Ubuntu Weekly Topics
2019年6月14日号 Ubuntuにおける「バージョンによる脆弱性判定」の正しいアプローチ,WSL2のプレビュー開始
Ubuntuにおける 「バージョンによる脆弱性判定」 の正しいアプローチ
ubuntu-serverメーリングリストにおいて,
投稿者の困っている状況を要約すると,
セキュリティスキャナの多くは,
この一方,
非常に残念なことですが,
- 注1
- こうした,
Linuxディストリビューションごとの更新を考慮していない, こけおどし型脅威検出システムと呼ぶべき 『セキュリティスキャナ』 を利用することは, 実行することそのものがむしろ危険です。偽セキュリティスキャナである可能性を疑ったほうが良いでしょう。
また,
- 注2
- このような実装のセキュリティスキャナを実務で利用するべきではありませんが,
ツールの選定ミスや不十分な理解によって利用されてしまうことはありえます。
こうした条件が組み合わさった結果,
この状況を受けてのRobie Basakのまとめが,
ということで,
- 注3
- 理由:これまでにも散々同じような展開がおきてきたから。
- 注4
- こうしたツールの利用結果を,
「必ず改善するべき指摘事項」 としてしまうような (自称) セキュリティコンサルタントや (自称) セキュリティスキャナを発見してしまったような不幸なケースにおいてもっとも有効な行動は, その人物なりツールなりをシステム監査を含めたあらゆる場面から注意深く排除することです。そのような (自称) コンサルタントなり (自称) セキュリティスキャナは, 虫垂炎の手術において心臓と盲腸の区別がつかない外科医が執刀するのに匹敵するリスクをその環境にもたらしえます。
その他のニュース
- WSL2のWindows Insiders向け提供が始まりました。WSL2のテストが可能です。
- Ubuntuを扱う上で利用できる,
コミュニティによる5つのリソースについて。 - そのマシンのACPIになんらかの問題がないかを,
Firmware Test Suite (FWTS) を用いて簡単にテストする方法。3月に紹介したパターンよりもはるかに簡単です。
今週のセキュリティアップデート
- usn-4002-1:Doxygenのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004932. html - Ubuntu 16.
04 LTS用のアップデータがリリースされています。CVE-2016-10245を修正します。 - 悪意ある加工を施したクエリを実行させることで,
本来秘匿されるべき情報の漏出や任意のコードの実行が可能でした。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-4003-1:Qtのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004933. html - Ubuntu 18.
10・ 18. 04 LTS・ 16. 04 LTS用のアップデータがリリースされています。CVE-2018-15518, CVE-2018-19870, CVE-2018-19873を修正します。 - 悪意ある加工を施したXMLファイル・
GIFイメージ・ BMPイメージを処理させることで, メモリ破壊を伴うクラッシュを誘発することが可能でした。 - 対処方法:アップデータを適用の上,
セッションを再起動 (一度ログアウトして再度ログイン) してください。
- https://
- usn-4004-1, usn-4004-2:Berkeley DBのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004934. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004935. html - Ubuntu 19.
04・ 18. 10・ 18. 04 LTS・ 16. 04 LTS・ 14. 04 ESM用のアップデータがリリースされています。CVE-2019-8457を修正します。 - 悪意ある入力を行うことで,
本来露出するべきでない情報にアクセスすることができました。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-4005-1:Linux kernelのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004936. html - Ubuntu 19.
04用のアップデータがリリースされています。CVE-2019-11810, CVE-2019-11815を修正します。 - 対処方法:アップデータを適用の上,
システムを再起動してください。 - 備考:ABIの変更を伴いますので,
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため, 通常はそのままアップデートの適用を行えば対応できます。
- https://
- usn-4006-1, usn-4006-2:Linux kernelのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004937. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004941. html - Ubuntu 18.
10・ 18. 04 LTS用のアップデータがリリースされています。CVE-2019-11191を修正します。 - 対処方法:アップデータを適用の上,
システムを再起動してください。
- https://
- usn-4007-1, usn-4007-2:Linux kernelのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004938. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004940. html - Ubuntu 18.
04 LTS・ 16. 04 LTS用のアップデータがリリースされています。CVE-2019-11191を修正します。 - 対処方法:アップデータを適用の上,
システムを再起動してください。 - 備考:ABIの変更を伴いますので,
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため, 通常はそのままアップデートの適用を行えば対応できます。
- https://
- usn-4008-1:Linux kernelのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004939. html - Ubuntu 16.
04 LTS用のアップデータがリリースされています。CVE-2019-11190, CVE-2019-11191, CVE-2019-11810, CVE-2019-11815を修正します。 - 対処方法:アップデータを適用の上,
システムを再起動してください。 - 備考:ABIの変更を伴いますので,
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため, 通常はそのままアップデートの適用を行えば対応できます。
- https://
- usn-4007-2:Linux kernel (HWE)のセキュリティアップデート
- Ubuntu 16.
04 LTS用のアップデータがリリースされています。CVE-2019-11191を修正します。 - 対処方法:アップデータを適用の上,
システムを再起動してください。 - 備考:ABIの変更を伴いますので,
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため, 通常はそのままアップデートの適用を行えば対応できます。
- Ubuntu 16.
- usn-4006-2:Linux kernel (HWE)のセキュリティアップデート
- Ubuntu 18.
04 LTS用のアップデータがリリースされています。CVE-2019-11191を修正します。 - 対処方法:アップデータを適用の上,
システムを再起動してください。 - 備考:ABIの変更を伴いますので,
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため, 通常はそのままアップデートの適用を行えば対応できます。
- Ubuntu 18.
- usn-4010-1:Eximのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004942. html - Ubuntu 18.
10・ 18. 04 LTS用のアップデータがリリースされています。CVE-2019-10149を修正します。 - 悪意ある加工を施したメッセージを処理させることで,
任意のコードの実行が可能でした。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-4009-1, usn-4009-2:PHPのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004943. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004944. html - Ubuntu 19.
04・ 18. 10・ 18. 04 LTS・ 16. 04 LTS・ 14. 04 ESM・ 12. 04 ESM用のアップデータがリリースされています。CVE-2019-11036, CVE-2019-11039, CVE-2019-11040を修正します。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-3957-3:MariaDBのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2019-June/ 004945. html - Ubuntu 18.
04 LTS用のアップデータがリリースされています。CVE-2019-2614, CVE-2019-2627を修正します。 - MariaDB 10.
1.40のUbuntuパッケージ版です。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
バックナンバー
Ubuntu Weekly Topics
- 2019年6月28日号 i386の継続についての議論(続)
- 2019年6月21日号 eoanにおけるi386サポートの終了,ThinkPad PのUbuntu搭載モデル,SACK Panic
- 2019年6月14日号 Ubuntuにおける「バージョンによる脆弱性判定」の正しいアプローチ,WSL2のプレビュー開始
- 2019年6月7日号 Dell Precision 5540, 7540, 7540の“Sputnik”バージョン,『Emacsの』snapパッケージ