Ubuntu Weekly Topics

2020年1月31日号 Windows 7 からUbuntuへのアップグレードガイド・ある日のちょっとした出来事

この記事を読むのに必要な時間:およそ 3 分

Windows 7 からUbuntuへのアップグレードガイド

Windows 7のユーザーに向けた,Ubuntuへのアップグレードガイドが公開されました。

ポイントは,⁠金銭的な負担を考慮しないなら買い換えが推奨」注1⁠現在のデータを適切にバックアップしましょう」⁠一般的なデスクトップ用途ではたいていのアプリケーションにLinux版も存在するか,代替になるソフトウェアは存在する」⁠いいから現在のデータを適切にバックアップしましょう」⁠日常的なバックアップのための手段も手軽なものが存在する」⁠とにかく現在のデータを適切にバックアップしましょう」というメッセージ性で,⁠無料でどうしてもやりすごすなら」という位置づけになっています。

注1
原文の記述では「Buy a new computer」「least intrusive option」である,とあります。新しくコンピューターを購入するのがもっとも非侵襲的な措置である(すなわち負担が少ない選択肢である)という,非常に現実的な考え方が軸になっています。

ある日のちょっとした出来事

ubuntu-devel MLで,ちょっとした出来事が発生しました。メール(特に,ヘッダ情報が一部潰れてしまうことが多いメーリングリスト)や,参加者の制約が難しいFLOSSコミュニティにおける「よくある出来事」ではありますが,⁠2020年に起きた」というあたりが味わい深い事案なので,少しだけフォーカスしてみましょう。

流れている空気を含めて,なんとなく出来事を要約すると次のような流れになります。

  • Canonicalの開発者のフリをして,⁠このサイトに費用を振り込む必要がある!」と叫び出す詐欺師が現れる。
  • 「詐欺師さんおつかれー」⁠とりあえず通報しといた」⁠もちろんこれは自分の仕業じゃないからね!」みたいな反応が得られる。
  • 「詐欺じゃないよ! お金を払わないとすべてのGNU/Linuxは止まるんだ!」とか詐欺師が言い出す。
  • 「はいはい古典になってる手ね」⁠これが法的に正しいなら払わないといけないねぇ」⁠棒読み)
  • 詐欺師,Markのアドレスを騙りつつ「そうだお金を払わないといけない!」などと言い出す。
  • 以降みんなで無視して一件落着。

……総じて,⁠まさかそれで誰かが騙されると思っていたのか?』としか言いようのない流れです。その他の壊滅的なお粗末さに比べ,⁠Markがキーパーソン」ということだけは理解しているアタッカーであった(=一応背景を調べるぐらいの準備はしていた≒再び,より巧妙なアプローチを準備して出現する可能性が高い)ということだけは特筆するべき点かもしれません。

全体に漂う空気を適切に再現するのは困難なのと,それほど難しい単語は出てこないため,英語の勉強を兼ねて原文を読んでみることをお勧めします注2⁠。なお全体的な感触として,説得力皆無どころかむしろ負ですら,この文章力でよく「あの」Markの真似をしようと思いましたね注3としか言えません。

注2
「scam」=詐欺,⁠sued」=訴えられる,という単語と『メールにおいて,Fromはまったくアテにならない』という事実を念頭に置けば,ほとんど難しい箇所はありません。
注3
Markは個人blogを含めて一定の癖のある文章を書くため(典型的な「教育を受けたイギリス人」スタイル⁠⁠,バレないように彼の真似をするには相当の訓練が必要になります。この観点ではこの詐欺師のチャレンジ精神だけは誉められるものにせよ,クオリティ面ではまったくもってダメ,という結果でした。

今週のセキュリティアップデート

usn-4242-1:Sysstatのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005278.html
  • Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2019-16167, CVE-2019-19725を修正します。
  • 悪意ある入力を行うことで,任意のコードの実行が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4243-1:libbsdのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005279.html
  • Ubuntu 19.04・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2016-2090, CVE-2019-20367を修正します。
  • 悪意ある入力を行うことで,任意のコードの実行が可能でした。また,特定の文字列を入力することで,本来秘匿されるべき情報にアクセスすることが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4244-1:Sambaのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005280.html
  • Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2019-14902, CVE-2019-14907, CVE-2019-19344を修正します。
  • レプリケーション時,ACLが適切に付与されていませんでした。また,特定の操作を行うことでDoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4245-1:PySAML2のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005281.html
  • Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-5390を修正します。
  • 悪意ある加工を施したファイルを処理させることで,任意のデータを含む署名済みデータを正しいものと誤認させることができました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4247-1, usn-4247-2, usn-4247-3:python-aptのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005282.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005285.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005287.html
  • Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2019-15795, CVE-2019-15796を修正します。
  • python-aptによるパッケージ検証がMD5で行われているため,不正なパッケージの導入が可能でした。また,信頼できないリポジトリから誤ってパッケージが導入されることがありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
  • 備考:usn-4247-1としてリリースされたパッケージはアップグレードが正常に行えない問題があったため,usn-4247-2がリリースされています。
usn-4248-1:GraphicsMagickのセキュリティアップデート
usn-4246-1:zlibのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005284.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2016-9840, CVE-2016-9841, CVE-2016-9842, CVE-2016-9843を修正します。
  • 悪意ある加工を施した入力を行うことで,任意のコードの実行が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4249-1:e2fsprogsのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005286.html
  • Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2019-5188を修正します。
  • 悪意ある加工を施したext4を処理させることで,任意のコードの実行が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4233-2:GnuTLSのアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005288.html
  • Ubuntu 18.04 LTS・16.04 LTS用のアップデータがリリースされています。
  • usn-4233-1で行われたSHA1の無効化に関して,必要な環境において無効化を解除することが可能になりました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4230-2:ClamAVのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005289.html
  • Ubuntu 14.04 ESM・12.04 ESM用のアップデータがリリースされています。
  • usn-4230-1の14.04 ESM・12.04 ESM用のパッケージです。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

バックナンバー

Ubuntu Weekly Topics

バックナンバー一覧