Ubuntu Weekly Topics

2009年11月13日号 10.04の開発と諸元の変更・9.10へのアップグレード・UWN#167・CUPSとWebkitのセキュリティアップデート

この記事を読むのに必要な時間:およそ 3 分

その他のニュース

今週のセキュリティアップデート

usn-854-1:GDのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-November/000994.html
  • 現在サポートされている全てのUbuntu(6.06 LTS・8.04 LTS・8.10・9.04・9.10)用のアップデータがリリースされています。CVE-2007-3475, CVE-2007-3476, CVE-2007-3477, CVE-2009-3293, CVE-2009-3546を修正します。
  • CVE-2009-3546はGDがGD形式の画像を扱う際,含まれる色数の情報を取り扱う際の問題で,悪意ある画像イメージを送りつけることで,任意のコードの実行,またはプロセスのクラッシュを引き起こすことが可能なものです。
  • CVE-2009-3293はlibgdが透明色を含んだファイルを取り扱う際の問題で,悪意ある画像イメージを送りつけることで,任意のコードの実行,またはプロセスのクラッシュを引き起こすことが可能なものです。libgdにリンクした全てのアプリケーションが影響を受けます。
  • CVE-2007-3475, CVE-2007-3476はいずれもGDがGIF形式の画像を扱う際の問題で,悪意ある画像イメージを送りつけることで,任意のコードの実行,またはプロセスのクラッシュを引き起こすことが可能なものです。この問題はUbuntu 6.06にのみ影響します。
  • CVE-2007-3477はlibgdの画像回転処理の問題で,角度の指定値を極端に大きな値にすることで,CPUを不当に占有することが可能な問題です。これにより,サービス停止や応答速度の劣化を引き起こすことが可能です。
  • 対処方法:通常の場合,アップデータを適用することで問題を修正できます。
usn-855-1:libhtml-parser-perlのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-November/000995.html
  • 現在サポートされている全てのUbuntu(6.06 LTS・8.04 LTS・8.10・9.04・9.10)用のアップデータがリリースされています。CVE-2009-3627を修正します。
  • CVE-2009-3627は,PerlのHTML::Parserにおいて,UTF-8ベースの不完全なHTMLエンティティを処理させることにより,無限ループに陥る問題です。
  • 対処方法:通常の場合,アップデータを適用することで問題を修正できます。
  • 備考:問題の発見者は,⁠SPAMメールに含まれた,キリル文字のような何か外国語のメッセージを受け取った時に発生した」としています。SpamAssassinなどの,自動的にメール内容を解析するタイプのソフトウェアではこの問題が発生しやすくなると考えられます。
usn-856-1:CUPSのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2009-November/000997.html
  • 現在サポートされている全てのUbuntu(6.06 LTS・8.04 LTS・8.10・9.04・9.10)用のアップデータがリリースされています。CVE-2009-2820を修正します。
  • CVE-2009-2820はCUPSのWebインターフェースがXSS・CSRFの双方に脆弱なため,CUPSのWebインターフェースにログインした状態で悪意あるサイトを閲覧した場合,Webインターフェース上で可能な操作の実行・表示されているデータの盗みだしが可能な問題です。
  • 対処方法:通常の場合,アップデータを適用することで問題を修正できます。
usn-857-1:libqt4-webkitのセキュリティアップデート

著者プロフィール

吉田史(よしだふみひと)

Ubuntu Japanese Team Member株式会社創夢所属。システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。