gihyo.jpサイトのロゴ

Ubuntu Weekly Topics

2020年10月23日号Ubuntu 20.10 “Groovy Gorilla”リリース

2020-10-23

Ubuntu 20.10 “Groovy Gorilla”のリリース

2020年10月22日(現地時間⁠⁠、Ubuntu 20.10 ⁠Groovy Gorilla⁠(グルービーなゴリラ)リリースされました。AMD Zen 3やUSB 4、POWER10といった新しいハードウェアに対応する最初のUbuntuとなります[1]⁠。

20.04 LTSを使っている場合、⁠アップグレードする」もしくは「LTSに留まる」という選択を行うタイミングでもあります。

アップグレードすると、多くの場合は6ヶ月+α、限界まで先延ばしにしても9ヶ月で次のリリースに更新していく必要が生まれます。これを少なくとも、20.10 -> 21.04 -> 21.10 -> 22.04 LTSと「次のLTS」に辿り着くまでは継続的に更新していく必要があり、用途によっては不適な可能性もあるでしょう。ハードウェア面での互換性の確保という観点ではHWEカーネルを利用すれば良いので、どちらかというとユーザーランドの面での変化[2]や、許容できるアップグレード回数を検討することになります。

もちろんアップグレード時には、現状の環境のバックアップ(もしくは「捨ててもいい状態にすること⁠⁠)と、リリースノート[3]を読んでおくことをお忘れなく。

今週のセキュリティアップデート

usn-4575-1:dom4jのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005686.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2020-10683を修正します。
  • 悪意ある加工を施したXMLファイルを処理させることで、本来秘匿されるべき情報へのアクセス・任意のコードの実行が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-4576-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005687.html
  • Ubuntu 20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2020-14314, CVE-2020-14385, CVE-2020-16119, CVE-2020-16120, CVE-2020-25285, CVE-2020-25641を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-4577-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005688.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2020-16119, CVE-2020-16120を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-4578-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005689.html
  • Ubuntu 18.04 LTS・16.04 LTS・14.04 ESM用のアップデータがリリースされています。CVE-2018-10322, CVE-2019-19448, CVE-2020-14314, CVE-2020-16119, CVE-2020-16120, CVE-2020-25212, CVE-2020-26088を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-4579-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005690.html
  • Ubuntu 16.04 LTS・14.04 ESM用のアップデータがリリースされています。CVE-2018-10322, CVE-2020-14314, CVE-2020-16119, CVE-2020-25285を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-4580-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005691.html
  • Ubuntu 14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2020-16119を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-4581-1:Pythonのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005692.html
  • Ubuntu 18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2020-26116を修正します。
  • 悪意ある加工を施したリクエストを処理させることで、CRLFインジェクションが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-4582-1:Vimのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005693.html
  • Ubuntu 18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2017-17087, CVE-2019-20807を修正します。
  • .swpファイルのパーミッションが適切にセットされておらず、他のユーザーがファイルを閲覧することが可能でした。また、restricted modeによるアクセス制御が適切にセットされておらず、迂回が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
  • 備考:このアップデートではシェルアクセスの制約を行うだけで、各種Vimコマンドの実行は制約しません。
usn-4583-1:PHPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005695.html
  • Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2020-7069, CVE-2020-7070を修正します。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-4589-1:containerdのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005696.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2020-15157を修正します。
  • コンテナイメージのmanifestに含まれる秘匿されるべき情報を読み取ることが可能でした。
  • 対処方法:アップデータを適用の上、containerd上のコンテナを再起動してくだしあ。
usn-4589-2:Dockerのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005697.html
  • Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-15157を修正します。
  • コンテナイメージのmanifestに含まれる秘匿されるべき情報を読み取ることが可能でした。
  • 対処方法:アップデータを適用の上、Dockerを再起動してください。
usn-4585-1:Newsbeuterのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005698.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2017-12904, CVE-2017-14500を修正します。
  • 悪意ある入力を行うことで、期待と異なるコードを実行することが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-4584-1:HtmlUnitのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005699.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2020-5529を修正します。
  • 悪意ある操作を行うことで、任意のJavaコードを実行することが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-4546-2:Firefoxの再アップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005700.html
  • Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。
  • Firefox 81.0.2のUbuntuパッケージ版です。
  • 対処方法:アップデータを適用の上、Firefoxを再起動してください。

おすすめ記事

記事・ニュース一覧