gihyo.jpサイトのロゴ

Ubuntu Weekly Topics

2020年2月28日号ctrlX AUTOMATIONへのUbuntu Coreとsnapの採用、Microsoft Defender ATP for LinuxのPublic Preview

2020-02-28

ctrlX AUTOMATIONへのUbuntu Coreとsnapの採用

Canonicalが、Ubuntu CoreとSnapの採用例として、Bosch Rexroth[1]の産業機械プロダクトであるctrlX AUTOMATIONに採用された旨をアナウンスしています。ctrlX AUTOMATIONはIoTと産業用機械をミックスした、⁠スマート化された産業用機器』を実現するための各種ソリューションを提供します。

プレスリリースを読む限りでは、各種アプリケーションをUbuntu Core上で開発し、Snapでパッケージングしてデプロイするという、Ubuntu観点では「いつもの」対応を行うことで、産業用機械上で動作するIoTアプリケーションを提供できるものに見えます。これまでのUbuntuとは違う地平が見えてきた、と言える展開です[2]⁠。

Microsoft Defender ATP for LinuxのPublic Preview

Microsoftのエンドポイントセキュリティソリューション(いわゆる「アンチウイルスソフトウェア⁠⁠)である、Microsoft Defender ATPのLinux版Microsoft Defender Advanced Threat Protectionfor Linuxのパブリックプレビューが始まりました。

Microsoft Defender ATPは有償かつ企業向けのプロダクトであり、個人ユーザー向けのアンチウイルスの類とは異なる性質の製品ではあるものの、⁠Microsoft製の」⁠企業向けアンチウイルス製品の」⁠Linux版」という、単語組み合わせとして、これまで考えられなかった時代になりつつあります。

今週のセキュリティアップデート

usn-4280-1, usn-4280-2:ClamAVのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-February/005329.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-February/005332.html
  • Ubuntu 19.10・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2020-3123を修正します。
  • 特定の入力により、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
  • 備考:upstreamの新しいリリースを利用したパッケージです。なんらかの非互換を含んでいる可能性があります。
usn-4281-1:WebKitGTK+のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-February/005330.html
  • Ubuntu 19.10・18.04 LTS用のアップデータがリリースされています。CVE-2020-3862, CVE-2020-3864, CVE-2020-3865, CVE-2020-3867, CVE-2020-3868を修正します。
  • 対処方法:アップデータ適用の上、WebKitGTK+を利用するアプリケーションを再起動してください。
usn-4282-1:PostgreSQLのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-February/005331.html
  • Ubuntu 19.10・18.04 LTS用のアップデータがリリースされています。CVE-2020-1720を修正します。
  • 特定の条件において、認証済みユーザーが不当にSQL文を実行できる可能性がありました。
  • 対処方法:アップデータを適用の上、PostgreSQLを再起動してください。
usn-4283-1:QEMUのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-February/005333.html
  • Ubuntu 19.10・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-1711, CVE-2020-7039, CVE-2020-8608を修正します。
  • 悪意あるiSCSIサーバーから、もしくは特定のパケットの入力を行うことで、メモリ破壊を伴うクラッシュを誘発させることが可能でした。任意のコードの実行が可能です。
  • 対処方法:アップデータを適用の上、QEMU仮想マシンを再起動してください。
usn-4284-1:Linux kernelのセキュリティアップデート
usn-4285-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-February/005335.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2019-14615, CVE-2019-16229, CVE-2019-16232, CVE-2019-18786, CVE-2019-18809, CVE-2019-19057, CVE-2019-19063, CVE-2019-19947, CVE-2019-19965, CVE-2019-20096, CVE-2019-5108, CVE-2020-7053を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-4286-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-February/005336.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2019-14615, CVE-2019-15217, CVE-2019-15220, CVE-2019-15221, CVE-2019-17351, CVE-2019-19051, CVE-2019-19056, CVE-2019-19066, CVE-2019-19068, CVE-2019-19965, CVE-2019-20096, CVE-2019-5108を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-4287-1:Linux kernelのセキュリティアップデート
usn-4287-2:Linux kernel (Azure)のセキュリティアップデート
usn-4286-2:Linux kernel (Xenial HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-February/005339.html
  • Ubuntu 14.04 ESM用のアップデータがリリースされています。CVE-2019-14615, CVE-2019-15217, CVE-2019-15220, CVE-2019-15221, CVE-2019-17351, CVE-2019-19051, CVE-2019-19056, CVE-2019-19066, CVE-2019-19068, CVE-2019-19965, CVE-2019-20096, CVE-2019-5108を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-4279-2:PHPの再アップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-February/005340.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。
  • usn-4279-1にOOMが誘発される副次的な問題がありました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-4289-1:Squidのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-February/005342.html
  • Ubuntu 19.10・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2019-12528, CVE-2020-8449, CVE-2020-8450, CVE-2020-8517を修正します。
  • 悪意ある操作により、DoS・任意のコードの実行・アクセス制限の迂回が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-4288-1:pppのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-February/005343.html
  • Ubuntu 19.10・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-8597を修正します。
  • 悪意あるサーバーに接続した場合、メモリ破壊を伴うクラッシュが誘発されることがありました。任意のコードの実行・DoSが可能です。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-4291-1:mod-auth-mellonのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-February/005344.html
  • Ubuntu 19.10・18.04 LTS用のアップデータがリリースされています。CVE-2019-13038を修正します。
  • mod-auth-mellonで構成されたSAML SPに不正な文字列を付与してアクセスさせることで、異なるドメインのURLへ誘導することが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-4290-1:libpam-radius-authのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-February/005345.html
  • Ubuntu 19.10・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2015-9542を修正します。
  • パスワードとして悪意ある入力を与えることで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-4292-1:rsyncのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-February/005346.html
  • Ubuntu 18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2016-9840, CVE-2016-9841, CVE-2016-9842, CVE-2016-9843を修正します。
  • zlibを前提とした処理の一部で悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行に繋がると考えられます。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

おすすめ記事

記事・ニュース一覧