Ubuntu Weekly Topics

2009年4月3日号 パッケージングトレーニング・Full Circle magazine#23・UWN#135・Adobe ReaderとFirefoxのセキュリティアップデート

この記事を読むのに必要な時間:およそ 4 分

今週のセキュリティアップデート

Adobe Reader・Firefoxのアップデートはほとんどのユーザーに該当し,かつ緊急度の高い問題です。できるだけ速やかにアップデートを行ってください。また多くのアップデートにおいて,適用には単なるアップデートだけでなく,プロセス(アプリケーション)の再起動やログアウト,システムの再起動などが必要になります。各項目を確認し,正しい対処方法を把握してください。まとめて実施する場合は,アップデータをすべて適用し,Adobe Readerの新版をダウンロードして導入した上でシステムを再起動するのが最短です。

LP#332503:Adobe Reader 8.1.4のセキュリティアップデート
  • http://www.adobe.com/support/security/advisories/apsa09-01.html
  • 対処方法:アップデータを適用した上で,アプリケーション→オフィス→Adobe Reader 8 Installerからインストーラを起動し,Adobe Reader本体のインストールをあらためて実施してください。アップデータの適用だけではAdobe Readerの本体が削除されるだけです。
  • 備考:このパッケージは日本語Remixにのみ含まれます。パッケージとして提供されるのはAdobe Readerのインストーラで,Adobe Reader本体ではありません。
usn-746-1:xine-libのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000871.html
  • 現在サポートされている全てのUbuntu(6.06 LTS・7.10・8.04 LTS・8.10)用のアップデータがリリースされています。CVE-2009-0698と,USN-710-1に伴って発生したエンバグを修正します。
  • CVE-2009-0698は,4xm動画ファイルの処理に問題があり,ファイルの再生時にDoSまたは任意のコードの実行をもたらす可能性がある脆弱性です。
  • USN-710-1で適用された修正に含まれたバグにより,一部のメディアファイルが再生できなくなっていましたLP#322834⁠。このアップデートには対策が含まれています。ただし,USN-710-1におけるCVE-2008-5239には影響がなかったため,このエンバグによるセキュリティ的なリスクはありませんでした。
  • 対処方法:通常の場合,アップデータを適用した上でxine-libをリンクしているアプリケーション(たとえばTotem-xineやAmarok)を再起動することで問題を解決できます。リンクしているアプリケーションが不明な場合,確実な方法は一度ログアウトすることです。
usn-747-1:ICUのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000872.html
  • 現在サポートされている全てのUbuntu(6.06 LTS・7.10・8.04 LTS・8.10)用のアップデータがリリースされています。CVE-2008-1036を修正します。
  • CVE-2008-1036は,ICU(International Components for Unicode)がデータを処理する際の実装に問題があり,悪意ある細工を施されたデータを読み込んだ際にサービス停止ないし任意のコード実行が行われる可能性がありました。
  • 対処方法:通常の場合,アップデータを適用した上でlibicuをリンクしているアプリケーション(たとえばOpenOffice.org)を再起動することで問題を解決できます。リンクしているアプリケーションが不明な場合,確実な方法は一度ログアウトすることです。
usn-748-1:OpenJDKのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000873.html
  • 8.10用のアップデータがリリースされています。CVE-2006-2426, CVE-2009-1093, CVE-2009-1094, CVE-2009-1095, CVE-2009-1096, CVE-2009-1097, CVE-2009-1098, CVE-2009-1100, CVE-2009-1101, CVE-2009-1102を修正します。
  • CVE-2006-2426CVE-2009-1100は,JRE/JDK内でType1フォントを取り扱う際の処理に問題があり,テンポラリファイルを際限なく作成してしまう問題です。これによりシステムがDisk Fullによる動作不能状態に陥る可能性があります。詳細はOpenJDKの元になったSun JDKのSunSolveDocID#254608を参照してください。
  • CVE-2009-1101はJDK/JRE付属のHTTPサーバ機能の問題で,悪意ある細工の施されたリクエストを受け取った際,httpd daemonが応答を停止することがありました。これはJavaで構成されたXML Webサービスに用いられる機能です。詳細はOpenJDKの元になったSun JDKのSunSolveDocID#254609を参照してください。
  • CVE-2009-1102は,Javaアプレット内からそのアプレット自身のアクセス権限を変更できてしまう脆弱性です。この脆弱性はSPARC環境でのみ再現します。詳細はOpenJDKの元になったSun JDKのSunSolveDocID#254610を参照してください。
  • CVE-2009-1093, CVE-2009-1094は,ともにJavaに内包されたLDAPクライアント機能の問題です。悪意ある細工を施されたパケットを受け取ることで,LDAPクライアントのクラッシュまたは任意のコードの実行を許す可能性がありました。詳細はOpenJDKの元になったSun JDKのSunSolveDocID#254569を参照してください。
  • CVE-2009-1095, CVE-2009-1096は,ともにJARファイルの処理上の問題で,悪意ある細工を施されたファイルを開いた際にDoSまたは任意のコードの実行が可能でした。詳細はOpenJDKの元になったSun JDKのSunSolveDocID#254570を参照してください。また,クラッシュにつながるサンプルが公開されています。
  • CVE-2009-1097, CVE-2009-1098は,PNGやGIFファイルを開く際の問題です。悪意ある細工が施された画像ファイルを扱おうとすると,クラッシュや任意のコードの実行につながる可能性がありました。詳細はOpenJDKの元になったSun JDKのSunSolveDocID#254571を参照してください。
  • 対処方法:アップデータを適用後,既存のJavaアプリケーションをすべて再起動してください。
  • 備考:Ubuntu 8.04ではOpenJDKパッケージはUniverseリポジトリに存在するため,usn-748-1では取り扱われませんが,アップデータがリリースされていますので適用してください。7.10以前のUbuntuにはOpenJDKパッケージは存在しません。
  • 備考2:9.04にもOpenJDKパッケージは存在しますが,開発作業中のためまだセキュリティアップデートがリリースされていません。近日修正版がリリースされるはずです。
usn-745-1:FirefoxとXulrunnerのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000874.html
  • 現在サポートされている全てのUbuntu(6.06 LTS・7.10・8.04 LTS・8.10)用のアップデータがリリースされています。CVE-2009-1044, CVE-2009-1169を修正します。
  • CVE-2009-1044はXUL Treeのガベージコレクタが,すでに解放された領域にアクセスしようとしてクラッシュする問題です。悪意ある細工を施したページを開かせることで,ブラウザのクラッシュまたは任意のコードの実行が可能です。すでに任意のコード実行が可能であることがデモンストレーションされています(Pwn2Ownというクラッキングコンテストで利用されています⁠⁠。この問題は8.04・8.10に影響します。技術的な情報はMFSA2009-13を参照してください。
  • CVE-2009-1169は,FirefoxがXSLのスタイルシートを解釈するコードの問題で,悪意ある細工をほこどしたXSLTを読み込ませることで,ブラウザのクラッシュまたは任意のコードの実行が可能な問題です。脆弱性実証コードがすでに存在します。より詳細な情報はMFSA 2009-12を参照してください。
  • 対処方法:通常の場合,アップデータを適用した上でFirefoxを再起動してください。xulrunnerを利用したアプリケーション(Epiphany等)が存在する場合,そちらも再起動する必要があります。
  • 備考:9.04用にもアップデータがリリースされています。Beta版を利用している場合はアップデートを適用してください。
usn-749-1:libsndfileのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000875.html
  • 現在サポートされている全てのUbuntu(6.06 LTS・7.10・8.04 LTS・8.10)用のアップデータがリリースされています。CVE-2009-0186を修正します。
  • CVE-2009-0186は,CAF形式のオーディオファイルのチャンク部の解釈の問題で,整数オーバーフローによりヒープバッファの汚染が可能でした。これにより悪意あるCAFファイルを開かせることで,任意のコードを実行させることが可能でした。詳細な情報は,Secunia Researchによるアドバイザリを確認してください。
  • 対処方法:通常の場合,アップデータを適用した上で念のためlibsdnfileをリンクしているアプリケーションを再起動することで問題を解決できます(ただし,ほとんどの場合は音声ファイルの再生時にライブラリを読み込みなおしますので,アプリケーション単位での再起動は不要です⁠⁠。
  • 備考:9.04用にもアップデータがリリースされています。Beta版を利用している場合はアップデートを適用してください。
  • 備考2:libsndfileはNullsoft Winampで利用されていたライブラリです。多くのオーディオ再生アプリケーションで利用されています。
usn-750-1:OpenSSLのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-March/000876.html
  • 現在サポートされている全てのUbuntu(6.06 LTS・7.10・8.04 LTS・8.10)用のアップデータがリリースされています。CVE-2009-0590を修正します。
  • CVE-2009-0590は,ASN1形式のBMPStringまたはUniversalStringを解釈する際の問題で,人間が読める形(テキスト形式)にデコードする際に,これらの値として悪意ある細工が施されたものが与えられた場合にクラッシュが発生するものです。文字列長を入力に依存して確保しているため,不正なメモリアクセスが発生しますが,OpenSSLではこうしたboundsは発生した時点で安全にクラッシュするようになっているため,影響はDoSに留まります。一時情報としてOpenSSL Security Advisory(25-Mar-2009)を参照してください。
  • 対処方法:通常の場合,アップデータを適用した上でシステムを再起動することで問題を解決できます。
  • 備考:9.04用にもアップデータがリリースされています。Beta版を利用している場合はアップデートを適用してください。

著者プロフィール

吉田史(よしだふみひと)

Ubuntu Japanese Team Member株式会社創夢所属。システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。