Ubuntu Weekly Topics

2018年3月16日号 Spectre/Meltdown対策さらにさらにその後・新マイクロコードの配布の準備,FirefoxとChromiumのSnapパッケージ

この記事を読むのに必要な時間:およそ 2 分

Spectre/Meltdown対策さらにさらにその後・新マイクロコードの配布の準備

“Spectre⁠対策において必要なIntelのマイクロコードの提供が再開されたため,Ubuntuでもintel-microcodeパッケージのテスト開始されています。現時点ではセキュリティアップデートのテスト用PPA(ubuntu-security-proposed)経由でのみ提供され,不具合がないことがテストされた上で提供されるようになります注1)⁠

現時点で,カーネルパッチの不足によって改善版のマイクロコードではないと誤認される問題が存在することが確認されており,カーネルが更新されるまではIBRS/IBPB/STIBPが利用できない状態となっています。

なお,IBRS/IBPBの利用には一定のパフォーマンスペナルティが伴います。一時的に機能を無効にしてペナルティを抑制したい場合注2は,MitigationControlsを参照してください。

注1
2018年3月8日号の,⁠IBRS(IBRS_ALL)と呼ばれる,新しいCPUマイクロコードと組み合わせて動作する実装をカーネルで適用することで,カーネルとユーザーランドそれぞれを保護できる』という部分に相当します。なおカーネルそのものはRetpolineによって保護されており,もし手元にソースコードがある実行ファイルについては自分でRetpolineを有効にした状態でリビルドすることで問題を回避できるため,マイクロコード併用で提供される保護のうちIBRSは必ず必要になるものではありません。
注2
noibrsやnoibpbを使って緩和策を無効にすることは「対処前の状態に戻す」ことを意味するため,トレードオフをきちんと考慮してからにしましょう。

その他のニュース

今週のセキュリティアップデート

usn-3589-1:PostgreSQLのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004305.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-1058を修正します。
  • 特権昇格が可能な問題がありました。
  • 対処方法:アップデータを適用の上,PostgreSQLを再起動してください。
  • 備考:Upstreamの新しいリリースをそのまま利用したパッケージです。既存のバージョンとの互換性のないバグ修正が含まれている可能性があります。
usn-3590-1:Irssiのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004306.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-7050, CVE-2018-7051, CVE-2018-7052, CVE-2018-7053, CVE-2018-7054, CVE-2018-7073を修正します。
  • 悪意あるユーザー名やメッセージを利用することでメモリは買いを伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能です。
  • 対処方法:アップデータを適用の上,Irssiを再起動してください。
usn-3591-1:Djangoのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004307.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-7536, CVE-2018-7537を修正します。
  • 悪意ある加工を施したテンプレートフィルタを利用することでリソースの過大消費を発生させることが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3579-3:LibreOfficeの再アップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004308.html
  • Ubuntu 17.10用のアップデータがリリースされています。
  • ホームディレクトリ以下にある特定のディレクトリからファイルを開けない状態になっていました。
  • 対処方法:アップデータを適用の上,LibreOfficeを再起動してください。
usn-3592-1, usn-3592-2:ClamAVのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004309.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004311.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS・12.04 ESM用のアップデータがリリースされています。CVE-2018-0202, CVE-2018-1000085を修正します。
  • 悪意ある加工を施したPDFファイルを開くことでメモリ破壊を伴うクラッシュが生じることがありました。任意のコードの実行に繋がると考えられます。また,XARファイルを開く際にクラッシュが生じることがありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
  • 備考:Upstreamの新しいリリースをそのまま利用したパッケージです。既存のバージョンとの互換性のないバグ修正が含まれている可能性があります。
usn-3593-1:Zshのセキュリティアップデート
usn-3594-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004312.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2017-5715を修正します。
  • ⁠Spectre⁠脆弱性への対処として,Retpolineベースの緩和策を導入します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

コメント

コメントの記入