Ubuntu Weekly Topics
2018年7月20日号 18.04.1 Server InstallerのCall for Testing,“Spectre” Variant 1.1/1.2。Bounds Check Bypass Store (BCBS)
18.04.1 Server InstallerのCall for Testing
18.
機能が一通り実装されているため,
- 注1
- 18.
04ではServerのインストーラーを “Subiquity” へ切り替えるため, これらの機能がすべてオミットされていました。
“Spectre” Variant 1.1/1.2。Bounds Check Bypass Store (BCBS)
“Spectre”
今回発見されたCVE-2017-5753は2種類の手法から構成されるSpectre Variant 1の派生的な攻撃手法で,
攻撃手法としては興味深い点が存在しますが,
これらは
- 注2
- Intelは
「AMD製CPUにも影響がある」 旨をアドバイザリで明示していますが, 一方で, AMDはまだこれらについて見解を示すに至っていません。近代的なCPUの設計であれば影響がある可能性は高いので, 基本的には 「ある」 と思っておくのがよいでしょう。 - 注3
- 影響がある場合も,
基本的にはソフトウェアサイドの更新で防御が可能であると考えられています。ただしこれらは現状でまだ 「確認中」 のステータスであり, 今後状況が変わってしまう可能性を否定できるものではありません。
Ubuntuでも情報集約のためのページが準備されており,
現時点でUbuntuユーザーができることは,
その他のニュース
- (主として)
16. 04へのdpkg的な (awaitからnoawaitへの) 変更に伴う大量のSRUが予定されています。基本的には実用上の大きな変化はないと考えて差し支えありませんが, 「特に変化はないが大量のパッケージが降ってくる」 というのはある種の祭であるため, 注意が必要です。 - DNSSECのKSKロールオーバーに関連するアップデートが
「7月になってから」 16. 04 LTS向けに提供されています。16. 04 LTSを利用しており, かつDNSSECを利用している環境を利用している場合は, 「今週のセキュリティアップデート」 を参照し, 適切にアップデートを行ってください。
今週のセキュリティアップデート
- usn-3708-1:OpenSLPのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-July/ 004486. html - Ubuntu 16.
04 LTS・ 14. 04 LTS用のアップデータがリリースされています。CVE-2017-17833, CVE-2018-12938を修正します。 - 悪意ある入力を行うことで,
メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行に繋がる恐れがあります。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-3706-2:libjpeg-turboのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-July/ 004487. html - Ubuntu 12.
04 ESM用のアップデータがリリースされています。CVE-2014-9092, CVE-2016-3616, CVE-2018-11212, CVE-2018-11213, CVE-2018-11214, CVE-2018-1152を修正します。 - usn-3706-1の12.
04 ESM用バージョンです。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-3709-1:Xapian-coreのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-July/ 004488. html - Ubuntu 18.
04 LTS・ 17. 10用のアップデータがリリースされています。CVE-2018-0499を修正します。 - 悪意ある加工を施したファイルを処理させることで,
任意のコードの実行が可能でした。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-3705-2:Firefox regressions
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-July/ 004489. html - Ubuntu 18.
04 LTS・ 17. 10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。 - Firefox 61.
0.1 のUbuntuパッケージ版です。 - 対処方法:アップデータを適用の上,
Firefoxを再起動してください。
- https://
- usn-3710-1:curlのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-July/ 004490. html - Ubuntu 18.
04 LTS・ 17. 10用のアップデータがリリースされています。CVE-2018-0500を修正します。 - curlのSMTP実装の利用時,
悪意ある応答によりメモリ破壊を伴うクラッシュを誘発することができました。任意のコードの実行につながると考えられます。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-3711-1:ImageMagickのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-July/ 004491. html - Ubuntu 18.
04 LTS・ 17. 10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。CVE-2018-12599, CVE-2018-12600, CVE-2018-13153を修正します。 - 悪意ある加工を施したBMP/
DIB/ファイルを処理させることで, 任意のコードの実行が可能でした。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-3712-1, usn-3712-2:libpngのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-July/ 004492. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-July/ 004493. html - Ubuntu 18.
04 LTS・ 17. 10・ 16. 04 LTS・ 14. 04 LTS・ 12. 04 ESM用のアップデータがリリースされています。CVE-2016-10087, CVE-2018-13785を修正します。 - 悪意ある加工を施したファイルを処理させることで,
クラッシュを誘発することが可能でした。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-3713-1:CUPSのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-July/ 004494. html - Ubuntu 18.
04 LTS・ 17. 10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。CVE-2017-18248, CVE-2018-4180, CVE-2018-4181, CVE-2018-6553を修正します。 - 悪意ある印刷リクエストを投入することで,
cupsをクラッシュさせることが可能な問題, dnssdバックエンド利用時に環境変数を不適切に利用していたため, 権限昇格が可能な問題, includeディレクティブが不適切に読み込まれるため, 不当なファイル読み込みに利用できる問題, AppArmorが適切に設定されていなかった問題を修正します。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-3715-1:dns-root-data update
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-July/ 004495. html - Ubuntu 17.
10・ 16. 04 LTS用のアップデータがリリースされています。 - KSKロールオーバーに備えてdns-root-dataをVersion 2017072601に更新します。
- 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-3716-1:Dnsmasq update
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-July/ 004496. html - Ubuntu 16.
04 LTS用のアップデータがリリースされています。 - KSKロールオーバーに備えてトラストアンカー
(trusty-anchors. conf) を更新します。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-3714-1:Thunderbirdのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-July/ 004497. html - Ubuntu 18.
04 LTS・ 17. 10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。CVE-2018-12359, CVE-2018-12360, CVE-2018-12362, CVE-2018-12363, CVE-2018-12364, CVE-2018-12365, CVE-2018-12366, CVE-2018-12372, CVE-2018-12373, CVE-2018-12374, CVE-2018-5188を修正します。 - Thunderbird 52.
9.1 のUbuntuパッケージ版です。 - 対処方法:アップデータを適用の上,
Thunderbirdを再起動してください。
- https://
- usn-3717-1:PolicyKitのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-July/ 004498. html - Ubuntu 18.
04 LTS・ 17. 10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。CVE-2015-3218, CVE-2015-3255, CVE-2015-4625, CVE-2018-1116を修正します。 - 対処方法:アップデータを適用の上,
システムを再起動してください。
- https://
バックナンバー
Ubuntu Weekly Topics
- 2018年7月27日号 Ubuntu Communitheme "Yaru"・PowerShellのSnapパッケージ・オープンソースカンファレンス2018 Kyoto
- 2018年7月20日号 18.04.1 Server InstallerのCall for Testing,“Spectre” Variant 1.1/1.2。Bounds Check Bypass Store (BCBS)
- 2018年7月13日号 Ubuntu Minimal Cloud image,ArtfulのEOL
関連記事
- 2021年9月24日号 Ubuntu 14.04・16.04 ESMの延長,Ubuntu 18.04.6のリリース,Ubucon Asia 2021
- 2018年12月14日号 KubernetesとUbuntu、「1分以内に作れるKubernetes環境」、MicroK8s,“Linux-aws-edge”と“linx-aws-hwe”
- 2018年8月3日号 Ubuntu 18.04.1 LTSのリリース・OpenJDK11の準備・オープンソースカンファレンス2018 Kyoto(再掲)
- 2018年3月23日号 ext4のmetadata_csumオプションへの対処・initramfsの圧縮方式の変更
- 2018年3月9日号 Ubuntu 16.04.4 LTSのリリース,Hyper-V Quick Create VM gallery への収録,Spectre/Meltdown対策さらにさらにその後・3月初旬編(続)