POWER9向けの対応

POWER9環境でのいくつかの問題に対処するためのカーネルパッチがバックポートされています。POWER9はXeonに真っ向から対抗する「現時点における最強の汎用プロセッサ」の一角で，非常に先進的な機能と8スレッドSMTを実現する，野心的なプロダクトです。

Ubuntuはz Systemを前提としたPOWER8向けリリースはすでに存在しており，POWER9についても同様にサポート対象とするための動きとみて良さそうです。

Visual Studio CodeのSnapパッケージ

Snapパッケージを利用する形で，Visual Studio Codeが利用できるようになりました。「⁠Ubuntu上で」「⁠Microsoft製のIDEが」「⁠他のパッケージに影響を一切与えない形で」インストールできることを意味します。2017年らしい動きと言えるでしょう（注1⁠）⁠。

なお，UbuntuではUbuntu Makeを利用することでもVisual Studio Codeを手軽にインストールすることができるため，「⁠インストールできるようになったこと」そのものはあまり大きなニュースではありません。ここでのポイントはあくまで「Snapパッケージになり」「⁠Snap storeから簡単に導入できるようになった」（⁠＝Snap storeが拡充される方向にある）ことを意味し，デスクトップ環境を含めたSnapパッケージには一定の期待が持てそうです。

注1

そもそもVisual Studio CodeそのものがElectronフレームワークを使っていることや，Visual Studio Codeのプラグインの一部（例：Language Support for Java(TM)）はRed Hat製であり，Visual Studio CodeとFLOSSコミュニティは非常に近い距離にあります。

uwn#508

ubuntu weekly newsletter #508がリリースされています。

その他のニュース

• Ubuntu PhoneはEOLしたがuNavはまだ生きているという記事。uNavはUbuntu Phone用の地図（兼GPS）アプリケーションで，Storeのクローズ後も提供を継続する予定だ，という旨の宣言が行われています。
• ChromecastにUbuntuからキャストする方法。
• UbuntuにおけるUEFI Securebootの整理。

今週のセキュリティアップデート

usn-3276-2：shadow regression

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003855.html
• Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。
• usn-3276-1において，suのシグナルハンドリングが不適切な状態になっていました。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-3291-1：Linux kernelのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003856.html
• Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2017-7187, CVE-2017-7261, CVE-2017-7294, CVE-2017-7616を修正します。
• 対処方法：アップデータを適用の上，システムを再起動してください。
• 備考：ABIの変更を伴いますので，カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるので，通常はそのままアップデートの適用を行えば対応できます。

usn-3292-1：Linux kernelのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003857.html
• Ubuntu 16.10用のアップデータがリリースされています。CVE-2017-7477を修正します。
• 対処方法：アップデータを適用の上，システムを再起動してください。
• 備考：ABIの変更を伴いますので，カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるので，通常はそのままアップデートの適用を行えば対応できます。

usn-3292-2：Linux kernel (HWE)のセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003858.html
• Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2017-7477を修正します。
• 対処方法：アップデータを適用の上，システムを再起動してください。
• 備考：ABIの変更を伴いますので，カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるので，通常はそのままアップデートの適用を行えば対応できます。

usn-3293-1：Linux kernelのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003859.html
• Ubuntu 17.04用のアップデータがリリースされています。CVE-2017-2596, CVE-2017-7187, CVE-2017-7261, CVE-2017-7294, CVE-2017-7477, CVE-2017-7616を修正します。
• 対処方法：アップデータを適用の上，システムを再起動してください。
• 備考：ABIの変更を伴いますので，カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるので，通常はそのままアップデートの適用を行えば対応できます。

usn-3294-1：Bashのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003860.html
• Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2016-0634, CVE-2016-7543, CVE-2016-9401, CVE-2017-5932を修正します。
• Bashがプロンプトを表示する場合において，ホスト名・SHELLOPTS・PS4といった変数を経由して，任意のコードの実行が可能でした。外部から何らかの方法でホスト名が変更できる場合（たとえばDNS等を操作し，かつホストが自動的にDNSに基づいてホスト名を決定するような実装が行われている場合⁠）⁠，潜在的に特権を奪取される恐れがありました。また，popdコマンドとパス補完において，ローカルの攻撃者が制限の迂回・特権の奪取に悪用できる問題がありました。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-3291-2：Linux kernelのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003861.html
• Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2017-7187, CVE-2017-7261, CVE-2017-7294, CVE-2017-7616を修正します。
• 対処方法：アップデータを適用の上，システムを再起動してください。
• 備考：ABIの変更を伴いますので，カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるので，通常はそのままアップデートの適用を行えば対応できます。

usn-3291-3：Linux kernel (Xenial HWE)のセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003862.html
• Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2017-7187, CVE-2017-7261, CVE-2017-7294, CVE-2017-7616を修正します。
• 対処方法：アップデータを適用の上，システムを再起動してください。
• 備考：ABIの変更を伴いますので，カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるので，通常はそのままアップデートの適用を行えば対応できます。

usn-3282-2：FreeTypeのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003863.html
• Ubuntu 12.04 LTS用のアップデータがリリースされています。CVE-2017-8105, CVE-2017-8287を修正します。
• 悪意ある加工の施されたフォントファイルを読み込むことで，メモリ破壊を伴うクラッシュが生じることがありました。これにより任意のコードの実行が可能であると考えられます。
• 対処方法：アップデータを適用の上，セッションを再起動（一度ログアウトして再度ログイン）してください。

usn-3295-1：JasPerのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003864.html
• Ubuntu 16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2016-10249, CVE-2016-10251, CVE-2016-1867, CVE-2016-2089, CVE-2016-8654, CVE-2016-8691, CVE-2016-8692, CVE-2016-8693, CVE-2016-8882, CVE-2016-9560, CVE-2016-9591を修正します。
• 悪意ある加工の施されたJPEG-2000ファイルを読み込むことで，メモリ破壊を伴うクラッシュが生じることがありました。これにより任意のコードの実行が可能であると考えられます。

usn-3275-3：OpenJDK 7 regression

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003865.html
• Ubuntu 14.04 LTS用のアップデータがリリースされています。usn-3275-2において誤って発生下，TLSハンドシェイクが正常に行えなくなる問題を修正します。
• 対処方法：アップデータを適用の上，Javaアプリケーションを再起動してください。

usn-3283-2：rtmpdumpのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003866.html
• Ubuntu 12.04 ESM用のアップデータがリリースされています。CVE-2015-8270, CVE-2015-8271, CVE-2015-8272を修正します。
• 悪意ある入力により，メモリ破壊を伴うクラッシュが生じることがありました。これにより任意のコードの実行が可能であると考えられます。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。
• 備考：アップデータの入手にはESMが必要です。