Windows 7 からUbuntuへのアップグレードガイド

Windows 7のユーザーに向けた、「⁠Ubuntuへのアップグレードガイド」が公開されました。

ポイントは、「⁠金銭的な負担を考慮しないなら買い換えが推奨」（⁠注1）「⁠現在のデータを適切にバックアップしましょう」「⁠一般的なデスクトップ用途ではたいていのアプリケーションにLinux版も存在するか、代替になるソフトウェアは存在する」「⁠いいから現在のデータを適切にバックアップしましょう」「⁠日常的なバックアップのための手段も手軽なものが存在する」「⁠とにかく現在のデータを適切にバックアップしましょう」というメッセージ性で、「⁠無料でどうしてもやりすごすなら」という位置づけになっています。

ある日のちょっとした出来事

ubuntu-devel MLで、ちょっとした出来事が発生しました。メール（特に、ヘッダ情報が一部潰れてしまうことが多いメーリングリスト）や、参加者の制約が難しいFLOSSコミュニティにおける「よくある出来事」ではありますが、「⁠2020年に起きた」というあたりが味わい深い事案なので、少しだけフォーカスしてみましょう。

流れている空気を含めて、なんとなく出来事を要約すると次のような流れになります。

• Canonicalの開発者のフリをして、「⁠このサイトに費用を振り込む必要がある！」と叫び出す詐欺師が現れる。
• 「詐欺師さんおつかれー」「⁠とりあえず通報しといた」「⁠もちろんこれは自分の仕業じゃないからね！」みたいな反応が得られる。
• 「詐欺じゃないよ！ お金を払わないとすべてのGNU/Linuxは止まるんだ！」とか詐欺師が言い出す。
• 「はいはい古典になってる手ね」「⁠これが法的に正しいなら払わないといけないねぇ」（⁠棒読み）
• 詐欺師、Markのアドレスを騙りつつ「そうだお金を払わないといけない！」などと言い出す。
• 以降みんなで無視して一件落着。

……総じて、『⁠まさかそれで誰かが騙されると思っていたのか？』としか言いようのない流れです。その他の壊滅的なお粗末さに比べ、「⁠Markがキーパーソン」ということだけは理解しているアタッカーであった（＝一応背景を調べるぐらいの準備はしていた≒再び、より巧妙なアプローチを準備して出現する可能性が高い）ということだけは特筆するべき点かもしれません。

全体に漂う空気を適切に再現するのは困難なのと、それほど難しい単語は出てこないため、英語の勉強を兼ねて原文を読んでみることをお勧めします[2]⁠。なお全体的な感触として、説得力皆無どころかむしろ負ですら、この文章力でよく「あの」Markの真似をしようと思いましたね[3]としか言えません。

今週のセキュリティアップデート

usn-4242-1：Sysstatのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005278.html
• Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2019-16167, CVE-2019-19725を修正します。
• 悪意ある入力を行うことで、任意のコードの実行が可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4243-1：libbsdのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005279.html
• Ubuntu 19.04・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2016-2090, CVE-2019-20367を修正します。
• 悪意ある入力を行うことで、任意のコードの実行が可能でした。また、特定の文字列を入力することで、本来秘匿されるべき情報にアクセスすることが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4244-1：Sambaのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005280.html
• Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2019-14902, CVE-2019-14907, CVE-2019-19344を修正します。
• レプリケーション時、ACLが適切に付与されていませんでした。また、特定の操作を行うことでDoSが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4245-1：PySAML2のセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005281.html
• Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-5390を修正します。
• 悪意ある加工を施したファイルを処理させることで、任意のデータを含む署名済みデータを正しいものと誤認させることができました。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4247-1, usn-4247-2, usn-4247-3：python-aptのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005282.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005285.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005287.html
• Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2019-15795, CVE-2019-15796を修正します。
• python-aptによるパッケージ検証がMD5で行われているため、不正なパッケージの導入が可能でした。また、信頼できないリポジトリから誤ってパッケージが導入されることがありました。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。
• 備考：usn-4247-1としてリリースされたパッケージはアップグレードが正常に行えない問題があったため、usn-4247-2がリリースされています。

usn-4248-1：GraphicsMagickのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005283.html
• Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2017-16545, CVE-2017-16547, CVE-2017-16669, CVE-2017-17498, CVE-2017-17500, CVE-2017-17501, CVE-2017-17502, CVE-2017-17503, CVE-2017-17782, CVE-2017-17783を修正します。
• 悪意ある加工を施したファイルを処理させることで、少なくともDoSが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4246-1：zlibのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005284.html
• Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2016-9840, CVE-2016-9841, CVE-2016-9842, CVE-2016-9843を修正します。
• 悪意ある加工を施した入力を行うことで、任意のコードの実行が可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4249-1：e2fsprogsのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005286.html
• Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2019-5188を修正します。
• 悪意ある加工を施したext4を処理させることで、任意のコードの実行が可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4233-2：GnuTLSのアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005288.html
• Ubuntu 18.04 LTS・16.04 LTS用のアップデータがリリースされています。
• usn-4233-1で行われたSHA1の無効化に関して、必要な環境において無効化を解除することが可能になりました。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4230-2：ClamAVのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-January/005289.html
• Ubuntu 14.04 ESM・12.04 ESM用のアップデータがリリースされています。
• usn-4230-1の14.04 ESM・12.04 ESM用のパッケージです。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。