Ubuntu Weekly Topics

2017年5月19日号 Canonicalの次の一手, i386アーキテクチャに関する議論, UWN#507

この記事を読むのに必要な時間:およそ 4 分

Canonicalの次の一手

ZDNetがCanonicalが行う次の一手について報じています。内容は「Mark Shuttleworthへのインタビューを行い,Canonicalは将来的にIPO(上場ないしパブリックな新株公開)を目指す,今回行われたさまざまな方針転換や,明確なクラウド・IoTへの注力はそのためのものだ」というものです。先日の方針転換がビジネス的な観点の強いものであることを含め,非常に納得感のある結論となっています。

現時点ではごくわずかな情報しかなく,また,具体的な時期の確定した計画ではない(公開までに多くのやることがあり,そもそもそのタスクリストを整理する段階にしかない)というものではありますが,Canonicalが今後どのようなアクションを取っていくのか,Ubuntuユーザーにとっては見逃せない動きが続きそうです。

i386アーキテクチャに関する議論

Ubuntuの開発において定期的に行われる,⁠i386は今後どうするべきか」という議論が今回も開始されました。

比較的直近に行われた2016年の議論と比較すると,今回の議論は「i386の立ち位置はレガシーになった。現代では古いハードウェアと,一部の組み込みというかIoT環境だけである」⁠よってi386環境をドロップしても,デスクトップやサーバーユーザーに対する実害は非常に限定的にになるだろう」ということが明確になっていることが大きな違いです。

xnoxによる試案としては,i386の今後は「アーカイブ,snappyイメージやCloud Images,コンテナイメージやServer(ただしSubiquityベース)やnetboot」に限って残留させ,DesktopライブイメージやこれまでのServer isoはもう不要なのではないか,というものとなっています(要約すると,⁠もう使われなさそうなデスクトップと,Subiquityベースに切り替えるServerはSubiquityに限定させて,d-iベースのものと両方出すようなことは止めよう」というものです)⁠

uwn#507

ubuntu weekly newsletter #507がリリースされています。

その他のニュース

  • 「5月17日から行われる予定だったUbuntu Online Summitはどうなるの? summit.ubuntu.comの更新はないけれど」というメールへのMichael Hallによる返信。Summitも少し新しい形になるかもしれません。
  • 『Linuxを使わずにLinux用アプリケーションを開発する方法』と題したSnapcraftの紹介注1)⁠
  • stress-ngを使って,独自の負荷パターンを定義する話。
注1
実際には「Bash on Windowsの上でもSnapcraftを使うことができる」⁠Snapcraftを使うことで簡単にアプリケーションを開発できる」というガイドです。WSL(Windows Subsystem for Linux)で動くユーザーランドは果たしてLinuxに分類されるのか,という論点がありえそうですが,このパターンでは「含まれない」という結論を選んでいるようです。

今週のセキュリティアップデート

usn-3279-1:Apache HTTP Serverのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003837.html
  • Ubuntu 16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2016-0736, CVE-2016-2161, CVE-2016-8743を修正します。
  • mod_session_cryptにおいて,CBCないしECBモードを利用している場合に暗号化されたデータとCookieに対してパディングオラクル攻撃が成立する余地がありました。また,mod_auth_digestに悪意ある入力を行うことでHTTPdをクラッシュさせること,空白文字を利用することでProxyやバックエンドサーバーに対するキャッシュ汚染攻撃を成立させることが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
  • 備考:CVE-2016-8743への対処において,既存のHTTP実装やプロトコル仕様と互換性のない対処が行われています。以前の挙動との互換性が必要な場合,"HttpProtocolOptions Unsafe"を指定してください。
usn-3280-1:Apache Batikのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003838.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2017-5662を修正します。
  • XML外部実体参照として悪意ある入力を与えることでクラッシュを誘発させることが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3281-1:Apache Fopのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003839.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2017-5661を修正します。
  • XML外部実体参照として悪意ある入力を与えることでクラッシュを誘発させることが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3282-1:FreeTypeのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003840.html
  • Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-8105, CVE-2017-8287を修正します。
  • 悪意ある加工の施されたフォントファイルを読み込むことで,メモリ破壊を伴うクラッシュが生じることがありました。任意のコードの実行が可能と考えられます。
  • 対処方法:アップデータを適用の上,セッションを再起動(一度ログアウトして再度ログイン)してください。
usn-3283-1:rtmpdumpのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003841.html
  • Ubuntu 16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2015-8270, CVE-2015-8271, CVE-2015-8272を修正します。
  • 悪意ある加工の施された入力を受け取ることで,メモリ破壊を伴うクラッシュが生じることがありました。任意のコードの実行が可能と考えられます。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3284-1:OpenVPNのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003842.html
  • Ubuntu 17.04用のアップデータがリリースされています。CVE-2017-7478, CVE-2017-7479を修正します。
  • 特定のシチュエーションを発生させることでクラッシュを誘発させることが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3275-1:OpenJDK 8のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003843.html
  • Ubuntu 17.04・16.10・16.04 LTS用のアップデータがリリースされています。CVE-2017-3509, CVE-2017-3511, CVE-2017-3526, CVE-2017-3533, CVE-2017-3539, CVE-2017-3544を修正します。
  • Java 8u131相当のOpenJDKパッケージです。
  • 対処方法:アップデータを適用の上,Javaアプリケーションとアプレットを再起動してください。
usn-3260-2:Firefox regression
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003844.html
  • Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。
  • Firefox 53.0.2のUbuntuパッケージ版です。
  • 対処方法:アップデータを適用の上,Firefoxを再起動してください。
usn-3285-1:LightDMのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003845.html
  • Ubuntu 17.04・16.10用のアップデータがリリースされています。CVE-2017-8900を修正します。
  • LightDM経由でのゲストセッションにおいて,本来期待されない領域へのアクセスが可能でした。デフォルト設定では既存のユーザーのホームディレクトリが閲覧可能なため,システムに物理的にアクセス可能な第三者によるデータの閲覧が可能でした。
  • 対処方法:アップデータを適用の上,システムを再起動してください。ただし,この措置はゲストユーザーに対する適切なアクセス制御を提供するものではなく,単純にゲストアクセスを無効にするものです。将来のアップデートにおいて,適切な制御とともにゲストアクセスが再度有効にされる予定です。
usn-3286-1:KDE-Libsのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003846.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2017-8422を修正します。
  • D-Bus経由でのアクセスの場合,Kauthは適切なユーザー確認を行っていませんでした。管理者特権の奪取が可能です。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-3287-1:Gitのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003847.html
  • Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-8386を修正します。
  • git経由で実行されるシェルコマンドが適切にフィルタされていないため,期待されないコマンドが実行される場合がありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3288-1:libytnefのセキュリティアップデート
usn-3275-2:OpenJDK 7のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003849.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2017-3509, CVE-2017-3511, CVE-2017-3526, CVE-2017-3533, CVE-2017-3539, CVE-2017-3544を修正します。
  • Java 7u131相当のOpenJDKパッケージです。
  • 対処方法:アップデータを適用の上,Javaアプリケーションとアプレットを再起動してください。
usn-3289-1:QEMUのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003850.html
  • Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-7377, CVE-2017-7718, CVE-2017-7980, CVE-2017-8086, CVE-2017-8309, CVE-2017-8379を修正します。
  • 対処方法:アップデータを適用の上,QEMUを利用する仮想マシンを再起動してください。
usn-3272-2:Ghostscript regression
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003851.html
  • Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。
  • usn-3272-1において,eqprocコマンドのDELAYBIND機能が正常に動作しなくなっていました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3278-1:Thunderbirdのセキュリティアップデート

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

コメント

コメントの記入