Ubuntu Weekly Topics

2020年1月31日号Windows 7 からUbuntuへのアップグレードガイド・ある日のちょっとした出来事

Windows 7 からUbuntuへのアップグレードガイド

Windows 7のユーザーに向けた、Ubuntuへのアップグレードガイドが公開されました。

ポイントは、⁠金銭的な負担を考慮しないなら買い換えが推奨」注1⁠現在のデータを適切にバックアップしましょう」⁠一般的なデスクトップ用途ではたいていのアプリケーションにLinux版も存在するか、代替になるソフトウェアは存在する」⁠いいから現在のデータを適切にバックアップしましょう」⁠日常的なバックアップのための手段も手軽なものが存在する」⁠とにかく現在のデータを適切にバックアップしましょう」というメッセージ性で、⁠無料でどうしてもやりすごすなら」という位置づけになっています。

ある日のちょっとした出来事

ubuntu-devel MLで、ちょっとした出来事が発生しました。メール(特に、ヘッダ情報が一部潰れてしまうことが多いメーリングリスト)や、参加者の制約が難しいFLOSSコミュニティにおける「よくある出来事」ではありますが、⁠2020年に起きた」というあたりが味わい深い事案なので、少しだけフォーカスしてみましょう。

流れている空気を含めて、なんとなく出来事を要約すると次のような流れになります。

  • Canonicalの開発者のフリをして、⁠このサイトに費用を振り込む必要がある!」と叫び出す詐欺師が現れる。
  • 「詐欺師さんおつかれー」⁠とりあえず通報しといた」⁠もちろんこれは自分の仕業じゃないからね!」みたいな反応が得られる。
  • 「詐欺じゃないよ! お金を払わないとすべてのGNU/Linuxは止まるんだ!」とか詐欺師が言い出す。
  • 「はいはい古典になってる手ね」⁠これが法的に正しいなら払わないといけないねぇ」⁠棒読み)
  • 詐欺師、Markのアドレスを騙りつつ「そうだお金を払わないといけない!」などと言い出す。
  • 以降みんなで無視して一件落着。

……総じて、⁠まさかそれで誰かが騙されると思っていたのか?』としか言いようのない流れです。その他の壊滅的なお粗末さに比べ、⁠Markがキーパーソン」ということだけは理解しているアタッカーであった(=一応背景を調べるぐらいの準備はしていた≒再び、より巧妙なアプローチを準備して出現する可能性が高い)ということだけは特筆するべき点かもしれません。

全体に漂う空気を適切に再現するのは困難なのと、それほど難しい単語は出てこないため、英語の勉強を兼ねて原文を読んでみることをお勧めします[2]⁠。なお全体的な感触として、説得力皆無どころかむしろ負ですら、この文章力でよく「あの」Markの真似をしようと思いましたね[3]としか言えません。

今週のセキュリティアップデート

usn-4242-1:Sysstatのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005278.html
  • Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2019-16167, CVE-2019-19725を修正します。
  • 悪意ある入力を行うことで、任意のコードの実行が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-4243-1:libbsdのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005279.html
  • Ubuntu 19.04・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2016-2090, CVE-2019-20367を修正します。
  • 悪意ある入力を行うことで、任意のコードの実行が可能でした。また、特定の文字列を入力することで、本来秘匿されるべき情報にアクセスすることが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-4244-1:Sambaのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005280.html
  • Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2019-14902, CVE-2019-14907, CVE-2019-19344を修正します。
  • レプリケーション時、ACLが適切に付与されていませんでした。また、特定の操作を行うことでDoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-4245-1:PySAML2のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005281.html
  • Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-5390を修正します。
  • 悪意ある加工を施したファイルを処理させることで、任意のデータを含む署名済みデータを正しいものと誤認させることができました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-4247-1, usn-4247-2, usn-4247-3:python-aptのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005282.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005285.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005287.html
  • Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2019-15795, CVE-2019-15796を修正します。
  • python-aptによるパッケージ検証がMD5で行われているため、不正なパッケージの導入が可能でした。また、信頼できないリポジトリから誤ってパッケージが導入されることがありました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
  • 備考:usn-4247-1としてリリースされたパッケージはアップグレードが正常に行えない問題があったため、usn-4247-2がリリースされています。
usn-4248-1:GraphicsMagickのセキュリティアップデート
usn-4246-1:zlibのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005284.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2016-9840, CVE-2016-9841, CVE-2016-9842, CVE-2016-9843を修正します。
  • 悪意ある加工を施した入力を行うことで、任意のコードの実行が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-4249-1:e2fsprogsのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005286.html
  • Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2019-5188を修正します。
  • 悪意ある加工を施したext4を処理させることで、任意のコードの実行が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-4233-2:GnuTLSのアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005288.html
  • Ubuntu 18.04 LTS・16.04 LTS用のアップデータがリリースされています。
  • usn-4233-1で行われたSHA1の無効化に関して、必要な環境において無効化を解除することが可能になりました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-4230-2:ClamAVのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005289.html
  • Ubuntu 14.04 ESM・12.04 ESM用のアップデータがリリースされています。
  • usn-4230-1の14.04 ESM・12.04 ESM用のパッケージです。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

おすすめ記事

記事・ニュース一覧