14.10のFinal Betaとそれに伴うテスト
14.
ただし、
なお、
“shellshock”
9月24日深夜に、
この問題への一般的な対策は次の通りです。
- 1. サポート対象バージョンへの更新:現在もサポートが継続されているバージョンにアップグレードする。
- 2. CVE-2014-6271への対応:対応パッケージにアップグレードする。
- 3. CVE-2014-7169への対応:対応パッケージのリリースを待ち、
アップグレードする。
9月25日深夜の段階では、
なんらかのサービスを提供中でこのリリースが待てない場合、
- 3':影響範囲をレビューする。また、
もしも/bin/ shがbashのsymlinkによって提供されている場合は、 それを異なるプログラムによって代替することを検討する。 - 3a:サービスを停止する。
- 3b:暫定版パッチを適用したbashに置き換える。
- 3c:なんらかのmitigationプログラムを利用する。
これらについて、
- 1. サポート対象バージョンへの更新:10.
04 LTS・ 12. 04 LTS・ 14. 04 LTS以外を使っている場合、 アップグレードします。 - 2. CVE-2014-6271への対応:usn-2362-1
(https:// lists. )ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002674. html として提供されているbashに更新します。通常、 bashはメモリ空間に恒常的にロードされ、 かつ外部から環境変数を受け取る状態を維持することはありえないので、 更新後の再起動等は不要です。 - 3. CVE-2014-7169への対応:まだリリースされていません。LP#1373781か、
Ubuntu Security Advisory ML、 Ubuntu security noticesを用いて最新情報を取得してください。
Ubuntuでの
- 3':影響範囲のレビュー(1):
「readlink /bin/ sh」 の結果が “bash” でないことを確認します。後述の情報も参照してください。 - 3':影響範囲のレビュー(2):readlinkの結果に問題が無ければ、
「bashを直接利用して提供している外部サービス」 の有無を調査します。bashベースのCGIがなければたいていの環境では問題ないと判断できますが、 外部サービスを提供している環境であれば、 ロード中のプロセスすべてについて、 「bash」 の文字列が含まれていないことを確認するとある程度の安全が担保できます。 「sudo strings /proc/*/exe | grep bash」 の結果をレビューしてください。 - 3':影響範囲のレビュー(3):より確実な判断が必要な場合は、
/proc/*/mapsの第6フィールドに列挙された共有ライブラリすべてについてstringsを実行し、 出力にbashが含まれていないことを確認します (ただし、 この確認は簡易的なものなので、 bashを別名で呼び出しているケースは漏れます)。
このレビュー結果を踏まえて、
- 3a:サービスの停止:HTTPdを始めとした、
「bashを叩く可能性のあるサービス」 を停止してください。たとえば、 gitやsvn等のVCSのために利用コマンドを制約したSSHを提供している場合が該当します。 - 3b:暫定版パッチを適用したbashへの置き換え:暫定パッチを適用したパッケージ
(レビュー中のもの) が、 Ubuntu Security Teamのテスト用PPAから入手可能です。PPAのリポジトリを有効にする方法ではなく、 直接パッケージをダウンロードして導入してください。 - 3c:なんらかのmitigationプログラム:今回の問題について、
Ubuntu特有のmitigationは提供されていません。Red Hatの提供するmitigationプログラムを流用するか、 UFWを用いてアクセス可能なネットワークを制約してください。通常の攻撃手法であればUFWのlimit機能によるアクセス回数の制限が有効ですが、 本件では初回アクセスで攻撃として成立するアクセスが可能なため、 limitによる防御はほぼ機能しません。
このレビューにおいて、
まず、
まず、
HTTP経由で動作するCGIのたぐいは、
この問題が大きなものになるのは、
/bin/
……ということで、
基本的にUbuntuや現在のDebianであれば、
UWN#384
Ubuntu Weekly Newsletter #384がリリースされています。
その他のニュース
- Steam上で
“Counter-Strike: Global Offensive” のLinux版が販売開始されたというニュース。 - LubuntuのFinal Betaのテスト要請。特にPPCユーザーによるテストの参加が求められています。旧PPC Macが手元にある場合は協力してみてはいかがでしょうか。PPC Macの最終世代であれば1GB弱のメモリを搭載している可能性もあり、
Lubuntuであればサブ環境として実用になるでしょう。64bit PPCが動作する場合はレア環境の所有者として思わず協力してしまいたくなるはずです。ほうら協力したくなってきた……。 - Bacon2DとQMLによるゲーム開発の始め方。
- 「なぜ14.
10にはGNOME 3. 14が含められていないのか」 というありがちな質問に対する回答。 - Enlightenment E19をUbuntu等で利用する方法。
- Netflix
(オンラインTVサービス) がUbuntu上のChromeをサポートするという話題。
今週のセキュリティアップデート
- usn-2350-1:NSSに含まれる証明書のアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002664. html - Ubuntu 14.
04 LTS・ 12. 04 LTS・ 10. 04 LTS用のアップデータがリリースされています。 - NSSに含まれる証明書を更新するためのアップデートです。
- 対処方法:アップデータを適用の上、
NSSを利用するアプリケーション (EvolutionやChromium) を再起動してください。 - 備考:Ubuntuの通常のポリシーとは異なり、
非互換を含む可能性がある、 バグ修正が適用されたupstreamのリリースをそのままパッケージにしています。
- https://
- usn-2351-1:nginx のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002665. html - Ubuntu 14.
04 LTS用のアップデータがリリースされています。CVE-2014-3616を修正します。 - NginxがSSLセッションキャッシュを正しく扱っておらず、
特定の設定下においては異なるVirtualhostの通信が漏洩することがありました。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-2352-1:DBus のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002666. html - Ubuntu 14.
04 LTS・ 12. 04 LTS・ 10. 04 LTS用のアップデータがリリースされています。CVE-2014-3635, CVE-2014-3636, CVE-2014-3637, CVE-2014-3638, CVE-2014-3639を修正します。 - DBusに対してローカルユーザーがDoSを仕掛けられる複数の問題がありました。
- 対処方法:アップデータを適用の上、
システムを再起動してください。
- https://
- usn-2353-1:APT のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002667. html - Ubuntu 14.
04 LTS・ 12. 04 LTS・ 10. 04 LTS用のアップデータがリリースされています。CVE-2014-6273を修正します。 - URLの扱いに問題があり、
悪意ある攻撃者が中間者攻撃を仕掛けることにより、 メモリ破壊を伴うクラッシュを誘発させることが可能でした。また、 usn-2348-1の修正の副作用で、 file:やcdrom:ソースの取り扱いが正しくない状態になっていた問題を修正します。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-2354-1:Linux kernel のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002668. html - Ubuntu 10.
04 LTS用のアップデータがリリースされています。CVE-2014-5471, CVE-2014-5472を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるので、 通常はそのままアップデートの適用を行えば対応できます。
- https://
- usn-2355-1:Linux kernel (EC2) のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002669. html - Ubuntu 10.
04 LTS用のアップデータがリリースされています。CVE-2014-5471, CVE-2014-5472を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるので、 通常はそのままアップデートの適用を行えば対応できます。
- https://
- usn-2356-1:Linux kernel のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002670. html - Ubuntu 12.
04 LTS用のアップデータがリリースされています。CVE-2014-3601, CVE-2014-5471, CVE-2014-5472を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるので、 通常はそのままアップデートの適用を行えば対応できます。
- https://
- usn-2357-1:Linux kernel (OMAP4) のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002671. html - Ubuntu 12.
04 LTS用のアップデータがリリースされています。CVE-2014-3601, CVE-2014-5471, CVE-2014-5472を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるので、 通常はそのままアップデートの適用を行えば対応できます。
- https://
- usn-2358-1:Linux kernel (Trusty HWE) のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002672. html - Ubuntu 12.
04 LTS用のアップデータがリリースされています。CVE-2014-3601, CVE-2014-5077, CVE-2014-5471, CVE-2014-5472を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるので、 通常はそのままアップデートの適用を行えば対応できます。
- https://
- usn-2359-1:Linux kernel のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002673. html - Ubuntu 14.
04 LTS用のアップデータがリリースされています。CVE-2014-3601, CVE-2014-5077, CVE-2014-5471, CVE-2014-5472を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるので、 通常はそのままアップデートの適用を行えば対応できます。
- https://