Ubuntu Weekly Topics

2019年2月1日号18.04.2の準備、Ubuntu Core 18の使い

18.04.2の準備

2月7日の18.04.2のリリース予定日に向けて、Sebastien Bacherが開発者に向けた呼びかけを行っています。

現状、Ubuntuのパッケージレビューキューは十分に健康的と言えるほどには状況が良くなく(原因:パッケージが多いので時間がかかるため、アクティブな開発者の忙しさに影響される。注1⁠、⁠そろそろ全力で取りかからないと間に合わないよね」⁠もし本当にまずそうならスケジュールを動かすのも考えないといけないよね)という方向の声かけとなっており、⁠そろそろ18.04.2のリリース時期なんだけど、みんながこれに気付いてないような気がするんだ」⁠いますぐ18.04.2リリースまでにやらないといけないことを確定しようよ」⁠そもそも絶対やらないといけないことリスト、どこ?」⁠あとLangPackのアップデートも予定してるよね?」といった内容となっています。

ちなみにこれらはいずれも作業が進んでいます。「そういえばこのあたりを明示的に共有する作業の流れになってなかったね」というフォローが入っており、着々とリリースに向けて作業が進められている状態ではあるものの、少しだけ作業プロセスが更新されるかもしれません。

Ubuntu Core 18の使い方

UbuntuのARM関連の開発を行っているOliver Grawertが、Ubuntu Core 18使い方ガイドを提供しています。

現在の(かつて⁠Snappy⁠⁠ Ubuntu Coreと呼ばれていた)Ubuntu Coreは、利用するハードウェアを決め、導入するSnapパッケージを選定し、設定ファイルにパッケージリストを記述して導入するイメージを生成する作業フローです。これは一般的な組み込みOSの使い方に比べると非常に簡素なのですが、YAMLで記載すべき項目がいまひとつわかりにくいため、このサンプルを見てから作業するのが良いでしょう。

紹介されている例は、クライアントとサーバーに分かれたハードウェアを用いて、デジタルサイネージを提供する、というものです。

その他のニュース

  • 特定目的向けのカーネルと思われる、linux-ibm-gtフレーバーの作業が行われています。

今週のセキュリティアップデート

usn-3863-1, usn-3863-2:APTのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-January/004734.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-January/004735.html
  • Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2019-3462を修正します。
  • 悪意ある加工を施したリダイレクトを処理させることで、署名検証を潜在的に迂回しうる形でパッケージのダウンロード・インストールを行わせることが可能でした。あまり現実的ではないものの十分な条件が整っている場合、悪意あるパッケージを導入させることが可能と考えられます。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。ただし、厳密なセキュリティが要求される環境でこのアップデータをインストールする際は、悪用を回避するためにAcquire::http::AllowRedirect=falseを付与してリダイレクトを抑制するか、個別にaptパッケージを入手して更新を行ってください。
usn-3864-1:LibTIFFのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-January/004736.html
  • Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-10963, CVE-2018-17100, CVE-2018-17101, CVE-2018-18557, CVE-2018-18661, CVE-2018-7456, CVE-2018-8905を修正します。
  • 悪意ある画像を処理させることで、任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-3865-1:popplerのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-January/004737.html
  • Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-20481, CVE-2018-20650を修正します。
  • 悪意ある加工を施したPDFファイルを処理させることで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-3707-2:NTPのセキュリティアップデート
usn-3866-1:Ghostscriptのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-January/004739.html
  • Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2019-6116を修正します。
  • 悪意ある加工を施したPDFファイルを処理させることで、任意のコードの実行ないしDoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-3867-1:MySQLのセキュリティアップデート
usn-3869-1:Subversionのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-January/004741.html
  • Ubuntu 18.10用のアップデータがリリースされています。CVE-2018-11803を修正します。
  • 悪意ある入力を行うことでDoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-3868-1:Thunderbirdのセキュリティアップデート
usn-3870-1:Spiceのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-January/004743.html
  • Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2019-3813を修正します。
  • 悪意ある入力を処理させることで、潜在的な任意のコードの実行ないしDoSが可能でした。
  • 対処方法:アップデータを適用の上、QEMU仮想マシンを再起動してください。

おすすめ記事

記事・ニュース一覧