Jaunty Alpha6のリリース
先週もお伝えした内容ですが、
ISOイメージのダウンロードは、
なお、
Ubuntu Weekly Newsの日本語版
Ubuntu Weekly Newsletter
この日本語版のリリースのため、
また、
UWN#133
UWN#133がリリースされています。
詳しい内容は上述の日本語版を参照してください。
RightscaleがUbuntu Serverをサポート
RightscaleによるUbuntu Serverのサポートが発表されました。
Rightscale社はAmazon EC2関連のセットアップ技術
今回の発表は、
9.04関連
Ubuntu for Nokia Internet Tablets
Ubuntu 9.
Nokia N810などで動作するイメージも公開されていますので、
RTカーネルの復活
Ubuntu Studio等、
Ubuntu StudioのDaily Buildを用いることで、
パッケージのステータス
これは厳密には9.
これにより、
Planet ubuntuserver
Ubuntuには、
そこで、
Hardy(8.04)へのKVM 84のバックポート
2009年2月15日にリリースされた、
……ちなみに、
その他のニュース
- 8.
10で利用できる、 いわゆる 「野良」 リポジトリ [2] がリストされたblog記事。 - blog.
launchpad. の、net Launchpadのbug trackメールをgmailで 「うまく」 振り分ける方法
今週のセキュリティアップデート
今週はbase64の処理に関わる複数のソフトウェアで脆弱性が発見・
- usn-733-1:evolution-data-serverのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-March/ 000861. html - 6.
06 LTS・ 7. 10用のアップデータがリリースされています。CVE-2009-0587を修正します。 - CVE-2009-0587は、
Base64の処理を行う際、 想定を越える長さの文字列を正しく取り扱えない問題です。これにより攻撃者がメールにvcardやイメージファイルを添付する、 あるいはリンクをメール上に掲載し、 それを開いた際に自身が管理するサーバーに誘導することで、 Evolutionを実行しているユーザーの権限で任意のコードを実行させることが可能でした。 - 対処方法:通常の場合、
アップデートを適用することで問題を解決することができます。 - 備考:オリジナル版の2.
24. 5以前のevolution-data-serverが影響を受けます。上記以外の幾つかのUbuntuのリリースバージョンが影響を受けると考えられますが、 明示的なアナウンスはまだです。
- https://
- usn-736-1:GStreamer Good Plugins vulnerabilities
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-March/ 000859. html - 7.
10・ 8. 04LTS・ 8. 10用のアップデータがリリースされています。CVE-2009-0386, CVE-2009-0387, CVE-2009-0397を修正します。 - CVE-2009-0386は、
Quicktime形式の動画ファイル (.mov) を処理する際の問題です。Composition Time To Sample (ctts) を正しく処理しないため、 悪意あるmovファイルを準備し、 ユーザーにそれを開かせることで、 DoS、 ないしファイルを開いたユーザーの権限で任意のコードを実行できる可能性があります。 - It was discovered that GStreamer Good Plugins did not correctly handle
- CVE-2009-0387も、
Quicktime形式の動画ファイル (.mov) を処理する際の問題です。Sync Sample (stss) atomデータを正しく取り扱わないため、 悪意あるmovファイルを準備し、 ユーザーにそれを開かせることで、 DoS、 ないしファイルを開いたユーザーの権限で任意のコードを実行できる可能性があります。 - CVE-2009-0397も、
Quicktime形式の動画ファイル (.mov) を処理する際の問題で、 Time-to-sample (stss) を適切に扱わないため、 悪意あるmovファイルによるDoS、 ないしファイルを開いたユーザーの権限での任意のコード実行の可能性があります。以上の3つに関しては、 これらは共通する脆弱性情報 http:// trapkit. を参照してください。de/ advisories/ TKADV2009-003. txt - 対処方法:通常の場合、
アップデートを適用するだけで問題を解決することができます。 - 備考:GStreamer系プラグインはTotem・
Amarokなどの様々な動画プレイヤーでバックエンドとして利用されています。多くの場合、 ブラウザのプラグインとしても有効になっていますので、 アップデートが必要です。
- https://
- usn-735-1:GStreamer Base Pluginsのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-March/ 000858. html - Ubuntu 8.
10用のアップデータがリリースされています。CVE-2009-0586を修正します。 - CVE-2009-0586は、
Ogg Vorbis形式のファイルのCOVERARTタグを処理するコードの問題です。base64でエンコードされたタグとして、 過大な大きさの文字列を埋め込んだファイルを準備し、 ユーザーに開かせることで、 そのユーザーの権限で任意のコードを実行できる可能性があります。 - 対処方法:通常の場合、
アップデートを適用するだけで問題を解決することができます。 - 備考:GStreamer系プラグインです。ソフトウェアとしての注意点は、
usn-736-1のものと同等です。
- https://
- usn-737-1:libsoupのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-March/ 000860. html - 6.
06 LTS・ 7. 10用のアップデータがリリースされています。CVE-2009-0585を修正します。 - CVE-2009-0585はlibsoup
(SOAP処理のためのライブラリ) の脆弱性で、 base64でエンコードされたテキストの処理の問題です。これにより悪意あるサーバーに接続した際、 レスポンスとして細工されたSOAP応答が返された場合、 libsoupをリンクしたアプリケーションを実行しているユーザーの権限で任意のコードを実行される恐れがあります。 - 対処方法:通常の場合、
アップデートを適用するだけで問題を解決することができます。 - 備考:libsoupにリンクしたアプリケーションの場合、
アプリケーションの再起動が必要になる可能性があります。判断ができない場合、 システムを再起動してください。
- https://
- usn-738-1:GLibのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-March/ 000862. html - 7.
10・ 8. 04 LTS・ 8. 10用のアップデータがリリースされています。CVE-2008-4316を修正します。 - CVE-2008-4316は、
GLibに含まれるBase64処理の問題です。大きすぎる文字列が与えられた場合、 ヒープバッファオーバーフローが発生し、 任意のコードが実行される危険があります。 * 対処方法:通常の場合、 アップデートを適用するだけで問題を解決することができますが、 GLibにリンクした各種アプリケーションの再起動が必要になることがあります。ほとんどの場合、 すべてのプロセスを確実に再起動するために、 OS全体を再起動した方がよいでしょう。
- https://
- usn-734-1:FFmpegのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-March/ 000863. html - 7.
10・ 8. 04 LTS・ 8. 10用のアップデータがリリースされています。CVE-2008-4610, CVE-2008-4866, CVE-2008-4867, CVE-2009-0385を修正します。 - CVE-2008-4610は、
Ogg形式の動画等のカプセルファイル (OGM) の処理に関する脆弱性です。脆弱性を悪用し、 細工したファイルを開かせることで、 FFmpegをクラッシュさせることが可能でした。 - CVE-2008-4866は、
DTSストリームの処理に関する脆弱性です。脆弱性を悪用し、 細工したファイルを開かせることで、 アプリケーションのクラッシュ、 ないし任意のコード実行の可能性があります。この問題は8. 10にのみ影響します。 - CVE-2008-4867は、
DTS Coherent Acoustics (DCA) の処理の問題です。脆弱性を悪用し、 細工したファイルを開かせることで、 アプリケーションのクラッシュ、 ないし任意のコード実行の可能性があります。 - CVE-2009-0385は、
4X movieファイルの処理に関する脆弱性です。脆弱性を悪用し、 細工したファイルを開かせることでアプリケーションのクラッシュ、 ないし任意のコード実行の可能性があります。 - 対処方法:通常の場合、
アップデートを適用するだけで問題を解決することができます。
- https://
- usn-739-1:Amarokのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-March/ 000864. html - 7.
10・ 8. 04 LTS・ 8. 10用のアップデータがリリースされています。CVE-2009-0135, CVE-2009-0136を修正します。 - CVE-2009-0135, CVE-2009-0136ともに、
Audible Audioファイル (.aa) の取り扱いに関する問題です。細工したファイルを開かせることでアプリケーションのクラッシュ、 ないし任意のコード実行の可能性があります。
- https://
- usn-740-1:NSSのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-March/ 000865. html - 現在サポートされている全てのUbuntu
(6. 06 LTS・ 7. 10・ 8. 04 LTS・ 8. 10) 用のアップデータがリリースされています。CVE-2004-2761に関連しますが、 根本的に解決するものではありません。 - このアップデータは昨年末に公開された、
MD5の強衝突性とCAのシリアル値の付与パターンから来るハッシュの予測可能性を利用して作成したデモンストレーション用の、 意図して期限切れ状態で作成された 偽造証明書をブラックリストに加えるものです。CVE-2004-2761で示されるMD5の問題は暗号系そのもの問題であり、ソフトウェア側での対処はきわめて部分的なものに制限されます。 - 備考:上述の通り、
デモ用に作成された期限切れの証明書の無効化処置です。通常の運用の場合 (時刻が正しく保持されている限り)、 このアップデータを適用しなくても偽造証明書によりセキュリティが脅かされることはありません。
- https://