今週のセキュリティアップデート

今週（2009年2月25日?3月4日）リリースされたセキュリティアップデートは次の通りです。

Network Managerの問題は攻撃元がローカルに限られているため，限定的な影響しかありませんが，curlの脆弱性に注意してください。

注意すべき点は2点あります。

まず1つ目は，「⁠curlは広くHTTPダウンロードのためのライブラリとして使われているため，気づかないうちに利用している」ことです。curlという名前を聞いたことがなくても，何らかの形でcurlを利用するアプリケーションを使っている可能性は非常に高く，広く影響を受けることが考えられます。具体的には，Synapticやapt-getなどがバックエンドとしてlibcurlを利用しています。このため，アップデートマネージャーを明示的に起動して「再チェック」を行い，適用していないアップデータが存在しないか確認し，速やかに対応を行う必要があります。

もう1つは，Ubuntu 8.10を使っている場合に該当します。Ubuntu 8.10向けのcurlのセキュリティフィックスは，最初にリリースされたパッケージに問題があったため，2回（usn-726-1, usn-726-2）リリースされています。最初のリリースのままではcurl経由でのhttpsアクセスが行えなくなっていますので，再度アップデートを適用してください。

usn-725-1： KMailのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/
  2009-February/000845.html
• 現在サポート対象となっている全てのUbuntu（6.06 LTS・7.10・8.04 LTS・8.10）にアップデータがリリースされています。LP#332069を修正します。
• kmailでURLが含まれたHTMLメールを表示した際，ファイルの拡張子がない，あるいは.desktop・.exe（Wineがインストールされ，.exe拡張子に関連づけられている場合）に，URLをクリックした際にそれらの実ファイルが実行されてしまいます。悪用により，攻撃者はユーザーの権限で特定のソフトウェアを実行させることができます。
• 対処方法：通常の場合，アップデートを適用することで問題を解決できます。

usn-726-1, usn-726-2：curlのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/
  2009-March/000846.html
• 現在サポート対象となっている全てのUbuntu（6.06 LTS・7.10・8.04 LTS・8.10）にアップデータがリリースされています。CVE-2009-0037を修正します。Ubuntu 8.10向けの最初のアップデータは不完全だったため（LP#337501⁠）⁠，usn-726-2が追加リリースされています。
• CVE-2009-0037は，curlのバックエンドライブラリ（libcurl）に問題があり，ファイル名にセミコロンを含んだURLを処理させることにより，ローカルマシン上の任意のファイルを送出させることが可能な脆弱性です。何らかの悪意あるWebサーバへ定期的にアクセスを行っている場合などに，攻撃者に任意のファイルの中身を読み出される可能性があります。
• usn-726-2は，usn-726-1で行われた修正によるエンバグのため，curl経由でのhttpsアクセスが行えなくなっていた問題を修正します。脆弱性そのものはusn-726-1で修正されており，usn-726-2はバグフィックスのみを提供します。
• 対処方法：通常の場合，アップデートを適用することで問題を解決できます。

usn-727-1：network-manager-appletのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/
  2009-March/000847.html
• Ubuntu 7.10・8.04 LTS・8.10用のアップデータがリリースされています。CVE-2009-0365, CVE-2009-0578を修正します。
• CVE-2009-0365は，network-manager-appletがdbusから送られたリクエストを処理する際，そのリクエストの適合性を正しく検証していない問題です。この問題により，悪意あるローカルユーザーがNetwork Managerに登録された無線LANのパスフレーズやネットワークパスワードなどの機密情報を取得可能です。
• CVE-2009-0578は，network-manager-appletがdbusから送られた削除や修正リクエストを処理する際，パーミッションを正しく確認していない問題です。これにより，悪意あるローカルユーザーが他のユーザーのネットワーク接続を切断ないし修正することが可能です。
• 対処方法：通常の場合，アップデートを適用することで問題を解決できます。

usn-727-2：NetworkManagerのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/
  2009-March/000848.html
• Ubuntu 6.06 LTS・8.10用のアップデータがリリースされています。CVE-2009-0365を修正します。
• 上記のnetwork-manager-appletの場合（CVE-2009-0365）と同様です。
• 対処方法：通常の場合，アップデートを適用することで問題を解決できます。
• 備考：このアップデートはusn-727-1とあわせて適用してください。

usn-724-1：Squidのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/
  2009-February/000844.html
• Ubuntu 8.10用のアップデータがリリースされています。CVE-2009-0478を修正します。
• CVE-2009-0478は，SquidがHTTPのバージョン文字列を処理する際に適切な長さチェックを行っていないため，DoSが発生する問題です。
• 対処方法：通常の場合，アップデートを適用することで問題を解決できます。ただし，アップデート時にSquidが再起動されますので注意してください。