2017年6月9日号　UnityからGNOMEへ、14.04向けのLivePatch、 UWN#509

UnityからGNOMEへ

Artful（17.10）において、ubuntu-metaが更新され[1]⁠、予定通りUnityからGNOMEへの切り替えが行われました[2]⁠。

これにより、新規にArtfulをインストールしたテスト環境ではGNOMEが利用されることになります（以前にインストールした環境をアップデートした場合はUnityが残ったままGNOMEが追加インストールされます⁠）⁠。GNOME側へのカスタマイズはそれほど行われていないため、「⁠これまでのUbuntu」とはかなり異なったデスクトップに遭遇することになります。大きな変化を迎える17.10らしい更新と言えるでしょう。

14.04向けのLivePatch

Ubuntu 14.04 LTS向けのLivepatch Serviceが利用できるようになりました。これにより、14.04でも再起動なしでカーネルを更新できます。

なお、Livepatch Serviceを利用する場合、（⁠事故が起きる可能性は非常に低いものの）無料で利用する場合は「カナリア」になる必要があることを前提に、導入しない・無料版を導入する・商用サービス版を導入する、という3つの選択肢から適切なものを選択することをお勧めします。

UWN#509

ubuntu weekly newsletter #509がリリースされています。

その他のニュース

linux-azureカーネルに非常に多くの変更と試行錯誤が行われています。明確な不具合パターンはかなりの割合で潰されているため、それほど遠くないタイミングで正式リリースされるものと見られます。
linux-awsカーネルでは、GPIOLIBとPINCTRLとnouveauを無効にすると起動時間が3%改善するので早いところ無効にしてしまおう、フロッピーインターフェースはEC2インスタンスにはないのでfloppy.koは消そう、といった細かな調整が続けられています[3]⁠。

今週のセキュリティアップデート

usn-3296-1,usn-3296-2：Sambaのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003867.html
https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003871.html
Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS・12.04 ESM用のアップデータがリリースされています。CVE-2017-7494を修正します。
Sambaが共有ライブラリを読み込む方法の問題により、特定のリクエストを受け取った場合にSamba領域からファイルを読み込んでしまうことがありました。Samba領域に書き込み可能なアタッカーが悪意あるライブラリをアップロードした上でこの動作を誘発することで、Sambaの特権を奪取することが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-3297-1：jbig2decのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003868.html
Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2016-9601, CVE-2017-7885, CVE-2017-7975, CVE-2017-7976を修正します。
悪意ある加工の施されたファイルを読み込むことで、任意のコード実行・DoSが生じる可能性がありました。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-3298-1,usn-3298-2：MiniUPnPのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003869.html
https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003870.html
Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-8798を修正します。
悪意ある加工の施されたリクエストを送出することで、メモリ破壊を伴うクラッシュが生じることがありました。応用により、MiniUPnPライブラリをロードしているアプリケーションと同じ権限で任意のコードの実行が可能な疑いがあります。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-3299-1：Firefox update

https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003872.html
Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。
Firefox 53.0.3のUbuntuパッケージ版です。次に予定されたリリースよりも以前に期限切れを迎えるHPKPを更新するためのアップデートです。
対処方法：アップデータを適用の上、Firefoxを再起動してください。

usn-3300-1：juju-coreのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003873.html
Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-9232を修正します。
jujuがローカルに提供するunix domainソケットの権限が適切に設定されておらず、ローカルユーザーが特権を奪取することが可能でした。
対処方法：アップデータを適用の上、juju-coreを再起動してください。

usn-3302-1：ImageMagickのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003874.html
Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-7606, CVE-2017-7619, CVE-2017-7941, CVE-2017-7942, CVE-2017-7943, CVE-2017-8343, CVE-2017-8344, CVE-2017-8345, CVE-2017-8346, CVE-2017-8347, CVE-2017-8348, CVE-2017-8349, CVE-2017-8350, CVE-2017-8351, CVE-2017-8352, CVE-2017-8353, CVE-2017-8354, CVE-2017-8355, CVE-2017-8356, CVE-2017-8357, CVE-2017-8765, CVE-2017-8830, CVE-2017-9098, CVE-2017-9141, CVE-2017-9142, CVE-2017-9143, CVE-2017-9144を修正します。
悪意ある加工の施されたファイルを読み込むことで、任意のコード実行・DoSが生じる可能性がありました。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-3212-2：LibTIFF regression

https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003875.html
Ubuntu 16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。
usn-3212-1では一部のパッチが適切に適用されていませんでした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-3301-1：strongSwanのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003876.html
Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-9022, CVE-2017-9023を修正します。
悪意ある入力が行われた場合、クラッシュする場合がありました。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-3303-1：WebKitGTK+のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003877.html
Ubuntu 17.04・16.10・16.04 LTS用のアップデータがリリースされています。CVE-2017-2496, CVE-2017-2510, CVE-2017-2539を修正します。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-3304-1：Sudoのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003878.html
Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-1000367を修正します。
特定の設定が行われた環境においてget_process_ttyname()の実行に対して古典的シンボリックリンク攻撃を行うことで、任意のファイルを上書きする攻撃を成立させることが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-3305-1：NVIDIA graphics driversのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-May/003879.html
Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-0350, CVE-2017-0351, CVE-2017-0352を修正します。
悪意ある入力を受け取った場合、実行されるべきでないコードをカーネルモードで実行するおそれがありました。DoSだけでなく、特権の奪取に悪用できると考えられます。
対処方法：アップデータを適用の上、システムを再起動してください。

usn-3306-1：libsndfileのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-June/003880.html
Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-7585, CVE-2017-7586, CVE-2017-7741, CVE-2017-7742, CVE-2017-8361, CVE-2017-8362, CVE-2017-8363, CVE-2017-8365を修正します。
悪意ある加工の施されたファイルの読み込みにより、クラッシュする場合がありました。
対処方法：アップデータを適用の上、セッションを再起動（一度ログアウトして再ログイン）してください。

usn-3307-1：OpenLDAPのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-June/003881.html
Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-9287を修正します。
悪意あるクエリにより、クラッシュする場合がありました。
対処方法：アップデータを適用の上、システムを再起動してください。

usn-3308-1：Puppetのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-June/003882.html
Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2014-3248, CVE-2017-2295を修正します。
Puppetファイルの探索において、本来意図されないファイルを読み込む場合がありました。また、悪意ある加工を施したYAMLファイルをエージェントに読み込ませることにより、マスタ側で任意のコードの実行につながる侵害が可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-3309-1：Libtasn1のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2017-June/003883.html
Ubuntu 17.04・16.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-6891を修正します。
悪意ある加工の施されたファイルの読み込みにより、メモリ破壊を伴ってクラッシュする場合がありました。任意のコードの実行に繋がる可能性があります。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。