Ubuntu Weekly Topics

2011年1月21日号 QtとUbuntu・Unity 2D・新しいXスタック・UWN#219・Ubuntu Server Survey 2011

この記事を読むのに必要な時間:およそ 4.5 分

今週のセキュリティアップデート

usn-1035-1:Evinceのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-January/001218.html
  • Ubuntu 8.04 LTS・9.10・10.04 LTS・10.10用のアップデータがリリースされています。CVE-2010-2640, CVE-2010-2641, CVE-2010-2642, CVE-2010-2643を修正します。
  • evinceを用いてDVIファイルを閲覧する際,evinceの実行権限での任意のコードの実行またはクラッシュを引き起こす問題がありました。なお,Ubuntu 9.10以降ではevinceのプロセスはAppArmorによって保護されており,攻撃者によって自由にできる権限の範囲は限定されています。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-1038-1:dpkgのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-January/001219.html
  • Ubuntu 9.10・10.04 LTS・10.10用のアップデータがリリースされています。CVE-2010-1679を修正します。
  • CVE-2010-1679は,dpkgに含まれるdpkg-sourceコマンドが,Source-Format:3.0のソースパッケージを展開する場合に,パストラバーサルが可能な問題です。これにより,ソースパッケージを自動的に処理するようなシステムにおいて,本来想定される以外の場所にファイルを投下したり,上書きすることが可能です。この問題はユーザ的な利用では影響しません。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-1036-1:CUPSのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-January/001220.html
  • Ubuntu 10.10用のアップデータがリリースされています。LP#690040で報告された問題を修正します。
  • {#LP690040}:一定条件下において,AppArmorの起動タイミングよりも前にCUPSが起動してしまい,AppArmorによる保護が提供されない可能性がありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-1037-1:ifupdownのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-January/001221.html
  • Ubuntu 10.04 LTS・10.10用のアップデータがリリースされています。LP#689892を修正します。
  • usn-1036-1と同様,ifupdownによるネットワークインターフェース設定とAppArmorの起動タイミングの問題により,dhclientプロセスがAppArmorによって保護されない可能性がありました。
  • 対処方法:アップデータを適用した上で,DHCPを利用するネットワークインターフェースを再賦活してください。
usn-1039-1:AppArmorのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-January/001222.html
  • Ubuntu 9.10・10.04 LTS・10.10用のアップデータがリリースされています。LP#693082を修正します。
  • AppArmorのpx/pux指定が併用された場合の処理に誤りがあり,本来想定しているよりも低いセキュリティレベルで動作してしまう可能性がありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-1040-1:Djangoのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-January/001223.html
  • Ubuntu 9.10・10.04 LTS・10.10用のアップデータがリリースされています。CVE-2010-4534, CVE-2010-4535を修正します。
  • CVE-2010-4534は,Djangoの管理者用インターフェースにおいて,クエリ文字列の検証が適切に行われておらず,本来管理者のみに閲覧可能であるべき情報が第三者に漏洩する問題です。
  • CVE-2010-4535は,Djangoのパスワードリセットインターフェースにおいて,ランダムに発行されるべき初期化用トークンが短すぎ,アタッカーによって推定可能な問題です。これにより,不正にパスワードを初期化することが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-1041-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-January/001224.html
  • Ubuntu 9.10・10.04 LTS・10.10用のアップデータがリリースされています。CVE-2010-2537, CVE-2010-2538, CVE-2010-2943, CVE-2010-2962, CVE-2010-3079, CVE-2010-3296, CVE-2010-3297, CVE-2010-3298, CVE-2010-3301, CVE-2010-3858, CVE-2010-3861, CVE-2010-4072を修正します。
  • BtrFS,XFSの修正,i915グラフィックドライバのroot権限奪取の防止,mutex管理の失敗によるカーネルのクラッシュ・64bit環境からの32bitシステムコール呼び出しによるroot権限奪取などの複数の脆弱性を修正します。
  • 対処方法:アップデータを適用の上で,システムを再起動してください。
  • 注意:Ubuntu 10.04 LTS・10.10用のアップデータは,ABIの変更を伴います。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるので,通常はそのままアップデートを適用しても問題ありません。もしも自分でコンパイルしたカーネルモジュールを利用している・独自のカーネルモジュールパッケージを利用している場合,それらのモジュールの再コンパイルまたはアップデートが必要です。
usn-1042-1usn-1042-2:PHPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-January/001225.html
  • 現在サポートされている,すべてのUbuntu(6.06 LTS・8.04 LTS・9.10・10.04 LTS・10.10)用のアップデータがリリースされています。CVE-2009-5016, CVE-2010-3436, CVE-2010-3709, CVE-2010-3710, CVE-2010-3870, CVE-2010-4156, CVE-2010-4409, CVE-2010-4645を習性します。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
  • 備考:usn-1042-1としてリリースされたものにはopen_basedirの処理に問題があったため,usn-1042-2として再リリースが行われています。
usn-1009-2:GNU C Libraryのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-January/001226.html
  • Ubuntu 8.04 LTS・9.10・10.04 LTS・10.10用のアップデータがリリースされています。LP#701783を修正します。
  • usn-1009-1の修正において,manコマンドが暗黙で利用するiconvが,本来意図しないライブラリをロードする可能性がありました。これにより,RPATH環境変数の指定によっては不正なライブラリを読み込ませることが可能でした。manコマンドがsetuidされている場合,この挙動は不正な権限昇格に利用できる可能性があります。ただし,Ubuntuのデフォルト設定においてはmanにはsetuidビットは立っていません。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-1043-1:Little CMSのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-January/001227.html
  • Ubuntu 8.04 LTS・9.10・10.04 LTS・10.10用のアップデータがリリースされています。CVE-2009-0793を修正します。
  • CVE-2009-0793は,LCMSがモノクロ画像用のプロファイルを取り扱う際,NULLポインタ参照が発生する問題です。これにより,加工が施された画像を読み込ん場合にクラッシュが生じる恐れがあります。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。

著者プロフィール

吉田史(よしだふみひと)

Ubuntu Japanese Team Member株式会社創夢所属。システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。