Ubuntu Weekly Topics

2009年2月20日号HP ProliantのCertification・メールサーバー機能の強化・UWN#129・Debian Lennyのリリース・9.04のFeature Freeze

HP ProliantシリーズでのUbuntu ServerのCertificateサポート

CanonicalのBlogで、HPとCanocalが今後、協力しながらUbuntu ServerのCertification作業を行っていく旨が発表されました。また、Ubuntu ServerのオフィシャルなサポートがHPの有償サービスの一部として組み込まれる予定です。

※これはUSAの話であり、日本国内で提供されるサービスとは直接の関係はありません。

Ubuntu Serverのメールサーバー機能の強化

9.04のUbuntu Serverでは、メールサーバー関連の大きな強化が行われる予定です。具体的にはPostfixとDovecotとを連携させ、MTA機能にデフォルトでIMAP・POP3が利用できるように設定される(しかもSASLによるセキュア認証ラッパ付)ようになるはずです。

これは「dovecot-postfix」というパッケージによって一括で提供され、パッケージのインストールだけでメールサーバーとして充分な機能が提供され、ほとんど構築コストをかけずに設定が行えるようになることが期待されます。postfixが受け取ったメールは自動的にdovecotによってユーザーにアクセスできる状態(POP3 or IMAPアクセス)になる、といった面倒な設定が一括で行われるようになるでしょう。さらにこれに加えてSquireelによるWebメールサービスなども連携されるかもしれません。これはおそらく、Desktop/Mobileの高速起動と並んで、9.04の目玉機能になるはずです。dovecot-postfixはすでに利用可能となっていますので、可能な方はインストールやテストを含めたバグ報告を行ってください。

Debian GNU/Linux 5.0 "Lenny" のリリース

Ubuntuの基礎となっているディストリビューションであるDebian GNU/Linuxの待望の新リリースである5.0(Lenny)が2/14にリリースされました。

これにともない、Debianの開発版である "sid" のFreezeが解除されたため、多くのパッケージがアップデートされています。Ubuntu 9.04のImport Freezeはすでに終了していますので、これに伴うアップデートの恩恵は9.10の時点でもたらされる予定です。

UWN#129

Ubuntu Weekly News #129がリリースされています。主な内容は次の通りです。

  • 先日開催されたLoCo Docs Dayについて
  • Improved mail server stack: Testing needed
  • LoCoがサイトを構築するためのDrupal 5.x・6.xスイートのリリース
  • Launchpod episode #17
  • 各種出版物やBlog界隈でUbuntuが取り扱われた事例
  • Ubuntuベースの「HP Mini Mi」⁠HP Mini*シリーズ向けディストリビューション)のスクリーンショット

より詳細な情報は原文を確認してください。

9.04のFeature Freeze

4月にリリースされる予定のUbuntu 9.04 "Jaunty Jackalope"のFeature Freezeが2月19日(木)に行われました。これにより、一部の例外を除いて9.04で取り込まれる機能が確定したことになります(リリース品質に満たない機能が削減されることはありえますので、厳密には「含まれる可能性のある機能が確定した」状態です⁠⁠。

jp.archive.ubuntu.comのメンテナンス

富山大学様による回線・ハード設備の提供のもと、Ubuntu Japanese Teamがメンテナンスを行っているjp.archive.ubuntu.com(ubuntutym.u-toyama.ac.jp)のソフトウェア更新のためのメンテナンスを、2月25日14:00~20:00の予定で実施します。

メンテナンス作業は原則として無停止で実施しますのでメンテナンス時間中もjp.archive.ubuntu.comの利用は可能ですが、応答性能の劣化やランダムな切断などが発生する可能性があります。また、メンテナンスによるカーネルアップデートに伴い、再起動を行う場合があります。この時間帯はサービスを利用することができません。

その他のニュース

今週のセキュリティアップデート

今週リリースされたセキュリティアップデートは次の通りです。いずれも非常に重篤な問題を修正しますので、パッケージを利用している場合は必ずアップデートしてください。特にpam_krb5・php・sudoについては注意が必要です。

pam_krb5を利用している場合、ローカルユーザーが簡単にroot権限を取得できてしまいます。Active Directory環境との連携などでpam_krb5を利用している場合、できるだけ速やかに状況を確認し、アップデートを検討する必要があります。

また、sudoの問題は/etc/sudoersをカスタマイズしている場合に影響を受ける可能性があります。

usn-719-1: libpam-krb5のセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-February/000839.html
  • 8.04 LTS・8.10用のアップデータがリリースされています。CVE-2009-0360, CVE-2009-0361を修正します。
  • CVE-2009-0360は、未チェックの環境変数をsetuidコンテキストで動作している際にも利用してしまうため、root権限で不正なライブラリのリンク・不正なバイナリの実行が可能な問題です。この問題を悪用することで、ローカルユーザーによるrootへの権限昇格を許します。
  • CVE-2009-0361は、特定の条件下で、KRB5CCNAMEで指定されたファイルのOwnerを利用者のUIDにセットしてしまう可能性があります。この問題により、特定の順番でAPIを呼び出すプログラムがシステム内に存在し、かつそのプログラムの権限がsetuid rootされている場合、任意のファイルの改ざんが可能になります。
  • 対処方法:通常の場合、アップデートを行うことで問題を解決できます。
  • 備考:Ubuntu 7.10も影響を受けますが、Universeリポジトリにあるためまだ対応が行われていません。7.10は間もなくサポートが終了することも踏まえ、影響がクリティカルなシステムでは8.04へのアップデートを含めて検討してください。また、Ubuntu 9.04も影響を受けます。9.04用のアップデートパッケージがリリースされていますのでアップデートしてください。

usn-720-1: PHPのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-February/000840.html
  • 6.06 LTS・7.10・8.04 LTS・8.10の全てに影響します。CVE-2007-3996, CVE-2007-5900, CVE-2008-3658, CVE-2008-3659, CVE-2008-3660, CVE-2008-5557, CVE-2008-5624, CVE-2008-5625, CVE-2008-5658を修正します。
  • CVE-2007-5900は、set_ini関数の実行時に(Apacheの)httpd.confに記述されたphp_admin_valueとphp_admin_flagの値を上書きし、アクセス制御を回避することができる問題です。この問題は6.06 LTS・7.10・8.04 LTSに影響します。
  • CVE-2008-3658は、PHP GDのimageloadfont()関数が不正な形式のフォントファイルを開く際にヒープバッファオーバーフローを起こす問題です。これによりDoSや任意のコードの実行を許す可能性があります。通常の場合、フォントファイルがユーザから与えられることはないので危険性は緩和されると考えられますが、Webアプリケーションなどでユーザーが任意のフォントファイルをアップロードし、PHP側でそれをレンダリングに用いるといった実装を行っている場合、そのアプリケーションの権限で任意のコードを実行される可能性があります。
  • CVE-2008-3659は、PHPがexplode()関数の処理においてデリミタ(区切り)文字を適切に扱わないため、ユーザーが指定したデリミタによっては内部で呼び出されるmemnstr()関数の実行時にヒープバッファオーバーフローが発生し、DoSないし任意のコード実行が可能な問題です。通常の場合、Webアプリケーションでデリミタをユーザーが指定できることはありませんが、何らかのスクリプトで動的にコードを発行している場合などは影響を受ける可能性があります。
  • CVE-2008-3660は、FastCGIをPHPと併用している状態でHTTPリクエストが適切にエスケープ処理されておらず、拡張子の直前に複数の「.」を含むリクエスト(たとえば「example..php」へのリクエスト)が行われた場合にDoSが発生する問題です。
  • CVE-2008-5557は、mbstringモジュールの複数の関数で、ユニコードの変換処理が適切に実装されておらず、HTMLの一部として悪意ある細工を施した文字列を与えることでヒープバッファオーバーフローが発生し、アプリケーションの権限で任意のコードの実行・DoSが可能な問題です。入力される文書の文字コード指定としてHTML-ENTITIESをセットしている場合に影響があります。DoSを引き起こす実証コードが存在します。
  • CVE-2008-5624は、php_getuid()関数の実行時にpage_uid・page_gid変数を正しく初期化していないため、一定の条件下でアクセス制御を回避される可能性がある問題です。
  • CVE-2008-5625は、error_logの処理に伴うアクセス制御が適切に行われておらず、php_admin_flagやphp.iniを用いてsafe_modeを有効にした環境でもアクセスできるべきでないパスにファイル出力を行うことができる問題です。これにより、.htaccessなどによりerror_log変数を指定できるユーザーはPHPの動作権限で、ローカルからのファイル汚染を行うことが可能です。この問題はパッチによって修正できますが、本質的にはPHPのsafe_modeを用いたセキュリティモデルを主軸として利用するべきではありません。
  • CVE-2008-5658は、ZipArchive::extractToにディレクトリトラバーサル問題があり、ファイルを上書きされる可能性がある問題です。悪意あるユーザーがファイル名に「..」を含むZIPアーカイブを準備し、PHPに処理させることで、PHPの実行権限で書き込み可能なファイルであればファイルシステム上の任意のファイルを上書きすることが可能です。この問題は7.10・8.04 LTS・8.10に影響します。
  • このアップデートにおけるCVE-2007-3996の修正は、usn-557-1で行われたlibgdへの修正後、PHPのGDモジュールからのlibgdの呼び出し時に、引数チェックが漏れていたためにDoSを引き起こす問題への対応です。CVE-2007-3996として取り扱われているGDライブラリのオーバーフロー問題への直接の対応ではありません。この問題は6.06 LTSと7.10にのみ影響します。
  • 対処方法:通常の場合、アップデートのみで問題を解決できます。
  • 備考:Ubuntu 9.04も影響を受けます。9.04用のアップデートパッケージがリリースされています。

usn-721-1: fglrx-installerのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-February/000841.html
  • Ubuntu 8.10向けのアップデータがリリースされています。LP#323327として報告された問題を修正します。
  • LD_LIBRARY_PATHの補正方法が誤っており、環境変数LD_LIBRARY_PATHが空であった場合に、ライブラリの読み込みパスにカレントディレクトリを誤って追加する状態になっていました。この問題は64bit環境でのみ影響します。
  • 対処方法:通常の場合、アップデートを行うことで問題を解決できます。
  • 備考:Ubuntu 9.04も影響を受けます。9.04用のアップデートパッケージがリリースされていますのでアップデートしてください。8.04以前(8.04を含む)のUbuntuではこの問題の影響はありません。

usn-722-1: sudoのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-February/000842.html
  • Ubuntu 8.04LTS・8.10向けのアップデータがリリースされています。CVE-2009-0034を修正します。
  • sudo 1.6.9系列で追加された機能にバグがあり、⁠グループの権限を与えるRunAs」指定を「すでにそのユーザが属しているグループ」に対して行っていた場合、そのユーザはsudoを通してシステム上の全てのユーザ(rootを含む)の権限を獲得することが可能でした。ただし、Ubuntuのデフォルト設定ではこの問題の影響を受けません
  • 対処方法:通常の場合、パッケージのアップデートを行うことで問題を修正できます。パッケージのアップデートを行えない場合も、デフォルト設定のままであれば影響を受けることはありません。これはUbuntuのデフォルトのsudoersではRunAsで一般ユーザの権限を提供しておらず、また、この問題はユーザーがvisudo等でsudoersファイルを修正している場合に限って影響を受けるためです。
  • 緩和策:パッケージのアップデートが難しい場合、/etc/sudoersで「すでにユーザーが所属するgroupの権限を提供するRunAs指定」を行っていないか精査してください。これは、たとえば、ユーザー "wwwuser" がすでにグループ "www-data" に所属している状態で、sudoersに「wwwuser ALL = (%www-data) /usr/bin/su」などといった記述を行っている場合に限って影響があるためです(www-dataに所属していなければ影響を受けません⁠⁠。アップデートが難しい場合、こうした設定を排除することでも影響を回避することができます。
  • 備考:Ubuntu 9.04も影響を受けます。9.04用のアップデートパッケージがリリースされていますのでアップデートしてください。Ubuntu 7.10以前はsudo 1.6.8系を利用しており、問題の箇所に該当するコードがないため影響はありません。

おすすめ記事

記事・ニュース一覧