今週のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-April/ 002465. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-April/ 002466. html - Ubuntu 14.
04 LTS・ 13. 10・ 12. 10・ 12. 04 LTS・ 10. 04 LTS用のアップデータがリリースされています。CVE-2014-0472, CVE-2014-0473, CVE-2014-0474を修正します。 - Djangoに含まれるreverse()関数の処理に問題があり,
ドットが含まれるパスを処理した場合に想定されていないPythonモジュールをロードすることがありました。これにより任意のコードの実行が可能かもしれません。また, CookieによるCSRFの可能性・ MySQLデータベースに含まれるフィールドの変換が不適切に行われる問題を解決します。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。 - 備考:usn-2169-1に問題があったため,
usn-2169-2として再アップデート版がリリースされています。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-April/ 002467. html - Ubuntu 14.
04 LTS・ 13. 10・ 12. 10・ 12. 04 LTS用のアップデータがリリースされています。MySQL 5. 5.37のUbuntuパッケージ版です。CPUApr2014としてCVE-2014-0001, CVE-2014-0384, CVE-2014-2419, CVE-2014-2430, CVE-2014-2431, CVE-2014-2432, CVE-2014-2436, CVE-2014-2438, CVE-2014-2440を修正します。 - 備考:MySQL 5.
5.36・ MySQL 5. 5.37のリリースノートを確認してください。また, mysql-5. 5パッケージに切り替わったタイミングで, 誤ってtest_*にマッチするデータベースをローカルホストから接続可能にするパッチが含まれなくなっていました。アップデータにはこの問題への修正も含まれています。ただし, 既存のデータベースの設定変更は自動的には適用されません。対応手順を確認する必要があります。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-April/ 002468. html - Ubuntu 14.
04 LTSを修正します。CVE-2014-2855を修正します。 - rsyncのユーザー名処理に問題があり,
悪意ある加工の施された文字列を読み込ませることでメモリの過大消費を招くことが可能です。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-April/ 002469. html - Ubuntu 13.
10・ 12. 10・ 12. 04 LTS・ 10. 04 LTS用のアップデータがリリースされています。CVE-2014-2856を修正します。 - CUPSのWebUIにXSSがありました。
- 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-April/ 002470. html - Ubuntu 10.
04 LTS用のアップデータがリリースされています。CVE-2014-0101, CVE-2014-2523を修正します。 - SCTPハンドシェーク・
DCCPにおいてクラッシュが発生する可能性があります。DCCPでのクラッシュはメモリ破壊を伴うため, 潜在的に任意のコードの実行が可能です。 - 対処方法:アップデータを適用の上,
システムを再起動してください。 - 備考:ABIの変更を伴いますので,
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため, 通常はそのままアップデートの適用を行えば対応できます。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-April/ 002471. html - Ubuntu 10.
04 LTS用のアップデータがリリースされています。CVE-2014-0101, CVE-2014-2523を修正します。 - SCTPハンドシェーク・
DCCPにおいてクラッシュが発生する可能性があります。DCCPでのクラッシュはメモリ破壊を伴うため, 潜在的に任意のコードの実行が可能です。 - 対処方法:アップデータを適用の上,
システムを再起動してください。 - 備考:ABIの変更を伴いますので,
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため, 通常はそのままアップデートの適用を行えば対応できます。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-April/ 002472. html - Ubuntu 12.
04 LTS用のアップデータがリリースされています。CVE-2014-0049, CVE-2014-0069を修正します。 - KVMサブシステムの問題により,
ゲストOS上で悪意あるコードを実行することでホストOS上で任意のコードを実行することが可能です。また, CIFSのキャッシュされていないwriteオペレーションにおけるシステムクラッシュと, クラッシュ時にkmemが露出することによるクレデンシャルの漏洩が生じるおそれがありました。 - 対処方法:アップデータを適用の上,
システムを再起動してください。 - 備考:ABIの変更を伴いますので,
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため, 通常はそのままアップデートの適用を行えば対応できます。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-April/ 002473. html - Ubuntu 12.
04 LTS用のアップデータがリリースされています。CVE-2014-0049, CVE-2014-0069を修正します。 - KVMサブシステムの問題により,
ゲストOS上で悪意あるコードを実行することでホストOS上で任意のコードを実行することが可能です。また, CIFSのキャッシュされていないwriteオペレーションにおけるシステムクラッシュと, クラッシュ時にkmemが露出することによるクレデンシャルの漏洩が生じるおそれがありました。 - 対処方法:アップデータを適用の上,
システムを再起動してください。 - 備考:ABIの変更を伴いますので,
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため, 通常はそのままアップデートの適用を行えば対応できます。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-April/ 002474. html - Ubuntu 12.
04 LTS用のアップデータがリリースされています。CVE-2014-0049, CVE-2014-0069を修正します。 - KVMサブシステムの問題により,
ゲストOS上で悪意あるコードを実行することでホストOS上で任意のコードを実行することが可能です。また, CIFSのキャッシュされていないwriteオペレーションにおけるシステムクラッシュと, クラッシュ時にkmemが露出することによるクレデンシャルの漏洩が生じるおそれがありました。 - 対処方法:アップデータを適用の上,
システムを再起動してください。 - 備考:ABIの変更を伴いますので,
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため, 通常はそのままアップデートの適用を行えば対応できます。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-April/ 002475. html - Ubuntu 12.
10用のアップデータがリリースされています。CVE-2014-0049, CVE-2014-0069を修正します。 - KVMサブシステムの問題により,
ゲストOS上で悪意あるコードを実行することでホストOS上で任意のコードを実行することが可能です。また, CIFSのキャッシュされていないwriteオペレーションにおけるシステムクラッシュと, クラッシュ時にkmemが露出することによるクレデンシャルの漏洩が生じるおそれがありました。 - 対処方法:アップデータを適用の上,
システムを再起動してください。 - 備考:ABIの変更を伴いますので,
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため, 通常はそのままアップデートの適用を行えば対応できます。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-April/ 002476. html - Ubuntu 13.
10用のアップデータがリリースされています。CVE-2014-0049, CVE-2014-0069を修正します。 - KVMサブシステムの問題により,
ゲストOS上で悪意あるコードを実行することでホストOS上で任意のコードを実行することが可能です。また, CIFSのキャッシュされていないwriteオペレーションにおけるシステムクラッシュと, クラッシュ時にkmemが露出することによるクレデンシャルの漏洩が生じるおそれがありました。 - 対処方法:アップデータを適用の上,
システムを再起動してください。 - 備考:ABIの変更を伴いますので,
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため, 通常はそのままアップデートの適用を行えば対応できます。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-April/ 002477. html - Ubuntu 12.
10用のアップデータがリリースされています。CVE-2014-0049, CVE-2014-0069を修正します。 - KVMサブシステムの問題により,
ゲストOS上で悪意あるコードを実行することでホストOS上で任意のコードを実行することが可能です。また, CIFSのキャッシュされていないwriteオペレーションにおけるシステムクラッシュと, クラッシュ時にkmemが露出することによるクレデンシャルの漏洩が生じるおそれがありました。 - 対処方法:アップデータを適用の上,
システムを再起動してください。 - 備考:ABIの変更を伴いますので,
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため, 通常はそのままアップデートの適用を行えば対応できます。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-April/ 002478. html - Ubuntu 13.
10用のアップデータがリリースされています。CVE-2014-0049, CVE-2014-0069を修正します。 - KVMサブシステムの問題により,
ゲストOS上で悪意あるコードを実行することでホストOS上で任意のコードを実行することが可能です。また, CIFSのキャッシュされていないwriteオペレーションにおけるシステムクラッシュと, クラッシュ時にkmemが露出することによるクレデンシャルの漏洩が生じるおそれがありました。 - 対処方法:アップデータを適用の上,
システムを再起動してください。 - 備考:ABIの変更を伴いますので,
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため, 通常はそのままアップデートの適用を行えば対応できます。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-April/ 002479. html - Ubuntu 14.
04 LTS・ 13. 10・ 12. 10・ 12. 04 LTS・ 10. 04 LTS用のアップデータがリリースされています。CVE-2013-4544, CVE-2014-0150, CVE-2014-2894を修正します。 - QEMU上のvmxnet3・
virtio-netドライバ・ SMART応答において, DoS・ 任意のコードの実行の可能性がありました。 - 対処方法:アップデータを適用の上,
システムを再起動してください。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-April/ 002480. html - Ubuntu 14.
04 LTS・ 13. 10・ 12. 10・ 12. 04 LTS・ 10. 04 LTS用のアップデータがリリースされています。CVE-2014-0471を修正します。 - dpkgがソースパッケージを展開する際,
パッケージに含まれるパス・ symlinkに悪意ある加工を施しておくことで, ファイルシステム上に本来想定していない形で任意のファイルを展開することが可能です。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-April/ 002481. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-April/ 002486. html - Ubuntu 14.
04 LTS用のアップデータがリリースされています。LP#1308850, LP#1313885を修正します。 - Unityが提供するスクリーンロックが不十分なため,
ショートカットキーによるコマンド実行・ Dash経由でのコマンド実行が可能な場合がありました。 - 対処方法:アップデータを適用の上,
セッションを再起動 (一度ログアウトして再ログイン) してください。 - 備考:修正が不十分であったため,
複数回のアップデートが行われています。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-April/ 002482. html - Ubuntu 14.
04 LTS・ 13. 10・ 12. 10・ 12. 04 LTS用のアップデータがリリースされています。CVE-2014-1492, CVE-2014-1518, CVE-2014-1519, CVE-2014-1522, CVE-2014-1523, CVE-2014-1524, CVE-2014-1525, CVE-2014-1526, CVE-2014-1528, CVE-2014-1529, CVE-2014-1530, CVE-2014-1531, CVE-2014-1532を修正します。 - Firefox 29のUbuntuパッケージ版です。
- 対処方法:アップデータを適用の上,
Firefoxを再起動してください。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-April/ 002483. html - Ubuntu 13.
10用のアップデータがリリースされています。CVE-2013-7374に対応します。 - Date and Time IndicatorがGreeter
(ログイン画面) 経由で実行された場合, さらに外部のアプリケーションを呼び出す際に特権を落とさずに動作していました。 - 対処方法:アップデータを適用の上,
システムを再起動してください。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-April/ 002484. html - Ubuntu 14.
04 LTS・ 13. 10・ 12. 10用のアップデータがリリースされています。CVE-2014-0429, CVE-2014-0446, CVE-2014-0451, CVE-2014-0452, CVE-2014-0453, CVE-2014-0454, CVE-2014-0455, CVE-2014-0456, CVE-2014-0457, CVE-2014-0458, CVE-2014-0459, CVE-2014-0460, CVE-2014-0461, CVE-2014-1876, CVE-2014-2397, CVE-2014-2398, CVE-2014-2402, CVE-2014-2403, CVE-2014-2412, CVE-2014-2413, CVE-2014-2414, CVE-2014-2421, CVE-2014-2423, CVE-2014-2427を修正します。 - CPUApr2014に相当するアップデートです。
- 対処方法:アップデータを適用の上,
Java上で動作する全てのアプリケーションを再起動してください。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-April/ 002485. html - Ubuntu 14.
04 LTS・ 13. 10・ 12. 10用のアップデータがリリースされています。CVE-2014-0172を修正します。 - libdwを利用したアプリケーションからデバッグセクションに細工を施した不正なELFファイルを開いた際に,
メモリ破壊を伴うクラッシュが生じることがありました。これにより任意のコードを実行させることが可能かもしれません。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-April/ 002487. html - Ubuntu 14.
04 LTS・ 13. 10・ 12. 10・ 12. 04 LTS用のアップデータがリリースされています。CVE-2014-1518, CVE-2014-1523, CVE-2014-1524, CVE-2014-1529, CVE-2014-1530, CVE-2014-1531, CVE-2014-1532を修正します。 - Thunderbird 24.
4.0のUbuntuパッケージ版です。 - 対処方法:アップデータを適用の上,
Thunderbirdを再起動してください。