Ubuntu Weekly Topics

2012年2月24日号 Ubuntu for Android・Preciseのベータフリーズ・“Armada XP”カーネル・サウンドテーマの変更・RC6パッチ・Ubuntu 10.04.4・UWN#253

この記事を読むのに必要な時間:およそ 5 分

UWN#253

Ubuntu Weekly Newsletter #253がリリースされています。

その他のニュース

  • 11.10・12.04で投入されるサーバー・クラウド向け目玉機能,jujuのWebinarが3月8日に開催されます。
  • USBメモリ向けのカスタマイズを加えたUSBメモリの新版が発売されています。
  • Unityを利用している状態でのポインタの動線を追いかけてみた例。
  • Ubuntu 11.10を,Sabnzbd+Sickbeard+Couch Potato+Headphones+Serviioでメディアサーバーにする方法。
  • Ubuntu OneがVodafone AppSelect(Vodafoneで提供されているAndroidスマートフォンの「公式」アプリストア)登場しました
  • ARMと古めのモバイルCPUの比較(OMAP4660 vs Atom N270 vs Pentium M 750 vs Core Duo T2400⁠⁠。
  • Oracle 11g R2 Express EditionをUbuntu 11.10にインストールする方法。
  • Unity ⁠料理⁠⁠ Lensについて
  • 「いまのところ」モックアップでしかない小型コンピューターのデザインについて。
  • 12.10で搭載されるかもしれない,Oneconfを利用した設定同期ツールについて。
  • 5年前のPC(NetburstアーキテクチャのCeleron)12.04を動かしてみた結果。

今週のセキュリティアップデート

usn-1366-1:devscriptsのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2012-February/001591.html
  • Ubuntu 11.10・11.04・10.10・10.04 LTS・8.04 LTS用のアップデータがリリースされています。CVE-2012-0210, CVE-2012-0211, CVE-2012-0212を修正します。
  • devscriptに含まれるdebdiffツールにおいて,入力を適切に検証していない問題がありました。これにより,悪意ある細工の施されたパッケージのソースを開いた際に,任意のコードの実行が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-1284-2:Update Managerの再アップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2012-February/001592.html
  • Ubuntu 11.10・11.04・10.10・10.04 LTS・8.04 LTS用のアップデータがリリースされています。LP#933225を修正します。
  • usn-1284-1を適用後,Kubuntu環境において,アップグレードが行えなくなっていました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-1368-1:Apache HTTP Serverのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2012-February/001593.html
  • Ubuntu 11.10・11.04・10.10・10.04 LTS・8.04 LTS用のアップデータがリリースされています。CVE-2011-3607, CVE-2011-4317, CVE-2012-0021, CVE-2012-0031, CVE-2012-0053を修正します。
  • CVE-2011-3607は,不正な.htaccessが設置された環境において,特定のリクエストが発行された場合に整数オーバーフローが発生する問題です。これにより,Apacheの動作権限での任意のコードの実行が可能です。攻撃条件が限定的なため,通常の環境でこの問題が悪用されるケースは少ないと見られます。
  • CVE-2011-4317は,RewriteRule・ProxyPassMatchのパターンマッチの問題で,Apacheをリバースプロクシとして利用している場合にのみ影響を受けます。この問題を悪用することにより,本来公開を意図していないサーバーへリバースプロクシ経由で接続できる可能性があります。攻撃者はURLを推定する必要があります。
  • CVE-2012-0021は,mod_log_configの問題で,Thread MPMを利用している環境において,出力文字列を適切にチェックしていない問題です。悪意あるクッキーを保持した状態でアクセスすることで,DoSが可能です。この問題は11.04・11.10にのみ影響します。
  • CVE-2012-0031は,Apacheのスコアボード上から特定のセグメントの共有メモリを操作することで,プロセスのクラッシュを誘発できる問題です。通常の場合ローカルユーザーからのDoSとして機能します。
  • CVE-2012-0053は,Bad Request(400)出力時のヘッダ情報が操作可能なため,HTTPOnly属性のついた一部のクッキーを改ざんできる問題です。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。アップデータ適用時にサーバーが再起動するため,アクセス数の多いサイトでは適用タイミングに注意してください。
usn-1367-1:libpngのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2012-February/001594.html
  • Ubuntu 11.10・11.04・10.10・10.04 LTS・8.04 LTS用のアップデータがリリースされています。CVE-2009-5063, CVE-2011-3026を修正します。
  • libpngがPNGファイルを取り扱う際,iCCPチャンクに含まれる埋め込みプロファイルのサイズ・チャンクの展開に必要なメモリの確保方法に問題があり,DoS・任意のコードの実行が可能でした。
  • 対処方法:アップデータを適用の上,セッションを再起動(一度ログアウトして再ログイン)してください。
  • 備考:これに伴い,libpng由来のソースを用いているソフトウェア・スタティックに用いているソフトウェアでは更新が必要な可能性があります。
usn-1367-2:Firefoxのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2012-February/001596.html
  • Ubuntu 11.10・11.04・10.10・10.04 LTS用のアップデータがリリースされています。usn-1367-1に伴うアップデートです。
  • 対処方法:アップデータを適用の上,Firefoxを再起動してください。
usn-1367-3:Thunderbirdのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2012-February/001595.html
  • Ubuntu 11.04・10.10・10.04 LTS用のアップデータがリリースされています。usn-1367-1に伴うアップデートです。
  • 対処方法:アップデータを適用の上,Thunderbird を再起動してください。
usn-1367-4:Xulrunnerのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2012-February/001598.html
  • Ubuntu 10.10・10.04 LTS用のアップデータがリリースされています。usn-1367-1に伴うアップデートです。
  • 対処方法:アップデータを適用の上,Xulrunnerを利用するアプリケーション(例:Yelp)を再起動してください。
usn-1369-1:Thunderbirdのセキュリティアップデート
usn-1370-1:libvorbisのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2012-February/001599.html
  • Ubuntu 11.10・11.04・10.10・10.04 LTS用のアップデータがリリースされています。CVE-2012-0444を修正します。
  • libvorbisが.oggファイルを読み込む際に入力値チェックが甘く,悪意ある細工の施されたファイルを開く際に任意のコードが実行される恐れがあります。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。

著者プロフィール

吉田史(よしだふみひと)

Ubuntu Japanese Team Member株式会社創夢所属。システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。