Ubuntu Product Month
“Ubuntu Product Month”
“Spectre”対策その後
Ubuntuにおける
ポイントは次の点です。要約すると、
- 1月22日から、
“Spectre” 対策のためのカーネルアップデートが、 17. 10、 16. 04 LTS、 14. 04 LTS用にUSN3540~3542として提供されています。12. 04 ESM用は準備中です。また、 17. 04はすでにEOLしており、 更新の予定はありません。 - これらの修正が機能するためには、
CPUマイクロコードの更新が必要です。 しかし、 更新版のマイクロコードを提供するintel-microcodeパッケージはIntelのリクエストにより差し戻しが行われており、 現時点では (マザーボード側で更新されているのでなければ) まだ機能しません [1]。 - ワークロードに依存しますが、
“Spectre” 対策によって性能劣化が生じる可能性があります。 - パフォーマンスに大きな影響を受けてしまった場合に備え、
緩和策を必要に応じて無効にするためのMitigation Controlが準備されています。 (多くのUbuntuユーザーが利用しているであろう) x64環境では、 nopti、 noibpb、 noibrsがパフォーマンスに影響すると考えられるため、 対策を無効にする場合はこれらのオプションを用いることになるでしょう (注2、 注3)。 - 各種対策は現在進行形で更新されています。今後の動向に注意し、
より適切な対策手法が提供された場合、 そちらに乗り換える必要があります。
その他のニュース
- VcXsrvを用いることで、
WSL上でNautilusが動作する様子。
今週のセキュリティアップデート
- usn-3533-1:Transmissionのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-January/ 004228. html - Ubuntu 17.
10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。CVE-2018-5702を修正します。 - RPCサーバへのPOST処理において、
DNS Rebinding攻撃を許す問題がありました。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-3534-1:GNU C Libraryのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-January/ 004229. html - Ubuntu 17.
10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。CVE-2017-1000408, CVE-2017-1000409, CVE-2017-15670, CVE-2017-15804, CVE-2017-16997, CVE-2017-17426, CVE-2018-1000001を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。
- https://
- usn-3535-1, usn-3535-2:Bindのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-January/ 004230. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-January/ 004231. html - Ubuntu 17.
10・ 16. 04 LTS・ 14. 04 LTS・ 12. 04 ESM用のアップデータがリリースされています。CVE-2017-3145を修正します。 - 特定のリクエストを送出することで、
DoSが可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-3536-1:GNU C Libraryのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-January/ 004232. html - Ubuntu 12.
04 ESM用のアップデータがリリースされています。CVE-2018-1000001を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。
- https://
- usn-3531-2:Intel Microcodeの再アップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-January/ 004233. html - Ubuntu 17.
10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。 - usn-3531-1で提供された
“Spectre” 対策マイクロコードに由来する不具合が確認されたため、 Intelのリクエストに基づいて当該のパッケージを20170707に差し戻すためのアップデートです。
- https://
- usn-3537-1:MySQLのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-January/ 004235. html - Ubuntu 17.
10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。CVE-2018-2562, CVE-2018-2565, CVE-2018-2573, CVE-2018-2576, CVE-2018-2583, CVE-2018-2586, CVE-2018-2590, CVE-2018-2600, CVE-2018-2612, CVE-2018-2622, CVE-2018-2640, CVE-2018-2645, CVE-2018-2646, CVE-2018-2647, CVE-2018-2665, CVE-2018-2667, CVE-2018-2668, CVE-2018-2696, CVE-2018-2703を修正します。 - MySQL 5.
5.59 , 5.7.21 のUbuntuパッケージ版です。CPUJan2018に対応します。
- https://
- usn-3538-1:OpenSSHのセキュリティアップデート
-
- Ubuntu 17.
10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。CVE-2016-10009, CVE-2016-10010, CVE-2016-10011, CVE-2016-10012, CVE-2017-15906を修正します。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- Ubuntu 17.
- usn-3539-1:GIMPのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-January/ 004237. html - Ubuntu 14.
04 LTS用のアップデータがリリースされています。CVE-2017-17784, CVE-2017-17785, CVE-2017-17786, CVE-2017-17787, CVE-2017-17788, CVE-2017-17789を修正します。 - 悪意ある加工を施した画像ファイルを処理させることで、
メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行が可能と考えられます。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-3540-1:Linux kernelのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-January/ 004238. html - Ubuntu 16.
04 LTS用のアップデータがリリースされています。CVE-2017-5715, CVE-2017-5753, CVE-2017-5754を緩和します。 “Spectre” 対策のppc64el向けバージョンです。 - 対処方法:アップデータを適用の上、
システムを再起動してください。
- https://
- usn-3541-1:Linux kernelのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-January/ 004239. html - Ubuntu 17.
10用のアップデータがリリースされています。CVE-2017-5715, CVE-2017-5753, CVE-2017-5754を緩和します。 “Spectre” 対策のamd64向けバージョンです。IBPB, IBRSとマイクロコード更新の併用により、 Spectre Variant 2を応用した攻撃を抑制します。カーネル単体では機能せず、 利用するプロセッサ側のマイクロコード更新が必要であることに注意してください。 - 対処方法:アップデータを適用の上、
システムを再起動してください。また、 利用しているCPU向けの新しいマイクロコードを入手して更新してください。通常はPCやマザーボードのファームウェアを更新するか、 intel_ microcodeパッケージの更新が必要です。
- https://
- usn-3542-1:Linux kernelのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-January/ 004240. html - Ubuntu 14.
04 LTS用のアップデータがリリースされています。CVE-2017-5715, CVE-2017-5753を緩和します。 “Spectre” 対策のamd64向けバージョンです。IBPB, IBRSとマイクロコード更新の併用により、 Spectre Variant 2を応用した攻撃を抑制します。カーネル単体では機能せず、 利用するプロセッサ側のマイクロコード更新が必要であることに注意してください。 - 対処方法:アップデータを適用の上、
システムを再起動してください。また、 利用しているCPU向けの新しいマイクロコードを入手して更新してください。通常はPCやマザーボードのファームウェアを更新するか、 intel_ microcodeパッケージの更新が必要です。
- https://
- usn-3540-2:Linux kernel (Xenial HWE)のセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-January/ 004241. html - Ubuntu 14.
04 LTS用のアップデータがリリースされています。CVE-2017-5715, CVE-2017-5753, CVE-2017-5754を緩和します。 “Spectre” 対策のamd64向けバージョンです。IBPB, IBRSとマイクロコード更新の併用により、 Spectre Variant 2を応用した攻撃を抑制します。カーネル単体では機能せず、 利用するプロセッサ側のマイクロコード更新が必要であることに注意してください。 - 対処方法:アップデータを適用の上、
システムを再起動してください。また、 利用しているCPU向けの新しいマイクロコードを入手して更新してください。通常はPCやマザーボードのファームウェアを更新するか、 intel_ microcodeパッケージの更新が必要です。
- https://
- usn-3541-2:Linux kernel (HWE)のセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-January/ 004242. html - Ubuntu 16.
04 LTS用のアップデータがリリースされています。CVE-2017-5715, CVE-2017-5753, CVE-2017-5754を緩和します。 “Spectre” 対策のamd64向けバージョンです。IBPB, IBRSとマイクロコード更新の併用により、 Spectre Variant 2を応用した攻撃を抑制します。カーネル単体では機能せず、 利用するプロセッサ側のマイクロコード更新が必要であることに注意してください。 - 対処方法:アップデータを適用の上、
システムを再起動してください。また、 利用しているCPU向けの新しいマイクロコードを入手して更新してください。通常はPCやマザーボードのファームウェアを更新するか、 intel_ microcodeパッケージの更新が必要です。
- https://
- usn-3542-2:Linux kernel (Trusty HWE)のセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-January/ 004243. html - Ubuntu 12.
04 ESM用のアップデータがリリースされています。CVE-2017-5715, CVE-2017-5753を緩和します。 “Spectre” 対策のamd64向けバージョンです。IBPB, IBRSとマイクロコード更新の併用により、 Spectre Variant 2を応用した攻撃を抑制します。カーネル単体では機能せず、 利用するプロセッサ側のマイクロコード更新が必要であることに注意してください。 - 対処方法:アップデータを適用の上、
システムを再起動してください。また、 利用しているCPU向けの新しいマイクロコードを入手して更新してください。通常はPCやマザーボードのファームウェアを更新するか、 intel_ microcodeパッケージの更新が必要です。
- https://