Ubuntu Weekly Topics

2018年8月24日号 LXDの.deb→snapパッケージ移行,続Spectre・“L1TF”(Foreshadow/Foreshadow-NG)への対応

この記事を読むのに必要な時間:およそ 5 分

LXDの.deb→snapパッケージ移行

歴史が変わる(かもしれない)新しい一歩が始まりました。

LXDのパッケージ形式が,.debからsnapへ,切り替える予定が示されています注1)⁠LXDは「snapに軸足を移しつつあるが,Ubuntuでは.debパッケージも保持されていた」というステータスにありましたが,これからは「snapが必須」というステータスに切り替わることになります。

これは既存のUbuntu向けLXDを置き換えるものではなく,18.10での動きとなります。snapへの移行が完了しても「.debベースのLXDパッケージ」が削除されるわけではなく,⁠snapパッケージ版LXDを呼び出すもの」として保持される予定です注2)。

各種コンテナの保存場所が変わること,依存関係を解決できるように措置する必要があること(LXDに依存しているパッケージが一定数存在します)といった点は順次解決される予定です。

注1
LXDは現在のUbuntu Serverにおける目玉機能の一つで,⁠コンテナ技術ベースの仮想マシン⁠を提供するソフトウェアユーティリティです。LXDについてはUbuntu Weekly Recipe 第521回を参照してください。
注2
あくまで「LXDがsnapに軸足を移す」というだけで,Ubuntu全体がsnapベースに移るというものではありません。ただし,現時点でデスクトップ環境を構成する一定のソフトウェアはsnapベースで利用可能な状態になりつつあるため,LXDと同じように,どこかの時点で大幅なスイッチが始まる可能性が見え隠れする状態になりつつあります。

続Spectre・“L1TF”(Foreshadow/Foreshadow-NG)への対応

“Spectre⁠脆弱性に類似した新しいCPUへのサイドチャネル攻撃,⁠L1TF⁠(L1 Terminal Fault; 別名⁠Foreshadow”,⁠Foreshadow-NG”)が公表されました。攻撃としての特性や性質はSpectreと似通っており,⁠カーネルが隔離しているメモリに格納されたデータを推定できる」というものです。

Ubuntuでも対処が進められており,対応の概要ナレッジベースの整理が行われました。

Ubuntuのユーザーが行うべきことは次の通りです。

  • CPUマイクロコードを更新する注3)⁠
  • カーネルを更新する。

対処において注意すべき点として,⁠サイドチャネル攻撃からの保護には,カーネル更新だけでなく,CPUマイクロコードを更新しなくてはならない場合がある」⁠カーネルによる保護機能にマイクロコード更新によって追加される新しい命令が必要)という点があります。利用しているCPUにおいて,新しいマイクロコードが適切に提供されているかを確認してください注4)⁠

ただし,これらの対処とともに,そもそも「信頼できないコード」を,⁠保護すべきデータ」が存在する場所で走らせないようにする対処も必要です。この方針はSpectre/Meltdown脆弱性が公表されてからの新しい常識とも言えるものですが,まだ公表されていないかもしれない新しい脆弱性によって)CPUによる保護が破られる可能性があるため,環境を適切に隔離する」という点を守るようにしましょう。なおブラウザ上で動く(信頼できない広告サイトから配信されるかもしれない)JavaScript等は,Spectre/Meltdown騒動の際に一定の対処が行われたため,現状の常識では十分に隔離されており,サイドチャネル攻撃を通すことは難しい状態となっています。

これらの対策と合わせて,⁠L1TF⁠による攻撃ポイントとして存在するHyper-Threading Technology等のSMT(Simultaneous Multithreading)機能の有効・無効を制御するユーティリティを提供する,smt-snapパッケージがsnap形式でダウンロードできるようになっています。これを利用することで,再起動なしにSMT設定を変更することもできます。

注3
現在のCPUやマザーボードの構成では,CPUマイクロコードを更新する方法は大きく分けて3つ存在します。もっとも古典的な方法は「CPUベンダが出荷時に更新する」というものです。しかしこの方法は(⁠出荷時に」ということからもわかるように)気軽にできるものではないため,一般的にはほぼ利用されません。2つめの方法は「マザーボード側のUEFI(BIOS)に含まれるマイクロコードテーブルを更新し,起動時に更新する」というものです。これはマザーボード側のアップデートが行えれば比較的手軽に実現できます。3つ目がOSでマイクロコードを保持しておき,カーネルが起動してからなるべく早いタイミングで更新する,というもので,この10年程度でこの方法が支配的になりつつあります。Ubuntuが提供する「Intel CPU用のマイクロコード」はこの3つ目のアプローチに用いられるものです。
注4
現時点では,SandyBridgeよりも古いCPU(=初代Core i7他)には更新マイクロコードが提供されないモデルも存在する状態のため,これらのCPUを使う環境は乗り換えが必要です(そもそも,Spectre Variant 2等から脆弱であり,⁠L1TF⁠ではじめて危険にさらされるわけではありません)⁠Spectre以降の常識として,CPUマイクロコードが更新されず,適切な保護が展開できない事態を防ぐために,ハードウェアを適切に乗り換えていく必要があります。

その他のニュース

今週のセキュリティアップデート

usn-3734-1:OpenJDK 8のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004527.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2018-2952を修正します。
  • 悪意ある入力を行うことで,Javaアプリケーションをメモリ過大消費状態に陥らせることが可能でした。DoSに悪用できます。
  • 対処方法:アップデータを適用の上,Javaアプリケーションを再起動してください。
  • 備考:Upstreamのリリースをそのまま利用したパッケージです。非互換をもたらす変更が含まれている場合があります。
usn-3735-1:OpenJDK 7のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004528.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2018-2952を修正します。
  • 悪意ある入力を行うことで,Javaアプリケーションをメモリ過大消費状態に陥らせることが可能でした。DoSに悪用できます。
usn-3737-1:GDMのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004530.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2018-14424を修正します。
  • ローカルユーザーが特定の処理を実行させることで,解放済みのメモリへのアクセスを誘発することができました。任意のコードの実行につながるクラッシュを意図的に発生させることが可能です。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-3736-1:libarchiveのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004531.html
  • Ubuntu 18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2016-10209, CVE-2016-10349, CVE-2016-10350, CVE-2017-14166, CVE-2017-14501, CVE-2017-14503を修正します。
  • 悪意ある加工を施したアーカイブを処理させることで,クラッシュ・本来秘匿されるべき情報の漏出を誘発させることが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3738-1:Sambaのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004532.html
  • Ubuntu 18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-10858, CVE-2018-10918, CVE-2018-10919, CVE-2018-1139を修正します。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3739-1, usn-3739-2:libxml2のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004533.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004534.html
  • Ubuntu 18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2016-9318, CVE-2017-16932, CVE-2017-18258, CVE-2018-14404, CVE-2018-14567を修正します。
  • 悪意ある加工を施したXMLファイルを処理刺せることで,本来秘匿すべき情報の漏出,DoSの誘発が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3740-1, usn-3740-2:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004536.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004537.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2018-3620, CVE-2018-3646, CVE-2018-5391への修正ないし緩和策を提供します。
  • ⁠L1TF⁠を含む複数の脆弱性の緩和策を含むアップデートです。⁠L1TF⁠への緩和策の利用にはCPUマイクロコードの更新が必要です。
  • 対処方法:アップデータを適用の上で,CPUマイクロコードを更新できる状態を整えた上でシステムを再起動してください。
usn-3741-1, usn-3741-2:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004538.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004539.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004546.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2018-3620, CVE-2018-3646, CVE-2018-5390, CVE-2018-5391への修正ないし緩和策を提供します。
  • ⁠L1TF⁠を含む複数の脆弱性の緩和策を含むアップデートです。⁠L1TF⁠への緩和策の利用にはCPUマイクロコードの更新が必要です。
  • 対処方法:アップデータを適用の上で,CPUマイクロコードを更新できる状態を整えた上でシステムを再起動してください。
  • 備考:14.04 LTS向けの更新カーネルには,システムが起動不能になる問題がありました。LP#1787127を参照してください。
usn-3742-1, usn-3742-2, usn-3742-3:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004540.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004541.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004549.html
  • Ubuntu 14.04 LTS・12.04 ESM用のアップデータがリリースされています。CVE-2017-18344, CVE-2018-3620, CVE-2018-3646, CVE-2018-5390, CVE-2018-5391を修正します。
  • ⁠L1TF⁠を含む複数の脆弱性の緩和策を含むアップデートです。⁠L1TF⁠への緩和策の利用にはCPUマイクロコードの更新が必要です。
  • 対処方法:アップデータを適用の上で,CPUマイクロコードを更新できる状態を整えた上でシステムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-3733-2:GnuPGのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004542.html
  • Ubuntu 12.04 ESM用のアップデータがリリースされています。CVE-2017-7526を修正します。
  • usn-3733-1の12.04 ESM用バージョンです。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3744-1:PostgreSQLのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004543.html
  • Ubuntu 18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-10915, CVE-2018-10925を修正します。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
  • 備考:Upstreamのリリースをそのまま利用したパッケージです。非互換をもたらす変更が含まれている場合があります。
usn-3743-1:WebKitGTK+のセキュリティアップデート
usn-3658-3:procps-ngのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004545.html
  • Ubuntu 12.04 ESM用のアップデータがリリースされています。CVE-2018-1122, CVE-2018-1123, CVE-2018-1125を修正します。
  • USN-3658-1の12.04 ESM用バージョンです。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3745-1:wpa_supplicant and hostapdのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004547.html
  • Ubuntu 18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-14526を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 悪意ある加工を施したメッセージを受信させることで,本来秘匿されるべき情報を漏出させることが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3746-1:APTのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004548.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2018-0501を修正します。
  • mirror://メソッドを利用している場合に,悪意あるサーバーから,もしくはMiTM攻撃を行われた場合に,改変されたパッケージを検知できない場合がありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3747-1:OpenJDK 10のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004550.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2018-2825, CVE-2018-2826, CVE-2018-2952, CVE-2018-2972を修正します。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3748-1:base-filesのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004551.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2018-6557を修正します。
  • MOTDを更新するスクリプトに,古典的symlink攻撃を許す問題がありました。Ubuntuではデフォルトでsymlink restrictionを提供しているためこれを利用して特権を奪取することはできませんが,DoSとして機能させることができます。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

コメント

コメントの記入