eoanのkernel freeze

eoanのカーネルにおいて，SafeSetIDモジュール（特定のUID/GIDにのみIDの遷移を許可するもの）がビルドされるようになりそうです。この強制アクセス制御LSMはある程度セキュアな構成を作ろうとした場合に非常に便利です（注1⁠）⁠。

また，「⁠ビルドされるようになり，必要ならばロードできる」というだけで，デフォルトでロードされるわけではないため，この変更そのものにはほとんど問題はありません。Kernel Freezeが9月26日で，このパッチ投稿が9月25日という問題を除けば，ですが。リグレッションしなさそうな差分ではあり，「⁠None of these changes are urgent and could be deferred to E+1, if needed.」（⁠これは緊急の要素はないし，必要ならE+1に遅らせることもできるよ）という話ではあるのですが，とてもUbuntuらしいアプローチです。

注1

たとえばサーバーの場合，システム管理者以外，UID/GIDを遷移するような動きをすることは考えにくいはずです。もしもApache HTTPdから特定のユーザーにUID遷移するような動きがあったら，HTTPdがなんらかの形で侵害されたと考える必要があります。……しかしながら，このモジュールを利用することでこうした遷移を禁止できるので，「⁠システムは侵害されているにせよ，大惨事になる可能性を低減させる」ことができます。

その他のニュース

• UbuntuとSnapを使ってOpen Broadcast Software Studioを簡単にインストールして，GPUベースのハードウェア動画エンコードを利用する方法（注2⁠）⁠。
• Storm（Launchpadの裏で使われているPythonベースのORマッパー）をPython3に対応させた作業の概要。まだ「完了」といえる段階ではないものの（パッケージングまわりの対応がまだ⁠）⁠，ひとまずコードレベルでは対応が完了，という状態になるまでの簡単な記録です。同じようなチャレンジを行っている人には役に立つかもしれません。

注2

ちなみに，当該記事には「Put that NeoMagic and 3dfx Voodoo2 away, and bust out your gaming rig! ⁠」⁠（⁠NeoMagicと3dfx Voodoo2をあっちに片付けて，そのイケてるゲームマシンを準備しよう！）という，文の前半が若者には決して通じないフレーズが含まれています。前者はかつて多くのノートPCに搭載されていた（省電力だが性能は悪かった）チップを生産していたチップベンダーとそのチップシリーズ（当時使われていた言葉ではゲームにあまり向いていないチップを暗黙で指す⁠）⁠，後者は3D専用のゲーム用グラフィックアクセラレータ（同じく当時使われていた言葉では原始的なGPUを指す）です。

今週のセキュリティアップデート

usn-4135-1, usn-4135-2：Linux kernelのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-September/005122.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-September/005123.html
• Ubuntu 19.04・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2019-14835, CVE-2019-15030, CVE-2019-15031を修正します。
• 対処方法：アップデータを適用の上，システムを再起動してください。
• 備考：ABIの変更を伴いますので，カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため，通常はそのままアップデートの適用を行えば対応できます。

usn-4136-1, usn-4136-2：wpa_supplicant and hostapdのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-September/005124.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-September/005125.html
• Ubuntu 19.04・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2019-16275を修正します。
• 特定の入力を行うことでDoSが可能でした。
• 対処方法：アップデータを適用の上，システムを再起動してください。

usn-4128-2：Tomcatのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-September/005126.html
• Ubuntu 19.04・18.04 LTS用のアップデータがリリースされています。CVE-2019-0221, CVE-2019-10072を修正します。
• 悪意ある入力によるXSSと，HTTP/2に関連するDoSが可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4134-2：IBusの再アップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-September/005128.html
• Ubuntu 19.04・18.04 LTS・16.04 LTS用のアップデータがリリースされています。
• Qtアプリケーションでの入力が正常に行えなくなっていました。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4137-1：Mosquittoのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-September/005129.html
• Ubuntu 19.04用のアップデータがリリースされています。CVE-2019-11779を修正します。
• 悪意ある入力を行うことで，DoSが可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。