Ubuntu Weekly Topics

2018年1月26日号Ubuntu Product Month、“Spectre”対策その

Ubuntu Product Month

“Ubuntu Product Month⁠と称されるCanonicalがコミットしている技術をキャッチアップするための一ヶ月が始まります。2月7日から、LXDの紹介、Snapの紹介とSnapcraftの解説、そしてVMwareからCanonical OpenStackへのマイグレーション、Jujuによるクラウドオートメーションと、現在のUbuntuの特徴的な機能のWebinarが行われます。サーバー用途でUbuntuを利用する、あるいはSnapを用いたデプロイやJujuによるオーケストレーションに興味がある場合、事前登録の上でWebinarへ参加するとよいでしょう。

⁠Spectre⁠対策その後

Ubuntuにおける⁠Spectre⁠対策の現状が提供されています。

ポイントは次の点です。要約すると、⁠今後リリースされるマイクロコードと併用することでひとまず攻撃を防ぐことはできるが、利用する環境によっては性能ダウンに繋がることがある」です。

  • 1月22日から、⁠Spectre⁠対策のためのカーネルアップデートが、17.10、16.04 LTS、14.04 LTS用にUSN3540~3542として提供されています。12.04 ESM用は準備中です。また、17.04はすでにEOLしており、更新の予定はありません。
  • これらの修正が機能するためには、CPUマイクロコードの更新が必要です。 しかし、更新版のマイクロコードを提供するintel-microcodeパッケージはIntelのリクエストにより差し戻しが行われており、現時点では(マザーボード側で更新されているのでなければ)まだ機能しません[1]⁠。
  • ワークロードに依存しますが、⁠Spectre⁠対策によって性能劣化が生じる可能性があります。
  • パフォーマンスに大きな影響を受けてしまった場合に備え、緩和策を必要に応じて無効にするためのMitigation Controlが準備されています。⁠多くのUbuntuユーザーが利用しているであろう)x64環境では、nopti、noibpb、noibrsがパフォーマンスに影響すると考えられるため、対策を無効にする場合はこれらのオプションを用いることになるでしょう注2注3⁠。
  • 各種対策は現在進行形で更新されています。今後の動向に注意し、より適切な対策手法が提供された場合、そちらに乗り換える必要があります。

その他のニュース

今週のセキュリティアップデート

usn-3533-1:Transmissionのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004228.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-5702を修正します。
  • RPCサーバへのPOST処理において、DNS Rebinding攻撃を許す問題がありました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-3534-1:GNU C Libraryのセキュリティアップデート
usn-3535-1, usn-3535-2:Bindのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004230.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004231.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS・12.04 ESM用のアップデータがリリースされています。CVE-2017-3145を修正します。
  • 特定のリクエストを送出することで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-3536-1:GNU C Libraryのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004232.html
  • Ubuntu 12.04 ESM用のアップデータがリリースされています。CVE-2018-1000001を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
usn-3531-2:Intel Microcodeの再アップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004233.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。
  • usn-3531-1で提供された⁠Spectre⁠対策マイクロコードに由来する不具合が確認されたため、Intelのリクエストに基づいて当該のパッケージを20170707に差し戻すためのアップデートです。
usn-3537-1:MySQLのセキュリティアップデート
usn-3538-1:OpenSSHのセキュリティアップデート
usn-3539-1:GIMPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004237.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2017-17784, CVE-2017-17785, CVE-2017-17786, CVE-2017-17787, CVE-2017-17788, CVE-2017-17789を修正します。
  • 悪意ある加工を施した画像ファイルを処理させることで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行が可能と考えられます。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-3540-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004238.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2017-5715, CVE-2017-5753, CVE-2017-5754を緩和します。
  • ⁠Spectre⁠対策のppc64el向けバージョンです。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
usn-3541-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004239.html
  • Ubuntu 17.10用のアップデータがリリースされています。CVE-2017-5715, CVE-2017-5753, CVE-2017-5754を緩和します。
  • ⁠Spectre⁠対策のamd64向けバージョンです。IBPB, IBRSとマイクロコード更新の併用により、Spectre Variant 2を応用した攻撃を抑制します。カーネル単体では機能せず、利用するプロセッサ側のマイクロコード更新が必要であることに注意してください。
  • 対処方法:アップデータを適用の上、システムを再起動してください。また、利用しているCPU向けの新しいマイクロコードを入手して更新してください。通常はPCやマザーボードのファームウェアを更新するか、intel_microcodeパッケージの更新が必要です。
usn-3542-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004240.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2017-5715, CVE-2017-5753を緩和します。
  • ⁠Spectre⁠対策のamd64向けバージョンです。IBPB, IBRSとマイクロコード更新の併用により、Spectre Variant 2を応用した攻撃を抑制します。カーネル単体では機能せず、利用するプロセッサ側のマイクロコード更新が必要であることに注意してください。
  • 対処方法:アップデータを適用の上、システムを再起動してください。また、利用しているCPU向けの新しいマイクロコードを入手して更新してください。通常はPCやマザーボードのファームウェアを更新するか、intel_microcodeパッケージの更新が必要です。
usn-3540-2:Linux kernel (Xenial HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004241.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2017-5715, CVE-2017-5753, CVE-2017-5754を緩和します。
  • ⁠Spectre⁠対策のamd64向けバージョンです。IBPB, IBRSとマイクロコード更新の併用により、Spectre Variant 2を応用した攻撃を抑制します。カーネル単体では機能せず、利用するプロセッサ側のマイクロコード更新が必要であることに注意してください。
  • 対処方法:アップデータを適用の上、システムを再起動してください。また、利用しているCPU向けの新しいマイクロコードを入手して更新してください。通常はPCやマザーボードのファームウェアを更新するか、intel_microcodeパッケージの更新が必要です。
usn-3541-2:Linux kernel (HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004242.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2017-5715, CVE-2017-5753, CVE-2017-5754を緩和します。
  • ⁠Spectre⁠対策のamd64向けバージョンです。IBPB, IBRSとマイクロコード更新の併用により、Spectre Variant 2を応用した攻撃を抑制します。カーネル単体では機能せず、利用するプロセッサ側のマイクロコード更新が必要であることに注意してください。
  • 対処方法:アップデータを適用の上、システムを再起動してください。また、利用しているCPU向けの新しいマイクロコードを入手して更新してください。通常はPCやマザーボードのファームウェアを更新するか、intel_microcodeパッケージの更新が必要です。
usn-3542-2:Linux kernel (Trusty HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-January/004243.html
  • Ubuntu 12.04 ESM用のアップデータがリリースされています。CVE-2017-5715, CVE-2017-5753を緩和します。
  • ⁠Spectre⁠対策のamd64向けバージョンです。IBPB, IBRSとマイクロコード更新の併用により、Spectre Variant 2を応用した攻撃を抑制します。カーネル単体では機能せず、利用するプロセッサ側のマイクロコード更新が必要であることに注意してください。
  • 対処方法:アップデータを適用の上、システムを再起動してください。また、利用しているCPU向けの新しいマイクロコードを入手して更新してください。通常はPCやマザーボードのファームウェアを更新するか、intel_microcodeパッケージの更新が必要です。

おすすめ記事

記事・ニュース一覧