Ubuntu Weekly Topics

2014年12月12日号 “Snappy” Ubuntu Core・Ubuntu Make・UWN#395

この記事を読むのに必要な時間:およそ 4.5 分

UWN#395

Ubuntu Weekly Newsletter #395がリリースされています。

その他のニュース

  • VividフェーズにおけるQA体制について注3⁠。Ubuntuは商用ソフトウェアとは異なり,かなりの作業をボランティアによる貢献に依存しているため,手動・自動を取り混ぜつつ,分散作業をうまく集める仕組みが用意されています。
注3
記事の冒頭に若干年末シーズン特有のハイテンションがもたらした謎のイントロがありますが,そのあたりは笑顔で無視することをお勧めします。

今週のセキュリティアップデート

usn-2431-1:mod_wsgiのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-December/002748.html
  • Ubuntu 14.10・14.04 LTS・12.04 LTS用のアップデータがリリースされています。CVE-2014-8583を修正します。
  • mod_wsgiの動作上,パーミッションを十分に考慮せずに一時ディレクトリを作成していました。これを応用することで,mod_wsgiと同じ権限で動作する任意のコードを実行させることができます。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-2428-1:Thunderbirdのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-December/002749.html
  • Ubuntu 14.10・14.04 LTS・12.04 LTS用のアップデータがリリースされています。CVE-2014-1587, CVE-2014-1590, CVE-2014-1592, CVE-2014-1593, CVE-2014-1594を修正します。
  • Thunderbird 31.3.0のUbuntuパッケージ版です。
  • 対処方法:アップデータを適用の上,Thunderbirdを再起動してください。
usn-2432-1:GNU C Libraryのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-December/002750.html
  • Ubuntu 14.10・14.04 LTS・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2012-6656, CVE-2014-6040, CVE-2014-7817を修正します。
  • glibc iconvで特定の文字列を変換しようとした際にクラッシュが発生する問題と,wordexp()関数の呼び出し時にWRDE_NOCMDが無視され,結果として入力値からシェルコマンドを呼び出せる問題を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-2433-1:tcpdumpのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-December/002751.html
  • Ubuntu 14.10・14.04 LTS・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-8767, CVE-2014-8768, CVE-2014-8769, CVE-2014-9140を修正します。
  • 特定のパケットを受け取った時にメモリ破壊を伴うクラッシュが生じることがありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-2431-2:MAASのアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-December/002752.html
  • Ubuntu 14.10・14.04 LTS・12.04 LTS用のアップデータがリリースされています。usn-2431-1でlibapache2-mod-wsgiを更新するとMAASが応答しなくなる問題を修正します。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-2434-1:JasPerのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-December/002753.html
  • Ubuntu 14.10・14.04 LTS・12.04 LTS用のアップデータがリリースされています。CVE-2014-9029を修正します。
  • 悪意ある加工の施されたJPEG-2000ファイルを開くと,メモリ破壊を伴うクラッシュが生じることがありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-2434-2:Ghostscriptのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-December/002754.html
  • Ubuntu 10.04 LTS用のアップデータがリリースされています。usn-2434-1と同じ修正を,Ghostscript組み込みのJasPerライブラリに対して適用します。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-2435-1:Graphvizのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-December/002755.html
  • Ubuntu 14.10・14.04 LTS・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-9157を修正します。
  • 悪意ある加工を施したdotファイルを処理させることで,メモリ破壊を伴うクラッシュを誘発することができました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-2436-1:X.Org X serverのセキュリティアップデート
usn-2437-1:Bindのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-December/002757.html
  • Ubuntu 14.10・14.04 LTS・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-8500を修正します。
  • 特定のクエリを受け取った場合に,namedが無限ループ的なリソース過大消費に陥ることがありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-2436-2:X.Org X serverのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-December/002758.html
  • Ubuntu 14.10・14.04 LTS・12.04 LTS用のアップデータがリリースされています。
  • usn-2436-1の,情報公開日に公開された追加パッチです。
  • 対処方法:アップデータを適用の上,システムを再起動してください。

著者プロフィール

吉田史(よしだふみひと)

Ubuntu Japanese Team Member株式会社創夢所属。システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。