Ubuntu Weekly Topics

2020年10月2日号 GroovyのBeta Freeze,LibreOfficeの『Yaru』テーマアイコン

この記事を読むのに必要な時間:およそ 5 分

GroovyのBeta Freeze

Groovy(20.10)のベータのためのFreezeが行われ,リリースに向けた助走が開始されています。ここからは新規パッケージの投入も『できるだけ』最小限に抑えられ,テストとバグ探しが行われるシーズンとなります注1⁠。このタイミングに間に合わなかったパッケージ更新の多くはリリース後に回されることになります。

また,⁠現在のパッケージ構成で本当にバイナリパッケージを生成できるか」をテストするtest rebuildも行われています注2⁠。結果としてruby 2.7のglibc 2.32に合わせた調整のような修正も投入されており,⁠そこまで実物への影響はないであろうものの)まだ慌ただしい状態が続くことになるでしょう。

なお,リリース時期が極端に近接しているOpenStack Victoria(10月12日〜16日にリリース予定)FFeして取り込むという「いつもの」対応となっています。OpenStack VictoriaのリリースそのものはGroovy(10月22日)より多少先行する形となりますが,当面はmilestone 3やRCでのテストを行うことになります(しかし,これはUbuntuでのOpenStackとしてはお馴染みの形であり,驚く必要はありません⁠⁠。

注1
スケジュール的にはまだKernel Freezeが10月8日にあり,そこから10月22日までの2週が「最後のスプリント」に相当します。
注2
test rebuildの存在意義は2014年9月19日号を参照してください。

その他のニュース

今週のセキュリティアップデート

usn-4521-1:pam_tacplusのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005631.html
  • Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-13881を修正します。
  • DEBUGログレベルが設定され,かつjournaldが利用されている環境では本来秘匿されるべき情報が漏出する場合がありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4522-1:noVNCのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005632.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2017-18635を修正します。
  • noVNCの生成するHTMLにおいてXSSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4523-1:LibOFXのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005633.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2019-9656を修正します。
  • 悪意ある操作を行うことで,DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4524-1:TNEFのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005634.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2019-18849を修正します。
  • 悪意ある加工を施した添付ファイルを処理させることで,不当なファイルの書き換え・DoSの誘発が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4525-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005635.html
  • Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2019-18808, CVE-2019-19054, CVE-2020-12888, CVE-2020-16166, CVE-2020-25212を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-4526-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005636.html
  • Ubuntu 18.04 LTS・16.04 LTS・14.04 ESM用のアップデータがリリースされています。CVE-2019-18808, CVE-2019-19054, CVE-2019-19061, CVE-2019-19067, CVE-2019-19073, CVE-2019-19074, CVE-2019-9445, CVE-2020-12888, CVE-2020-14356, CVE-2020-16166を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-4527-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005637.html
  • Ubuntu 16.04 LTS・14.04 ESM用のアップデータがリリースされています。CVE-2019-19054, CVE-2019-19073, CVE-2019-19074, CVE-2019-20811, CVE-2019-9445, CVE-2019-9453, CVE-2020-0067, CVE-2020-25212を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-4528-1:Cephのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005638.html
  • Ubuntu 18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-10753, CVE-2020-12059, CVE-2020-1760を修正します。
  • CORSヘッダの取り扱いミスによるHTTPヘッダインジェクション・DoSの誘発・XSSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4529-1:FreeImageのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005639.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2019-12211, CVE-2019-12213を修正します。
  • 悪意ある加工を施したTIFFファイルを処理させることで,ヒープベースバッファオーバーフローとスタック破壊が可能でした。DoSに悪用できます。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4531-1:BusyBoxのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005640.html
  • Ubuntu 20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2018-1000500を修正します。
  • BusyBoxに含まれるwgetがSSL証明書を正しく解釈しておらず,PiTMが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4530-1:Debian-LANのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005641.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2019-3467を修正します。
  • ローカルの攻撃者によるパスワード変更が制御されておらず,特権の奪取が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4532-1:Nettyのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005642.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2019-16869, CVE-2019-20444, CVE-2019-20445を修正しまうs。
  • HTTP request smuggling attackを行う余地がありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4533-1:LTSP Display Managerのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005643.html
  • Ubuntu 20.04 LTS用のアップデータがリリースされています。
  • 本来許容されていないシェルからのログインが可能でした。root特権の奪取に応用が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4534-1:Perl DBI moduleのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005644.html
  • Ubuntu 18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2019-20919を修正します。
  • 悪意ある入力を行うことでクラッシュの誘発・本来秘匿されるべき情報の漏出を誘発することが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4535-1:RDFLibのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005645.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2019-7653を修正します。
  • コマンドラインで指定されたモジュールのロード方法に問題があり,悪意ある操作によって本来期待されない権限でコードを実行される場合がありました。
  • 対処方法:アップデータを適用の上,RDSLibを利用したアプリケーションを再起動してください。
usn-4537-1:Aptdaemonのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005646.html
  • Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-15703を修正します。
  • ロケールの確認処理を悪用することで,特定のファイルの存在確認が可能でした。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-4538-1:PackageKitのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005647.html
  • Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-16121, CVE-2020-16122を修正します。
  • 悪意ある操作を行うことで,特定のMIMEタイプの不当な登録・不正なパッケージの導入が可能でした。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-4536-1:SPIPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005648.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2017-15736, CVE-2019-11071, CVE-2019-16391, CVE-2019-16392, CVE-2019-16393, CVE-2019-16394, CVE-2019-19830を修正します。
  • 悪意ある操作を行うことで,XSS・ユーザーの列挙・任意のコードの実行・DBの変更・XSSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4539-1:AWLのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005649.html
  • Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2020-11728を修正します。
  • 悪意ある操作を行うことで,セッションの盗聴が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4540-1:atftpdのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005650.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2019-11365, CVE-2019-11366を修正します。
  • 悪意ある操作を行うことで,DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4542-1:MiniUPnPdのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005651.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2019-12107, CVE-2019-12108, CVE-2019-12109, CVE-2019-12110, CVE-2019-12111を修正します。
  • 悪意ある操作を行うことで,本来秘匿されるべき情報の漏出・DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4543-1:Sanitizeのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005652.html
  • Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2020-4054を修正します。
  • XSSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4541-1:Gnuplotのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005653.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2018-19490, CVE-2018-19491, CVE-2018-19492を修正します。
  • 悪意ある入力を行うことで,メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行につなげられると考えられます。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4545-1:libquicktimeのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005654.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2017-9122, CVE-2017-9123, CVE-2017-9124, CVE-2017-9125, CVE-2017-9126, CVE-2017-9127, CVE-2017-9128を修正します。
  • 悪意ある加工を施したMP4ファイルを処理させることで,DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4546-1:Firefoxのセキュリティアップデート

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。