Ubuntu Weekly Topics

2014年5月2日号 14.10のコードネーム・14.04 LTS 日本語Remixのリリース・Ubuntu for Androidの去就・12.10のEOL・UWN#345

この記事を読むのに必要な時間:およそ 8 分

今週のセキュリティアップデート

usn-2169-1usn-2169-2:Djangoのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002465.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002466.html
  • Ubuntu 14.04 LTS・13.10・12.10・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-0472, CVE-2014-0473, CVE-2014-0474を修正します。
  • Djangoに含まれるreverse()関数の処理に問題があり,ドットが含まれるパスを処理した場合に想定されていないPythonモジュールをロードすることがありました。これにより任意のコードの実行が可能かもしれません。また,CookieによるCSRFの可能性・MySQLデータベースに含まれるフィールドの変換が不適切に行われる問題を解決します。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
  • 備考:usn-2169-1に問題があったため,usn-2169-2として再アップデート版がリリースされています。
usn-2170-1:MySQLのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002467.html
  • Ubuntu 14.04 LTS・13.10・12.10・12.04 LTS用のアップデータがリリースされています。MySQL 5.5.37のUbuntuパッケージ版です。CPUApr2014としてCVE-2014-0001, CVE-2014-0384, CVE-2014-2419, CVE-2014-2430, CVE-2014-2431, CVE-2014-2432, CVE-2014-2436, CVE-2014-2438, CVE-2014-2440を修正します。
  • 備考:MySQL 5.5.36MySQL 5.5.37のリリースノートを確認してください。また,mysql-5.5パッケージに切り替わったタイミングで,誤ってtest_*にマッチするデータベースをローカルホストから接続可能にするパッチが含まれなくなっていました。アップデータにはこの問題への修正も含まれています。ただし,既存のデータベースの設定変更は自動的には適用されません。対応手順を確認する必要があります。
usn-2171-1:rsyncのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002468.html
  • Ubuntu 14.04 LTSを修正します。CVE-2014-2855を修正します。
  • rsyncのユーザー名処理に問題があり,悪意ある加工の施された文字列を読み込ませることでメモリの過大消費を招くことが可能です。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-2172-1:CUPS のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002469.html
  • Ubuntu 13.10・12.10・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-2856を修正します。
  • CUPSのWebUIにXSSがありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-2173-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002470.html
  • Ubuntu 10.04 LTS用のアップデータがリリースされています。CVE-2014-0101, CVE-2014-2523を修正します。
  • SCTPハンドシェーク・DCCPにおいてクラッシュが発生する可能性があります。DCCPでのクラッシュはメモリ破壊を伴うため,潜在的に任意のコードの実行が可能です。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-2174-1:Linux kernel (EC2)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002471.html
  • Ubuntu 10.04 LTS用のアップデータがリリースされています。CVE-2014-0101, CVE-2014-2523を修正します。
  • SCTPハンドシェーク・DCCPにおいてクラッシュが発生する可能性があります。DCCPでのクラッシュはメモリ破壊を伴うため,潜在的に任意のコードの実行が可能です。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-2175-1:Linux kernel (Quantal HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002472.html
  • Ubuntu 12.04 LTS用のアップデータがリリースされています。CVE-2014-0049, CVE-2014-0069を修正します。
  • KVMサブシステムの問題により,ゲストOS上で悪意あるコードを実行することでホストOS上で任意のコードを実行することが可能です。また,CIFSのキャッシュされていないwriteオペレーションにおけるシステムクラッシュと,クラッシュ時にkmemが露出することによるクレデンシャルの漏洩が生じるおそれがありました。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-2176-1:Linux kernel (Raring HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002473.html
  • Ubuntu 12.04 LTS用のアップデータがリリースされています。CVE-2014-0049, CVE-2014-0069を修正します。
  • KVMサブシステムの問題により,ゲストOS上で悪意あるコードを実行することでホストOS上で任意のコードを実行することが可能です。また,CIFSのキャッシュされていないwriteオペレーションにおけるシステムクラッシュと,クラッシュ時にkmemが露出することによるクレデンシャルの漏洩が生じるおそれがありました。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-2177-1:Linux kernel (Saucy HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002474.html
  • Ubuntu 12.04 LTS用のアップデータがリリースされています。CVE-2014-0049, CVE-2014-0069を修正します。
  • KVMサブシステムの問題により,ゲストOS上で悪意あるコードを実行することでホストOS上で任意のコードを実行することが可能です。また,CIFSのキャッシュされていないwriteオペレーションにおけるシステムクラッシュと,クラッシュ時にkmemが露出することによるクレデンシャルの漏洩が生じるおそれがありました。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-2178-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002475.html
  • Ubuntu 12.10用のアップデータがリリースされています。CVE-2014-0049, CVE-2014-0069を修正します。
  • KVMサブシステムの問題により,ゲストOS上で悪意あるコードを実行することでホストOS上で任意のコードを実行することが可能です。また,CIFSのキャッシュされていないwriteオペレーションにおけるシステムクラッシュと,クラッシュ時にkmemが露出することによるクレデンシャルの漏洩が生じるおそれがありました。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-2179-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002476.html
  • Ubuntu 13.10用のアップデータがリリースされています。CVE-2014-0049, CVE-2014-0069を修正します。
  • KVMサブシステムの問題により,ゲストOS上で悪意あるコードを実行することでホストOS上で任意のコードを実行することが可能です。また,CIFSのキャッシュされていないwriteオペレーションにおけるシステムクラッシュと,クラッシュ時にkmemが露出することによるクレデンシャルの漏洩が生じるおそれがありました。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-2180-1:Linux kernel (OMAP4)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002477.html
  • Ubuntu 12.10用のアップデータがリリースされています。CVE-2014-0049, CVE-2014-0069を修正します。
  • KVMサブシステムの問題により,ゲストOS上で悪意あるコードを実行することでホストOS上で任意のコードを実行することが可能です。また,CIFSのキャッシュされていないwriteオペレーションにおけるシステムクラッシュと,クラッシュ時にkmemが露出することによるクレデンシャルの漏洩が生じるおそれがありました。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-2181-1:Linux kernel (OMAP4)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002478.html
  • Ubuntu 13.10用のアップデータがリリースされています。CVE-2014-0049, CVE-2014-0069を修正します。
  • KVMサブシステムの問題により,ゲストOS上で悪意あるコードを実行することでホストOS上で任意のコードを実行することが可能です。また,CIFSのキャッシュされていないwriteオペレーションにおけるシステムクラッシュと,クラッシュ時にkmemが露出することによるクレデンシャルの漏洩が生じるおそれがありました。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-2182-1:QEMUのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002479.html
  • Ubuntu 14.04 LTS・13.10・12.10・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2013-4544, CVE-2014-0150, CVE-2014-2894を修正します。
  • QEMU上のvmxnet3・virtio-netドライバ・SMART応答において,DoS・任意のコードの実行の可能性がありました。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-2183-1:dpkgのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002480.html
  • Ubuntu 14.04 LTS・13.10・12.10・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-0471を修正します。
  • dpkgがソースパッケージを展開する際,パッケージに含まれるパス・symlinkに悪意ある加工を施しておくことで,ファイルシステム上に本来想定していない形で任意のファイルを展開することが可能です。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-2184-1usn-2184-2:Unityのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002481.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002486.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。LP#1308850, LP#1313885を修正します。
  • Unityが提供するスクリーンロックが不十分なため,ショートカットキーによるコマンド実行・Dash経由でのコマンド実行が可能な場合がありました。
  • 対処方法:アップデータを適用の上,セッションを再起動(一度ログアウトして再ログイン)してください。
  • 備考:修正が不十分であったため,複数回のアップデートが行われています。
usn-2185-1:Firefoxのセキュリティアップデート
usn-2186-1:Date and Time Indicatorのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002483.html
  • Ubuntu 13.10用のアップデータがリリースされています。CVE-2013-7374に対応します。
  • Date and Time IndicatorがGreeter(ログイン画面)経由で実行された場合,さらに外部のアプリケーションを呼び出す際に特権を落とさずに動作していました。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-2187-1:OpenJDK 7のセキュリティアップデート
usn-2188-1:elfutilsのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-April/002485.html
  • Ubuntu 14.04 LTS・13.10・12.10用のアップデータがリリースされています。CVE-2014-0172を修正します。
  • libdwを利用したアプリケーションからデバッグセクションに細工を施した不正なELFファイルを開いた際に,メモリ破壊を伴うクラッシュが生じることがありました。これにより任意のコードを実行させることが可能かもしれません。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-2189-1:Thunderbirdのセキュリティアップデート

著者プロフィール

吉田史(よしだふみひと)

Ubuntu Japanese Team Member株式会社創夢所属。システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。