Ubuntu Weekly Topics

2017年6月9日号UnityからGNOMEへ、14.04向けのLivePatch、 UWN#509

UnityからGNOMEへ

Artful(17.10)において、ubuntu-metaが更新され[1]⁠、予定通りUnityからGNOMEへの切り替えが行われました[2]⁠。

これにより、新規にArtfulをインストールしたテスト環境ではGNOMEが利用されることになります(以前にインストールした環境をアップデートした場合はUnityが残ったままGNOMEが追加インストールされます⁠⁠。GNOME側へのカスタマイズはそれほど行われていないため、⁠これまでのUbuntu」とはかなり異なったデスクトップに遭遇することになります。大きな変化を迎える17.10らしい更新と言えるでしょう。

14.04向けのLivePatch

Ubuntu 14.04 LTS向けのLivepatch Serviceが利用できるようになりました。これにより、14.04でも再起動なしでカーネルを更新できます。

なお、Livepatch Serviceを利用する場合、⁠事故が起きる可能性は非常に低いものの)無料で利用する場合は「カナリア」になる必要があることを前提に、導入しない・無料版を導入する・商用サービス版を導入する、という3つの選択肢から適切なものを選択することをお勧めします。

UWN#509

ubuntu weekly newsletter #509がリリースされています。

その他のニュース

今週のセキュリティアップデート

usn-3296-1,usn-3296-2:Sambaのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003867.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003871.html
  • Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS・12.04 ESM用のアップデータがリリースされています。CVE-2017-7494を修正します。
  • Sambaが共有ライブラリを読み込む方法の問題により、特定のリクエストを受け取った場合にSamba領域からファイルを読み込んでしまうことがありました。Samba領域に書き込み可能なアタッカーが悪意あるライブラリをアップロードした上でこの動作を誘発することで、Sambaの特権を奪取することが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-3297-1:jbig2decのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003868.html
  • Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2016-9601, CVE-2017-7885, CVE-2017-7975, CVE-2017-7976を修正します。
  • 悪意ある加工の施されたファイルを読み込むことで、任意のコード実行・DoSが生じる可能性がありました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-3298-1,usn-3298-2:MiniUPnPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003869.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003870.html
  • Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-8798を修正します。
  • 悪意ある加工の施されたリクエストを送出することで、メモリ破壊を伴うクラッシュが生じることがありました。応用により、MiniUPnPライブラリをロードしているアプリケーションと同じ権限で任意のコードの実行が可能な疑いがあります。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-3299-1:Firefox update
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003872.html
  • Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。
  • Firefox 53.0.3のUbuntuパッケージ版です。次に予定されたリリースよりも以前に期限切れを迎えるHPKPを更新するためのアップデートです。
  • 対処方法:アップデータを適用の上、Firefoxを再起動してください。
usn-3300-1:juju-coreのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003873.html
  • Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-9232を修正します。
  • jujuがローカルに提供するunix domainソケットの権限が適切に設定されておらず、ローカルユーザーが特権を奪取することが可能でした。
  • 対処方法:アップデータを適用の上、juju-coreを再起動してください。
usn-3302-1:ImageMagickのセキュリティアップデート
usn-3212-2:LibTIFF regression
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003875.html
  • Ubuntu 16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。
  • usn-3212-1では一部のパッチが適切に適用されていませんでした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-3301-1:strongSwanのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003876.html
  • Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-9022, CVE-2017-9023を修正します。
  • 悪意ある入力が行われた場合、クラッシュする場合がありました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-3303-1:WebKitGTK+のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003877.html
  • Ubuntu 17.04・16.10・16.04 LTS用のアップデータがリリースされています。CVE-2017-2496, CVE-2017-2510, CVE-2017-2539を修正します。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-3304-1:Sudoのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003878.html
  • Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-1000367を修正します。
  • 特定の設定が行われた環境においてget_process_ttyname()の実行に対して古典的シンボリックリンク攻撃を行うことで、任意のファイルを上書きする攻撃を成立させることが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-3305-1:NVIDIA graphics driversのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003879.html
  • Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-0350, CVE-2017-0351, CVE-2017-0352を修正します。
  • 悪意ある入力を受け取った場合、実行されるべきでないコードをカーネルモードで実行するおそれがありました。DoSだけでなく、特権の奪取に悪用できると考えられます。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
usn-3306-1:libsndfileのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-June/003880.html
  • Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-7585, CVE-2017-7586, CVE-2017-7741, CVE-2017-7742, CVE-2017-8361, CVE-2017-8362, CVE-2017-8363, CVE-2017-8365を修正します。
  • 悪意ある加工の施されたファイルの読み込みにより、クラッシュする場合がありました。
  • 対処方法:アップデータを適用の上、セッションを再起動(一度ログアウトして再ログイン)してください。
usn-3307-1:OpenLDAPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-June/003881.html
  • Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-9287を修正します。
  • 悪意あるクエリにより、クラッシュする場合がありました。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
usn-3308-1:Puppetのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-June/003882.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2014-3248, CVE-2017-2295を修正します。
  • Puppetファイルの探索において、本来意図されないファイルを読み込む場合がありました。また、悪意ある加工を施したYAMLファイルをエージェントに読み込ませることにより、マスタ側で任意のコードの実行につながる侵害が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-3309-1:Libtasn1のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-June/003883.html
  • Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-6891を修正します。
  • 悪意ある加工の施されたファイルの読み込みにより、メモリ破壊を伴ってクラッシュする場合がありました。任意のコードの実行に繋がる可能性があります。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

おすすめ記事

記事・ニュース一覧