14.10の開発・〆切間際の攻防
14.
たとえば、
とはいえ、
“shellshock”現状のまとめ
先週世界を騒がせた
短いまとめとしては、
現状として、
- CVE-2014-6271
- CVE-2014-7169:通称
“Taviso” バグ - CVE-2014-7186
- CVE-2014-7187
- CVE-2014-6277
- CVE-2014-6278
このうち重要なのは1・
3・
5・
ということで、
- 14.
04 LTS: 4. 3-7ubuntu1. 4 - 12.
04 LTS: 4. 2-2ubuntu2. 5 - 10.
04 LTS: 4. 1-2ubuntu3. 4
あらためて、
UWN#385
Ubuntu Weekly Newsletter #385がリリースされています。
その他のニュース
- byobuの
「Shift+F9」 キー操作によるウインドウ分割を使って、 ちょっとした台数のサーバーを並行でアップデートする動画。 - Ubuntu
(特にUbuntu Touch) におけるCore Appが取り込まれるまでの流れについて。 - Ubuntu Developer Tools Centerがどのようなテストを通しているのかという情報。
「最近のテストドリブン開発」 の比較的よい例として確認することができます。 - Cubieboard2でLubuntuを動かしてみたという記事。
今週のセキュリティアップデート
- usn-2362-1・
usn-2363-1・ usn-2363-2・ usn-2364-1:Bashのセキュリティアップデート - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002674. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002678. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002679. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002680. html - Ubuntu 14.
04 LTS・ 12. 04 LTS・ 10. 04 LTS用のアップデータがリリースされています。CVE-2014-7186, CVE-2014-7187を修正します。 “shellshock” として知られるbashの複数の脆弱性に対応します。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。 - 備考:CVE-2014-6277とCVE-2014-6278はCVE-2014-7187への2度目の対応となるusn-2364-1によって無害化されていますが、
潜在的な脆弱性そのものは残っています。ただし、 この脆弱性は 「該当ユーザーの権限で任意のコードを実行できる」 というものですが、 この無害化により、 「脆弱性を悪用するには対話的シェルが必要」 という状態となっています。
- https://
- usn-2360-1:Firefoxのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002677. html - Ubuntu 14.
04 LTS・ 12. 04 LTS用のアップデータがリリースされています。CVE-2014-1568を修正します。 - ASN.
1ベースのデータ構造を持つ署名検証時、 不正な証明書であっても正しいものと誤認してしまう問題を修正します。 - 対処方法:アップデータを適用の上、
Firefoxを再起動してください。
- https://
- usn-2361-1:NSSのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002675. html - Ubuntu 14.
04 LTS・ 12. 04 LTS・ 10. 04 LTS用のアップデータがリリースされています。CVE-2014-1568を修正します。 - ASN.
1ベースのデータ構造を持つ署名検証時、 不正な証明書であっても正しいものと誤認してしまう問題を修正します。 - 対処方法:アップデータを適用の上、
NSSを利用しているアプリケーション (EvolutionやClomium) を再起動してください。 - 備考:Ubuntuの通常のポリシーと異なり、
upstreamの新しいリリースをそのまま利用したアップデートです。セキュリティ修正以外のバグフィックスも含まれています。
- https://
- usn-2360-2:Thunderbirdのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002676. html - Ubuntu 14.
04 LTS・ 12. 04 LTS用のアップデータがリリースされています。CVE-2014-1568を修正します。 - ASN.
1ベースのデータ構造を持つ署名検証時、 不正な証明書であっても正しいものと誤認してしまう問題を修正します。 - usn-2360-1でのFirefoxの更新と同等のアップデートをThunderbirdに適用したものです。
- 対処方法:アップデータを適用の上、
Thunderbirdを再起動してください。
- https://
- usn-2365-1:LibVNCServerのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002681. html - Ubuntu 14.
04 LTS・ 12. 04 LTS用のアップデータがリリースされています。CVE-2014-6051, CVE-2014-6052, CVE-2014-6053, CVE-2014-6054, CVE-2014-6055を修正します。 - 大きな解像度がセットされている場合・
特定のプロトコルメッセージのサイズが想定よりも大きな場合・ 拡大サイズとして0がセットされた場合・ ファイル転送機能に悪意ある加工が施されている場合にクラッシュが生じる問題がありました。一部の振る舞いについてはメモリ破壊を伴うため、 任意のコードの実行につながる可能性があります。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-2366-1:libvirtのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002682. html - Ubuntu 14.
04 LTS・ 12. 04 LTS・ 10. 04 LTS用のアップデータがリリースされています。CVE-2014-0179, CVE-2014-3633, CVE-2014-5177を修正します。 - 外部エンティティ定義を利用するXMLファイルを読み込む処理に問題があり、
クラッシュを誘発させることが可能でした。14. 04 LTS環境で細粒度アクセス制御を有効にしている場合、 任意のファイルの読み込みが可能です。また、 12. 04 LTS・ 14. 04 LTS環境ではblkiotuneクエリが正しく実行されず、 クラッシュが生じる問題を合わせて修正しています。 - 対処方法:アップデータを適用の上、
システムを再起動してください。
- https://