Ubuntu Weekly Topics

2009年1月30日号:Ubuntu Developer Newsの開始・8.04.2のJapanese Remix・UWN#126・9.04 Server Editionの新機能

この記事を読むのに必要な時間:およそ 4 分

今週のセキュリティアップデート

usn-710-1:xine-libのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-
    January/000829.html
  • 6.06 LTS・7.10・8.04 LTS・8.10用のアップデータがリリースされています。複数の脆弱性CVE-2008-3231, CVE-2008-5233, CVE-2008-5234, CVE-2008-5236, CVE-2008-5237, CVE-2008-5238, CVE-2008-5239, CVE-2008-5240, CVE-2008-5241, CVE-2008-5242, CVE-2008-5243, CVE-2008-5244, CVE-2008-5246, CVE-2008-5248に加えて,CVE IDが未発番の脆弱性三つ)を修正します。xine-libは多くのアプリケーションで再生バックエンドとして利用されているため,多くのメディアプレイヤーアプリケーションが影響を受けます。
  • 悪意ある第三者が細工を施したメディアファイル(動画・音声ファイル)を再生させることにより,再生を行ったユーザの権限での任意のコード実行・アプリケーションのクラッシュなどが引き起こされる可能性があります。ヒープオーバーフロー・整数オーバーフローなどの攻撃に転用しやすい脆弱性が含まれています。
  • 対処方法:アップデートを適用後,xine-libをバックエンドとする全てのアプリケーションを再起動してください。具体的にはTotem-xineやAmarokなどの再起動が必要です(判断が難しい場合,全ユーザーのログアウトないしOSの再起動を行ってください⁠⁠。
  • EOL情報:7.04にも同様の脆弱性が存在しますが,すでにサポート期限が終了しているためアップデートパッチは提供されません。

usn-711-1:ktorrentのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-
    January/000830.html
  • 7.10・8.04 LTS・8.10に影響します。CVE-2008-5905, CVE-2008-5906を修正するアップデータです。6.06のktorrentはWeb Interface pluginが実装される前のバージョン1系列であるため,該当する脆弱性はありません。
  • いずれもWeb interface pluginに関する脆弱性です。Web interfaceを利用していない場合は影響を受けません。
  • CVE-2008-5905はアクセス制御が適切に行われておらず,細工を施したHTTPリクエストを送信することでダウンロード・シーディング(アップロード)を実行することが可能な脆弱性です。
  • CVE-2008-5906はHTTPリクエストの一部のパラメータの解析が適切に行われておらず,悪用により任意のPHPコードを実行される危険があります。
  • 対処方法:アップデート後,ktorrentを再起動してください。
  • 備考:該当するバグ情報はLaunchpadには登録されていませんので,詳細な情報が必要な場合はDebian#504178などを参照してください。
  • EOL情報:7.04のktorrentにはCVE-2008-5905のHttpServer::handleTorrentPostは存在せず,CVE-2008-5906のPhpHandler::executeScriptは現在の実装とは大きく異なるものですが,サポート期限が終了しているため問題の有無は検証されていません。

usn-712-1:vimのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-
    January/000831.html
  • 6.06 LTS・7.10・8.04 LTS・8.10用のアップデータがリリースされています。CVE-2008-2712, CVE-2008-4101を修正します。
  • いずれも悪意ある細工が施されたファイルを開く,あるいは操作する際に任意のコマンド(またはvimスクリプト)を実行される恐れがあります。
  • CVE-2008-2712は,Vimスクリプトからexecute・evalを実行する際,文字列の検証が甘く,任意のコマンドを実行される可能性があります。この問題を利用することで,vimとその派生コマンド(ex・viewなど)を利用する際,悪意ある加工を施したドキュメントを開かせることで攻撃が可能です。 少なくともfiletype.vim・zipplugin・xpm.vim・gzip_vim・netrwプラグインに問題が見つかっています。 * CVE-2008-4101は,vimの[K]キーストロークを用いてURL等を開く際,引数として与えられる対象文字列の検証が甘く,任意のコマンドを実行される可能性がある問題があります。これは悪意あるドキュメントなどに問題のある文字列を含めることで攻撃に転用できます。また,⁠C-]⁠⁠・⁠C-g]にも同質の問題があり,Vimスクリプトの実行が可能です。
  • 備考:詳細情報はCVE-2008-2712はオリジナルの脆弱性情報CVE-2008-4101はvim_devメーリングリストに投稿された内容を参照してください。
  • 対処方法:通常の場合,アップデートによって問題を解決できます。例外的に,すでに悪意あるファイルを開いている場合影響を回避できことが考えられますので,可能であればvimを再起動してください。
  • EOL情報:7.04にも同様の脆弱性が存在しますが,すでにサポート期限が終了しているためアップデートパッチは提供されません。

usn-713-1:openjdk-6のセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-
    January/000832.html
  • 8.10用のアップデータがリリースされています。CVE-2008-5347,CVE-2008-5348,CVE-2008-5349,CVE-2008-5350,
    CVE-2008-5351,CVE-2008-5352,CVE-2008-5353,CVE-2008-5354,
    CVE-2008-5358,CVE-2008-5359,CVE-2008-5360を修正します。
  • CVE-2008-5353は,カレンダーオブジェクトの展開処理(デシリアライズ/アンマーシャル処理)これによりユーザ権限での他の実行ファイルの起動・ファイルの閲覧などを許す可能性がある脆弱性です。
  • CVE-2008-5347CVE-2008-5350により,⁠信頼していない」不正なアプレットを誤って実行してしまう可能性があります。これはWebブラウザなどでopenjdk(icedtea)を利用している場合に影響があり,アプレットの実行によるユーザ権限の取得・ディレクトリリストの閲覧などを許す可能性があります。
  • CVE-2008-5351により,冗長なエンコードを用いたUTF-8文字列の解釈に問題があり,他のアプリケーションでは許容しない表現を受け取る可能性があります。これにより,URLに基づいたブラックリストなどで制限をかけている場合,攻撃者にブラックリストによる判定を迂回される可能性があります。
  • CVE-2008-5360は,JREの一時ファイルの作成パターンが予測可能であるため,悪用することで不正なJARファイルをロードさせ,アプレットとして起動させること(ただし権限は「信頼されていない⁠⁠,Java Web Startアプリケーションを起動させることが可能な問題です。これにより攻撃者が作成したファイルが実行され,限定された権限下で情報の閲覧などが可能になります。
  • そのほか,Kerberos認証とRSA鍵の検証時にDoSを引き起こされる問題(CVE-2008-5348・CVE-2008-5349⁠⁠,JARファイルの展開時にDoSを引き起こされる問題(CVE-2008-5352・CVE-2008-5354⁠⁠,一部の画像ファイルの展開時にDoSを引き起こされる問題(CVE-2008-5358・CVE-2008-5359)を修正します。
  • 重要:8.04にもopenjdk-6関連パッケージは提供されており,この脆弱性の影響を受けます。しかし,まだアップデータはリリースされていません。8.04ではopenjdk6-*はUniverseリポジトリにあるため,コミュニティによる検証・パッチが行われる予定です。

usn-714-1:Linux Kernelのセキュリティアップデート

  • 6.06 LTS・7.10・8.04 LTS用のアップデータがリリースされています。CVE-2008-5079,CVE-2008-5134,CVE-2008-5182,CVE-2008-5300,CVE-2008-5700,CVE-2008-5702,CVE-2008-5713を修正します。
  • 脆弱性の一部は8.10にも影響します。2.6.27-11.26で修正される予定で,現在テストが行われているようです。
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-January/000833.html
  • いずれの脆弱性もシステムDoSを発生させるものです。より深刻な攻撃につながるものではないと考えられます。
  • 該当するハードウェアを用いていない場合は影響を受けませんが,無線LAN経由でシステムをクラッシュさせることができる脆弱性があります。Libertas無線LANドライバ(Marvell社製無線LANチップの一部で利用されます)の問題により,物理的に近傍にいる攻撃者が細工を施した無線LANパケットを送り付けることによりシステムDoSを発生させることができる問題(CVE-2008-5134)です。
  • ローカルユーザによるDoS(サービス妨害攻撃。Kernel関連のDoSの場合,多くはシステムクラッシュを引き起こすものです)を発生させることができる脆弱性は次の通りです。ATMネットワークでの通信に用>いるサブシステムの問題によりローカルユーザがシステムDoSを発生させることができる問題(CVE-2008-5079⁠⁠,inotifyサブシステム上でレースコンディションを引き起こすことでシステムDoSを発生させることができる問題(CVE-2008-5182⁠⁠,sendmsgシステムコールを大量に発行することで,OOM Killerを任意に発動させ,システムDoSを発生させることができる問題(CVE-2008-5300⁠⁠,ATAドライバのSG_IOタイムアウトに異常に長い値をセットすることでストレージへのアクセスを数秒間阻害することが可能な問題(CVE-2008-5700⁠⁠。
  • 次の問題はローカルユ-ザによるシステムDoSを引き起こすことが可能ですが,該当するハードウェアを用いていない場合は影響を受けません。IB700システムボードに内蔵されたウォッチドッグタイマのドライバに問題があり,バッファアンダーフローによるDoSを引き起こせる問題(CVE-2008-5702)が存在します。
  • 対処方法:アップデートを行い,システムを再起動してください。
  • EOL情報:7.04にも影響しますが,メンテナンス期限が終了しているためアップデータはリリースされません。
(2009-01-30 18:00追記)

このアップデータを適用すると,Acer Aspire Oneで起動できなくなるという問題が報告されています。該当する機種を利用されている方はしばらく様子を見た方が良いでしょう。

著者プロフィール

吉田史(よしだふみひと)

Ubuntu Japanese Team Member株式会社創夢所属。システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。