2018年7月20日号　18.04.1 Server InstallerのCall for Testing、“Spectre” Variant 1.1/1.2。Bounds Check Bypass Store (BCBS)

18.04.1 Server InstallerのCall for Testing

18.04.1では、Ubuntu ServerのInstallメディアにMD（Software RAID）やLVM、VLAN設定やNetwork Bondingが帰ってきました[1]⁠。まだUIは完成していませんが、現状で「テスト可能」という段階になったため、テストが開始されています。

機能が一通り実装されているため、クリティカルなバグやクラッシュ問題の洗い出しのためのテストが必要な段階です。テストできそう（そしてServer環境のインストールメディアからのインストールが必要）な場合、テストに参加し、バグの叩き出しに協力してみてください。

“Spectre” Variant 1.1/1.2。Bounds Check Bypass Store (BCBS)

“Spectre⁠”にさらに新しいバリエーションが登場しました。

今回発見されたCVE-2017-5753は2種類の手法から構成されるSpectre Variant 1の派生的な攻撃手法で、それぞれを「Variant 1.1」「⁠Variant 1.2」と呼称することになっています。

攻撃手法としては興味深い点が存在しますが、利用者としては「本来読めてはいけないメモリが読める」という理解をしておけば問題ありません。

これらは「少なくとも」IntelとARM製CPUに影響があることが確認されており（AMD製CPUについては「あるともないとも言えない」段階です[2]⁠。現時点で業界としては「適切な対応を検討していく」段階にあり、実際に動作しているコードに対して攻撃が可能かどうか、そしてどのような防御が適切なのか[3]を各社が調査しています。

Ubuntuでも情報集約のためのページが準備されており、「⁠Users should update their systems regularly to ensure that they have the latest security fixes in place.」（⁠ユーザーは利用しているシステムを定期的に更新し、最新のセキュリティアップデートを随時利用できるようにするべきです）というステートメントが示されています。

現時点でUbuntuユーザーができることは、「⁠随時アップデートできる体制を整える」です。今後の情報に注意してください。

その他のニュース

（主として）16.04へのdpkg的な（awaitからnoawaitへの）変更に伴う大量のSRUが予定されています。基本的には実用上の大きな変化はないと考えて差し支えありませんが、「⁠特に変化はないが大量のパッケージが降ってくる」というのはある種の祭であるため、注意が必要です。
DNSSECのKSKロールオーバーに関連するアップデートが「7月になってから」16.04 LTS向けに提供されています。16.04 LTSを利用しており、かつDNSSECを利用している環境を利用している場合は、「⁠今週のセキュリティアップデート」を参照し、適切にアップデートを行ってください。

今週のセキュリティアップデート

usn-3708-1：OpenSLPのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-July/004486.html
Ubuntu 16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-17833, CVE-2018-12938を修正します。
悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行に繋がる恐れがあります。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-3706-2：libjpeg-turboのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-July/004487.html
Ubuntu 12.04 ESM用のアップデータがリリースされています。CVE-2014-9092, CVE-2016-3616, CVE-2018-11212, CVE-2018-11213, CVE-2018-11214, CVE-2018-1152を修正します。
usn-3706-1の12.04 ESM用バージョンです。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-3709-1：Xapian-coreのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-July/004488.html
Ubuntu 18.04 LTS・17.10用のアップデータがリリースされています。CVE-2018-0499を修正します。
悪意ある加工を施したファイルを処理させることで、任意のコードの実行が可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-3705-2：Firefox regressions

https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-July/004489.html
Ubuntu 18.04 LTS・17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。
Firefox 61.0.1のUbuntuパッケージ版です。
対処方法：アップデータを適用の上、Firefoxを再起動してください。

usn-3710-1：curlのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-July/004490.html
Ubuntu 18.04 LTS・17.10用のアップデータがリリースされています。CVE-2018-0500を修正します。
curlのSMTP実装の利用時、悪意ある応答によりメモリ破壊を伴うクラッシュを誘発することができました。任意のコードの実行につながると考えられます。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-3711-1：ImageMagickのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-July/004491.html
Ubuntu 18.04 LTS・17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-12599, CVE-2018-12600, CVE-2018-13153を修正します。
悪意ある加工を施したBMP/DIB/ファイルを処理させることで、任意のコードの実行が可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-3712-1, usn-3712-2：libpngのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-July/004492.html
https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-July/004493.html
Ubuntu 18.04 LTS・17.10・16.04 LTS・14.04 LTS・12.04 ESM用のアップデータがリリースされています。CVE-2016-10087, CVE-2018-13785を修正します。
悪意ある加工を施したファイルを処理させることで、クラッシュを誘発することが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-3713-1：CUPSのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-July/004494.html
Ubuntu 18.04 LTS・17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2017-18248, CVE-2018-4180, CVE-2018-4181, CVE-2018-6553を修正します。
悪意ある印刷リクエストを投入することで、cupsをクラッシュさせることが可能な問題、dnssdバックエンド利用時に環境変数を不適切に利用していたため、権限昇格が可能な問題、includeディレクティブが不適切に読み込まれるため、不当なファイル読み込みに利用できる問題、AppArmorが適切に設定されていなかった問題を修正します。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-3715-1：dns-root-data update

https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-July/004495.html
Ubuntu 17.10・16.04 LTS用のアップデータがリリースされています。
KSKロールオーバーに備えてdns-root-dataをVersion 2017072601に更新します。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-3716-1：Dnsmasq update

https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-July/004496.html
Ubuntu 16.04 LTS用のアップデータがリリースされています。
KSKロールオーバーに備えてトラストアンカー（trusty-anchors.conf）を更新します。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-3714-1：Thunderbirdのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-July/004497.html
Ubuntu 18.04 LTS・17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-12359, CVE-2018-12360, CVE-2018-12362, CVE-2018-12363, CVE-2018-12364, CVE-2018-12365, CVE-2018-12366, CVE-2018-12372, CVE-2018-12373, CVE-2018-12374, CVE-2018-5188を修正します。
Thunderbird 52.9.1のUbuntuパッケージ版です。
対処方法：アップデータを適用の上、Thunderbirdを再起動してください。

usn-3717-1：PolicyKitのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-July/004498.html
Ubuntu 18.04 LTS・17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2015-3218, CVE-2015-3255, CVE-2015-4625, CVE-2018-1116を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。