OpenStack Summit Atlanta 2014
OpenStackの祭典、
このキーノートに伴ってアナウンスページも準備されており、
まず最初にアピールされているのが、
OILに関連して、
Cloudbaseとの協働により、
AMD
これらのサービスを補完する位置づけのYour Cloudというサービスが開始されることもアナウンスされました。Your Cloudは、
……ここまでは一般ユーザーにとってはあまり縁のなさそうな話ですが、
The Orange Boxは一種の
個別販売もしており、
apt-venv
Ubuntuのユーザーのうちの何割かはDebianを併用し、
こうした事態を緩和するため、
これまでも各リリースに含まれるパッケージバージョンを確認するだけであればrmadisonコマンドを用いることで代替できましたが、
UWN#367
Ubuntu Weekly Newsletter #367がリリースされています。
その他のニュース
- Ubuntu 14.
04 LTSの各フレーバーを一枚のDVDに収録した、 14. 04 LTS AIO について。 - LXDE環境にQtを融合させた新世代のデスクトップ環境、
LXQtについて。これまでのGTKベースのLXDEに比べて、 Qtの綺麗なコード (異論が噴出する余地あり) と、 リッチな見た目を実現した、 現在も絶賛開発中の軽量デスクトップ環境です。 - ターミナルで実行した結果をindicatorとして表示できる、
sysmonitor indicator。 - 様々なゲームで利用されているUnreal Engineの新バージョン、
Unreal Engine 4がLinux環境もサポートすることが報じられています。これにより、 Windows・ Mac・ Linux (Steam OS) のクロスプラットフォームでリリースされるゲームが増えていくことになるでしょう。ただし、 『現在のところ、 SteamOS または Linux にプロジェクトをデプロイするには、 』Windowsコンピュータを使ってGitHubから得たソースをコンパイルする必要があります という制約が付いています [2]。
今週のセキュリティアップデート
- usn-2183-2:dpkgの再アップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-May/ 002489. html - Ubuntu 14.
04 LTS・ 13. 10・ 12. 10・ 12. 04 LTS・ 10. 04 LTS用のアップデータがリリースされています。 - usn-2183-1において、
誤った古いpatch utilityが同梱されていました。
- https://
- usn-2190-1:JBIG-KITのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-May/ 002490. html - Ubuntu ・
14. 04 LTS・ 13. 10・ 12. 10用のアップデータがリリースされています。CVE-2013-6369を修正します。 - JBIG-KITに悪意ある加工を施したイメージを認識させることで、
任意のコードの実行の可能性を含む、 メモリ破壊を伴うクラッシュを発生させることが可能です。
- https://
- 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- 対処方法:通常の場合、
- usn-2191-1:OpenJDK 6のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-May/ 002491. html - Ubuntu 12.
04 LTS・ 10. 04 LTS用のアップデータがリリースされています。CVE-2014-0429, CVE-2014-0446, CVE-2014-0451, CVE-2014-0452, CVE-2014-0456, CVE-2014-0457, CVE-2014-0458, CVE-2014-0461, CVE-2014-0462, CVE-2014-2397, CVE-2014-2405, CVE-2014-2412, CVE-2014-2414, CVE-2014-2421, CVE-2014-2423, CVE-2014-2427を修正します。 - CPUApr2014のOpenJDK版です。
- 対処方法:アップデータを適用の上、
Javaアプリケーションを再起動してください。 - 備考:Upsteramのリリースをそのまま適用しているため、
セキュリティアップデート以外の修正を含んでいます。
- https://
- usn-2192-1:OpenSSLのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-May/ 002492. html - Ubuntu 14.
04 LTS・ 13. 10・ 12. 10・ 12. 04 LTS用のアップデータがリリースされています。CVE-2010-5298, CVE-2014-0198を修正します。 - OpenSSLの利用時、
ssl3_ read_ bytes()・ do_ ssl3_ write()に不正な入力が行われるとクラッシュが生じることがありました。 - 対処方法:アップデータを適用の上、
システムを再起動してください。
- https://
- usn-2193-1:OpenStack Glanceのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-May/ 002493. html - Ubuntu 13.
10用のアップデータがリリースされています。CVE-2014-0162を修正します。 - GlanceのバックエンドとしてSheepdogを利用している場合、
外部入力によるコマンドインジェクションが可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-2194-1:OpenStack Neutronのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-May/ 002494. html - Ubuntu 13.
10用のアップデータがリリースされています。CVE-2014-0056を修正します。 - Neutronにおいて、
l3-agentへのポート設定の引き渡しに問題があり、 悪意ある細工を施した入力を行うことで、 本来アクセスできない異なる空間にアクセスすることが可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-2196-1:Linux kernelのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-May/ 002495. html - Ubuntu 10.
04 LTS用のアップデータがリリースされています。CVE-2014-0196を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:CVE-2014-0196はローカルユーザーがroot特権に昇格できるタイプの脆弱性です。早期の対応を推奨します。
- https://
- usn-2197-1:Linux kernel (EC2)のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-May/ 002496. html - Ubuntu 10.
04 LTS用のアップデータがリリースされています。CVE-2014-0196を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:CVE-2014-0196はローカルユーザーがroot特権に昇格できるタイプの脆弱性です。早期の対応を推奨します。
- https://
- usn-2198-1:Linux kernelのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-May/ 002497. html - Ubuntu 12.
04 LTS用のアップデータがリリースされています。CVE-2014-0196を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:CVE-2014-0196はローカルユーザーがroot特権に昇格できるタイプの脆弱性です。早期の対応を推奨します。
- 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため、 通常はそのままアップデートの適用を行えば対応できます。
- https://
- usn-2199-1:Linux kernel (Quantal HWE)のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-May/ 002498. html - Ubuntu 12.
04 LTS用のアップデータがリリースされています。CVE-2014-0196を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:CVE-2014-0196はローカルユーザーがroot特権に昇格できるタイプの脆弱性です。早期の対応を推奨します。
- https://
- usn-2200-1:Linux kernel (Raring HWE)のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-May/ 002499. html - Ubuntu 12.
04 LTS用のアップデータがリリースされています。CVE-2014-0196を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。
- https://
- usn-2201-1:Linux kernel (Saucy HWE)のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-May/ 002500. html - Ubuntu 12.
04 LTS用のアップデータがリリースされています。CVE-2014-0196を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。
- https://
- usn-2202-1:Linux kernelのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-May/ 002501. html - Ubuntu 12.
10用のアップデータがリリースされています。CVE-2014-0196を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。
- https://
- usn-2203-1:Linux kernelのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-May/ 002502. html - Ubuntu 13.
10用のアップデータがリリースされています。 - 対処方法:アップデータを適用の上、
システムを再起動してください。
- https://
- usn-2204-1:Linux kernelのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-May/ 002503. html - Ubuntu 14.
04 LTS用のアップデータがリリースされています。CVE-2014-0196を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。
- https://
- usn-2205-1:LibTIFFのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-May/ 002504. html - Ubuntu 14.
04 LTS・ 13. 10・ 12. 10・ 12. 04 LTS・ 10. 04 LTS用のアップデータがリリースされています。CVE-2013-4231, CVE-2013-4232, CVE-2013-4243, CVE-2013-4244を修正します。 - git2tiff・
tiff2pdfにメモリ破壊を伴う問題がありました。悪用により権限の奪取が可能な疑いがあります。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-2206-1:OpenStack Horizonのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-May/ 002505. html - Ubuntu 13.
10用のアップデータがリリースされています。CVE-2014-0157を修正します。 - Horizon上でHeatテンプレートを利用する際、
テンプレートに含まれるパラメータの確認が不十分なため、 XSSが可能でした。これにより細工を施したHeatテンプレートを送りつけることで、 WebUIへ入力された値の奪取等の攻撃が可能です。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-2207-1:OpenStack Swiftのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-May/ 002506. html - Ubuntu 13.
10・ 12. 10・ 12. 04 LTS用のアップデータがリリースされています。CVE-2014-0006を修正します。 - SwiftがTempURLを利用する際、
タイミング攻撃が可能な余地がありました。本来第三者がアクセス可能であることを意図していないURLへのアクセスが可能です。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-2208-1・
usn-2208-2:OpenStack Cinderのセキュリティアップデート - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-May/ 002507. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-May/ 002508. html - Ubuntu 12.
10用のアップデータがリリースされています。CVE-2013-6491を修正します。 - Cinderが、
設定ファイルでqpid_ protocolでsslを指定しているにも関わらず、 QPidを利用する際にHTTPSを強制しない動作をしていました。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-2209-1:libvirtのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-May/ 002509. html - Ubuntu 13.
10用のアップデータがリリースされています。CVE-2013-6456, CVE-2013-7336を修正します。 - libvirt経由でLXCを利用している場合、
古典的symlink攻撃が可能でした。これにより本来意図しないホストの削除・ シャットダウン・ 任意のファイルの作成等が可能です。また、 SPICEマイグレーションを利用する際、 特定の操作でクラッシュを誘発させることが可能でした。 - 対処方法:アップデータを適用の上、
システムを再起動してください。
- https://
- usn-2210-1:cups-filtersのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-May/ 002510. html - Ubuntu 14.
04 LTS用のアップデータがリリースされています。CVE-2014-2707を修正します。 - 異常な名前のプリンターを準備することで、
任意のコマンドの実行が可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-2211-1:libXfontのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-May/ 002511. html - Ubuntu 14.
04 LTS・ 13. 10・ 12. 10・ 12. 04 LTS・ 10. 04 LTS用のアップデータがリリースされています。CVE-2014-0209, CVE-2014-0210, CVE-2014-0211を修正します。 - 悪意ある加工を施したフォントメタデータか、
X font serverを準備することでメモリ破壊を伴うクラッシュを誘発することが可能でした。これによりroot権限を確保できる可能性があります。 - 対処方法:アップデータを適用の上、
システムを再起動してください。
- https://