Ubuntu Weekly Topics

2020年10月9日号 GroovyのBetaとKernel Freeze,NVIDIA EGX API Platform

この記事を読むのに必要な時間:およそ 4 分

GroovyのBetaとKernel Freeze

Groovyのベータがリリースされ最後のテストフェーズが開始されました。あわせてKernel Freezeも行われており注1⁠,以降の修正は原則としてリリース後に持ち越されることになります注2⁠。

各種フレーバーでもベータリリースが行われ(たとえばKubuntuUbuntu StudioLubuntu⁠,テスト要請が出されています。

また,Groovyのテーマ動物であるゴリラをテーマにした新しい壁紙も登場しており,モニタの色調整にもよるものの,そこそこインパクトに満ちた絵面を確認できるようになっています。Ubuntu 20.10 ⁠Groovy Gorilla⁠は,10月22日にリリース予定です。

注1
関係者がそろそろ疲れてくる頃合いでもあり,ちょっとした間違い(FocalのときのKernel Freezeアナウンスを転用しようとして,⁠Groovy」に書き換え忘れたままリリース)が生まれていたりはします。
注2
たいていはリリース後に持ち越しになるのですが,llvm-defaultの切り替えがまだ未実施で残っていたり,+1 Maintenance Reportにかなりの分量の変更が記載されていたりと,⁠QAだけ」とは言い切れない状態が継続しています。そこまで大きなインパクトはないと予想はされるものの,まだまだ落ち着かない空気が続くことになりそうです。ちなみにリリースまでに解決されるべきバグは10月8日のJST夜時点で24個がリストされており(ただしこの数字には解決済みを含む⁠⁠,うち8つほどがMIRMain Inclusion Request⁠,そしてFFeもちらほら,なかにはAppArmorの3系への切り替えといったものも混じっている,というような状態となっています。

その他のニュース

今週のセキュリティアップデート

usn-3968-3:Sudoのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005656.html
  • Ubuntu 14.04 ESM用のアップデータがリリースされています。CVE-2016-7032, CVE-2016-7076を修正します。
  • usn-3968-1のUbuntu 14.04 ESM向けパッケージです。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4549-1:ImageMagickのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005657.html
  • Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2019-19948, CVE-2019-19949を修正します。
  • 悪意ある加工を施したファイルを処理させることで,少なくともDoSが可能でした。
usn-4548-1:libuvのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005658.html
  • Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2020-8252を修正します。
  • 特定のパスを入力に用いることで,任意のコードの実行・DoSが可能でした。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-4547-1:iTALCのセキュリティアップデート
usn-4550-1:DPDKのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005660.html
  • Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2020-14374, CVE-2020-14375, CVE-2020-14376, CVE-2020-14377, CVE-2020-14378を修正します。
  • DPDKが利用するvhost cryptoがの扱いが正しくないため,暗号系を破ることが可能でした。任意のコードの実行・DoS・本来秘匿されるべき情報の漏出が可能です。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4551-1:Squidのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005661.html
  • Ubuntu 18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-15049, CVE-2020-15810, CVE-2020-15811, CVE-2020-24606を修正します。
  • 悪意ある通信を行うことで,DoSとキャッシュポイゾニングが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4553-1:Teeworldsのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005662.html
  • Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2020-12066を修正します。
  • 悪意ある通信を行うことで,DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4552-1:Pam-pythonのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005663.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2019-16729を修正します。
  • 悪意ある環境変数をセットすることで,root権限で任意のコードを実行することが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4554-1:libPGFのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005664.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2015-6673を修正します。
  • 悪意ある加工を施したファイルを処理させることで,DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4547-2:SSVNCのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005665.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2018-20020, CVE-2018-20021, CVE-2018-20022, CVE-2018-20024を修正します。
  • 悪意ある通信を行うことで,DoS・任意のコードの実行が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4556-1:netqmailのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005666.html
  • Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2005-1513, CVE-2005-1514, CVE-2005-1515, CVE-2020-3811, CVE-2020-3812を修正します。
  • 悪意ある入力を行うことで,DoS・任意のコードの実行・Eメールアドレスのバリデーションの迂回が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4558-1:libapreq2のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005667.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2019-12412を修正します。
  • 悪意あるリクエストを行うことで,DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4557-1:Tomcatのセキュリティアップデート
usn-4559-1:Samba update
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005669.html
  • Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-1472を修正します。
  • 悪意ある通信を行うことで,ドメイン管理者のクレデンシャルを取得することが可能でした(いわゆる「ZeroLogin」攻撃⁠⁠。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
  • 備考:複数の互換性に影響する変更が加えられています。また,過去にリリースされたデバイスとの互換性を保持するために,マシン単位で「insecureな」ログインを許容するように設定可能です。アドバイザリの情報を参照してください。
usn-4560-1:Gon gemのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005670.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2020-25739を修正します。
  • 悪意ある入力を行うことで,XSSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4561-1:Rackのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005671.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2020-8161, CVE-2020-8184を修正します。
  • 悪意ある加工を施したパス情報を引き渡すことで,本来秘匿されるべき情報の取得が可能でした。また,secure cookiesを誤認させることが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4562-1:kramdownのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-September/005672.html
  • Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2020-14001を修正します。
  • 悪意ある入力を行うことで,任意のコードの実行・本来読めないファイルの読み取りが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4563-1:NTPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005673.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2019-8936を修正します。
  • 悪意ある操作を行うことで,DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4569-1:Yawsのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005674.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2020-24379, CVE-2020-24916を修正します。
  • 悪意ある加工を施した入力を行うことで,XML External Entitityインジェクションと任意のコードの実行が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4568-1:Brotliのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005675.html
  • Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-8927を修正します。
  • 悪意ある入力を行うことでクラッシュの誘発が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4570-1:urllib3のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005676.html
  • Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-26137を修正します。
  • 悪意ある入力を行うことで,CRLFインジェクションが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。