Ubuntu Weekly Topics

2018年4月6日号 bionicのFinal Beta, Spectre/Meltdown対策さらにさらにその後・4月上旬版

この記事を読むのに必要な時間:およそ 4 分

bionicのFinal Beta

bionicの開発がFinal Betaフェーズに突入しました。ここからは機能の追加ではなく,品質向上や翻訳のための時間となります(ちなみにUbuntuの開発ではこの後にKernel Freezeがあるため,カーネルに関してはまだ「固まった」段階にはありません)⁠

Ubuntuの次のLTSリリース,Ubuntu 18.04 LTS “Bionic Beaver⁠は,4月26日リリース予定です。

Spectre/Meltdown対策さらにさらにその後・4月上旬版

Spectre/Meltdown対策のうち,Spectreへの対策において必要となるマイクロコードのテストが終了し,Security Noticeとともにリリースされました。

このパッケージを導入するか,もしくはPCやマザーボードのファームウェアを更新し注1)⁠最新カーネルを利用することでRetpoline + IBPBによる保護が行われ,Spectre variant 2からの保護が可能になる見込みでしたが,現状で問題が発見されています。

これはUbuntuカーネルに起因するもので注2)⁠⁠ログイン画面に辿り着く前にシステムがロックアップする」⁠sssdがCPUを100%消費し,システムが期待通りに動作しなくなる」といった症状を引き起こします。現時点でIBPBを無効にする(/proc/sys/kernel/ibpb_enabledに0をセットするか,カーネルの起動時オプションとしてnoibpbを追加する)ことで症状の緩和ができると見られています。すでにPCやマザーボードのファームウェアを更新してしまっている場合はこの回避策を利用してください。

カーネルの更新は現時点で準備中のステータスで,完全な対策にはまだ一歩遠い,という状態がもうしばらく続くことになりそうです。

注1
Intel製プロセッサをLinux環境で利用する場合,intel_microcodeパッケージ(Ubuntuでの名称。ディストリビューションによって異なる名前が利用されることがあります)を導入することで,OS起動時に自動的に自動的に最新のマイクロコードを適用できます。こうして更新されたマイクロコードは,UEFIの実装にも依存しますがたいていの場合,完全に電源供給が絶たれた状態になる(システム的な電源のOn/Offではなく,電源ケーブルを引き抜くレベルのパワーオフ)まで有効です。PCやマザーボードに更新版マイクロコードを含むファームウェアがリリースされていない場合でもこの方法でプロセッサのバグを回避できます。
注2
修正のための提案では,Retpoline + IBPBを提供するためのパッチのバックポート時に不十分なチェリーピックが行われたことが原因であろうと推定されています。ただし,これだけでは直らなかったといった報告も存在しているため,必ずしもこれだけで直るとは限りません。

その他のニュース

注3
記事内の「Linux Mint Official Announcement」を確認するようにしましょう。
注4
日付をよく確認してみてください。注3とは異なります。

今週のセキュリティアップデート

usn-3602-1:LibTIFFのセキュリティアップデート
usn-3603-1, usn-3603-2:Paramikoのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004322.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004323.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS・12.04 ESM用のアップデータがリリースされています。CVE-2018-7750を修正します。
  • Paramikoが提供するSSHサーバの実装において,認証を迂回することが可能でした。
  • 対処方法:アップデータを適用の上,Paramikoのサーバー機能を利用しているアプリケーションを再起動してください。
usn-3604-1:libvorbisのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004324.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-5146を修正します。
  • 悪意ある加工を施したファイルを処理させることで,メモリ破壊を伴うクラッシュを発生させることが可能でした。任意のコードの実行に繋がると考えられます。
  • 対処方法:アップデータを適用の上,libvorbisを利用しているアプリケーションを再起動してください。
usn-3605-1:Sharutilsのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004325.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-1000097を修正します。
  • 悪意ある加工を施したファイルを処理させることで,任意のコードの実行に繋がる処理エラーを誘発することが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3595-2:Sambaのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004326.html
  • Ubuntu 12.04 ESM用のアップデータがリリースされています。CVE-2018-1050を修正します。
  • usn-3595-1の12.04 ESM用バージョンです。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3606-1:LibTIFFのセキュリティアップデート
usn-3607-1:Screen Resolution Extraのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004328.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-8885を修正します。
  • Screen Resolution ExtraのPolicyKitの利用法が不適切なため,認証を迂回することが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3609-1:Firefoxのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004329.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-5148を修正します。
  • Firefox 59.0.2のUbuntuパッケージ版です。
  • 対処方法:アップデータを適用の上,Firefoxを再起動してください。
usn-3608-1:Zshのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004330.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-1071, CVE-2018-1083を修正します。
  • 悪意ある入力を行うことで,任意のコードの実行・DoSが可能でした。
  • 対処方法:アップデータを適用の上,zshを再起動してください。
usn-3610-1:ICUのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004331.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-15422を修正します。
  • 悪意ある入力を行うことで,クラッシュを誘発させることが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3611-1:OpenSSLのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004332.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-0739を修正します。
  • 特定のASN.1を処理させることでDoSが可能でした。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-3612-1:librelpのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004333.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2018-1000140を修正します。
  • 特定のX509証明書を処理させることで,⁠librelpをライブラリとして利用している)rsyslog上で任意のコードを実行させることが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3545-1:Thunderbirdのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004334.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-5125, CVE-2018-5127, CVE-2018-5129, CVE-2018-5144, CVE-2018-5145, CVE-2018-5146を修正します。
  • Thunderbird 52.7.0のUbuntuパッケージ版です。
  • 対処方法:アップデータを適用の上,Thunderbirdを再起動してください。
usn-3531-3:intel-microcode update
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004335.html
  • Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-5715への緩和策を提供します。
  • ⁠Spectre⁠対策のためのマイクロコードを提供します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:本文中にある通り,環境によってはUbuntuカーネルの一部の実装に起因した問題が生じることが確認されています。カーネル側の対応が終わるまでは適用を延期するか,IBPBをオフにする対処を行ってください。
usn-3587-2:Dovecotのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-April/004336.html
  • Ubuntu 12.04 ESM用のアップデータがリリースされています。CVE-2017-14461, CVE-2017-15130を修正します。
  • usn-3587-1のUbuntu 12.04 ESM用バージョンです。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3613-1:OpenJDK 8のセキュリティアップデート
usn-3614-1:OpenJDK 7のセキュリティアップデート

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

バックナンバー

Ubuntu Weekly Topics

バックナンバー一覧

コメント

コメントの記入