを適用すると,関数エクスポート時にBASH_FUNC_で始まり()で終わる形で環境変数に登録されるようになります。
注5
usn-2364-1「In addition, this update introduces a hardening measure which adds prefixes and suffixes around environment variable names which contain shell functions.」という記述がこれを指します。

UWN#385

Ubuntu Weekly Newsletter #385がリリースされています。

その他のニュース

今週のセキュリティアップデート

usn-2362-1usn-2363-1usn-2363-2usn-2364-1:Bashのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-September/002674.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-September/002678.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-September/002679.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-September/002680.html
  • Ubuntu 14.04 LTS・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-7186, CVE-2014-7187を修正します。
  • ⁠shellshock⁠として知られるbashの複数の脆弱性に対応します。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
  • 備考:CVE-2014-6277CVE-2014-6278CVE-2014-7187への2度目の対応となるusn-2364-1によって無害化されていますが,潜在的な脆弱性そのものは残っています。ただし,この脆弱性は「該当ユーザーの権限で任意のコードを実行できる」というものですが,この無害化により,⁠脆弱性を悪用するには対話的シェルが必要」という状態となっています。
usn-2360-1:Firefoxのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-September/002677.html
  • Ubuntu 14.04 LTS・12.04 LTS用のアップデータがリリースされています。CVE-2014-1568を修正します。
  • ASN.1ベースのデータ構造を持つ署名検証時,不正な証明書であっても正しいものと誤認してしまう問題を修正します。
  • 対処方法:アップデータを適用の上,Firefoxを再起動してください。
usn-2361-1:NSSのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-September/002675.html
  • Ubuntu 14.04 LTS・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-1568を修正します。
  • ASN.1ベースのデータ構造を持つ署名検証時,不正な証明書であっても正しいものと誤認してしまう問題を修正します。
  • 対処方法:アップデータを適用の上,NSSを利用しているアプリケーション(EvolutionやClomium)を再起動してください。
  • 備考:Ubuntuの通常のポリシーと異なり,upstreamの新しいリリースをそのまま利用したアップデートです。セキュリティ修正以外のバグフィックスも含まれています。
usn-2360-2:Thunderbirdのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-September/002676.html
  • Ubuntu 14.04 LTS・12.04 LTS用のアップデータがリリースされています。CVE-2014-1568を修正します。
  • ASN.1ベースのデータ構造を持つ署名検証時,不正な証明書であっても正しいものと誤認してしまう問題を修正します。
  • usn-2360-1でのFirefoxの更新と同等のアップデートをThunderbirdに適用したものです。
  • 対処方法:アップデータを適用の上,Thunderbirdを再起動してください。
usn-2365-1:LibVNCServerのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-September/002681.html
  • Ubuntu 14.04 LTS・12.04 LTS用のアップデータがリリースされています。CVE-2014-6051, CVE-2014-6052, CVE-2014-6053, CVE-2014-6054, CVE-2014-6055を修正します。
  • 大きな解像度がセットされている場合・特定のプロトコルメッセージのサイズが想定よりも大きな場合・拡大サイズとして0がセットされた場合・ファイル転送機能に悪意ある加工が施されている場合にクラッシュが生じる問題がありました。一部の振る舞いについてはメモリ破壊を伴うため,任意のコードの実行につながる可能性があります。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-2366-1:libvirtのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-September/002682.html
  • Ubuntu 14.04 LTS・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-0179, CVE-2014-3633, CVE-2014-5177を修正します。
  • 外部エンティティ定義を利用するXMLファイルを読み込む処理に問題があり,クラッシュを誘発させることが可能でした。14.04 LTS環境で細粒度アクセス制御を有効にしている場合,任意のファイルの読み込みが可能です。また,12.04 LTS・14.04 LTS環境ではblkiotuneクエリが正しく実行されず,クラッシュが生じる問題を合わせて修正しています。
  • 対処方法:アップデータを適用の上,システムを再起動してください。

著者プロフィール

吉田史(よしだふみひと)

Ubuntu Japanese Team Member株式会社創夢所属。システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

コメント

コメントの記入