GroovyのBetaとKernel Freeze

Groovyのベータがリリースされ，最後のテストフェーズが開始されました。あわせてKernel Freezeも行われており（注1⁠）⁠，以降の修正は原則としてリリース後に持ち越されることになります（注2⁠）⁠。

各種フレーバーでもベータリリースが行われ（たとえばKubuntu，Ubuntu Studio，Lubuntu⁠）⁠，テスト要請が出されています。

また，Groovyのテーマ動物であるゴリラをテーマにした新しい壁紙も登場しており，モニタの色調整にもよるものの，そこそこインパクトに満ちた絵面を確認できるようになっています。Ubuntu 20.10 “⁠Groovy Gorilla⁠”は，10月22日にリリース予定です。

注1

関係者がそろそろ疲れてくる頃合いでもあり，ちょっとした間違い（FocalのときのKernel Freezeアナウンスを転用しようとして，「⁠Groovy」に書き換え忘れたままリリース）が生まれていたりはします。

注2

たいていはリリース後に持ち越しになるのですが，llvm-defaultの切り替えがまだ未実施で残っていたり，+1 Maintenance Reportにかなりの分量の変更が記載されていたりと，「⁠QAだけ」とは言い切れない状態が継続しています。そこまで大きなインパクトはないと予想はされるものの，まだまだ落ち着かない空気が続くことになりそうです。ちなみにリリースまでに解決されるべきバグは10月8日のJST夜時点で24個がリストされており（ただしこの数字には解決済みを含む⁠）⁠，うち8つほどがMIR（Main Inclusion Request⁠）⁠，そしてFFeもちらほら，なかにはAppArmorの3系への切り替えといったものも混じっている，というような状態となっています。

その他のニュース

• BlueField 2とAmpere GPUを搭載したNVIDIA EGX API Platformについて。昨年秋に確認されていたbluefieldフレーバーの正体はこれではないかと思われます。なおBlueField 2に特化したblog記事も提供されています。
• Snapと構成管理ツールを併用する方法について。
• Hyper-Vを用いて，Windows 10上にUbuntu仮想マシンを構成する方法。XRDPを用いた接続も含め，「⁠現在の定番」のひとつです。

今週のセキュリティアップデート

usn-3968-3：Sudoのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005656.html
• Ubuntu 14.04 ESM用のアップデータがリリースされています。CVE-2016-7032, CVE-2016-7076を修正します。
• usn-3968-1のUbuntu 14.04 ESM向けパッケージです。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4549-1：ImageMagickのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005657.html
• Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2019-19948, CVE-2019-19949を修正します。
• 悪意ある加工を施したファイルを処理させることで，少なくともDoSが可能でした。

usn-4548-1：libuvのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005658.html
• Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2020-8252を修正します。
• 特定のパスを入力に用いることで，任意のコードの実行・DoSが可能でした。
• 対処方法：アップデータを適用の上，システムを再起動してください。

usn-4547-1：iTALCのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005659.html
• Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2018-15127, CVE-2018-20019, CVE-2018-20020, CVE-2018-20021, CVE-2018-20022, CVE-2018-20023, CVE-2018-20024, CVE-2018-20748, CVE-2018-20749, CVE-2018-20750, CVE-2018-7225, CVE-2019-15681を修正します。
• 悪意ある通信を行うことで，任意のコードの実行・DoS・本来秘匿されるべき情報の漏出が可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4550-1：DPDKのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005660.html
• Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2020-14374, CVE-2020-14375, CVE-2020-14376, CVE-2020-14377, CVE-2020-14378を修正します。
• DPDKが利用するvhost cryptoがの扱いが正しくないため，暗号系を破ることが可能でした。任意のコードの実行・DoS・本来秘匿されるべき情報の漏出が可能です。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4551-1：Squidのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005661.html
• Ubuntu 18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-15049, CVE-2020-15810, CVE-2020-15811, CVE-2020-24606を修正します。
• 悪意ある通信を行うことで，DoSとキャッシュポイゾニングが可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4553-1：Teeworldsのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005662.html
• Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2020-12066を修正します。
• 悪意ある通信を行うことで，DoSが可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4552-1：Pam-pythonのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005663.html
• Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2019-16729を修正します。
• 悪意ある環境変数をセットすることで，root権限で任意のコードを実行することが可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4554-1：libPGFのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005664.html
• Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2015-6673を修正します。
• 悪意ある加工を施したファイルを処理させることで，DoSが可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4547-2：SSVNCのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005665.html
• Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2018-20020, CVE-2018-20021, CVE-2018-20022, CVE-2018-20024を修正します。
• 悪意ある通信を行うことで，DoS・任意のコードの実行が可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4556-1：netqmailのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005666.html
• Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2005-1513, CVE-2005-1514, CVE-2005-1515, CVE-2020-3811, CVE-2020-3812を修正します。
• 悪意ある入力を行うことで，DoS・任意のコードの実行・Eメールアドレスのバリデーションの迂回が可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4558-1：libapreq2のセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005667.html
• Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2019-12412を修正します。
• 悪意あるリクエストを行うことで，DoSが可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4557-1：Tomcatのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005668.html
• Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2016-0762, CVE-2016-5018, CVE-2016-6794, CVE-2016-6796, CVE-2016-6797, CVE-2016-6816, CVE-2016-8735を修正します。
• Tomcat 6.0.45のUbuntuパッケージ版です。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4559-1：Samba update

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005669.html
• Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-1472を修正します。
• 悪意ある通信を行うことで，ドメイン管理者のクレデンシャルを取得することが可能でした（いわゆる「ZeroLogin」攻撃⁠）⁠。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。
• 備考：複数の互換性に影響する変更が加えられています。また，過去にリリースされたデバイスとの互換性を保持するために，マシン単位で「insecureな」ログインを許容するように設定可能です。アドバイザリの情報を参照してください。

usn-4560-1：Gon gemのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005670.html
• Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2020-25739を修正します。
• 悪意ある入力を行うことで，XSSが可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4561-1：Rackのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005671.html
• Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2020-8161, CVE-2020-8184を修正します。
• 悪意ある加工を施したパス情報を引き渡すことで，本来秘匿されるべき情報の取得が可能でした。また，secure cookiesを誤認させることが可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4562-1：kramdownのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005672.html
• Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2020-14001を修正します。
• 悪意ある入力を行うことで，任意のコードの実行・本来読めないファイルの読み取りが可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4563-1：NTPのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005673.html
• Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2019-8936を修正します。
• 悪意ある操作を行うことで，DoSが可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4569-1：Yawsのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005674.html
• Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2020-24379, CVE-2020-24916を修正します。
• 悪意ある加工を施した入力を行うことで，XML External Entitityインジェクションと任意のコードの実行が可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4568-1：Brotliのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005675.html
• Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-8927を修正します。
• 悪意ある入力を行うことでクラッシュの誘発が可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4570-1：urllib3のセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005676.html
• Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-26137を修正します。
• 悪意ある入力を行うことで，CRLFインジェクションが可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。