Ubuntu 21.04 “Hirsute Hippo”の開発

Groovy（20.10）のリリースから数日，「⁠次」（⁠＝「H」で始まるなにか）のUbuntuの開発がスタートしました。distro-info-dataパッケージに含まれる情報や，開発のためのポケットの解放アナウンス，そしてwiki上の記載によると，コードネームは“⁠Hirsute Hippo⁠”⁠，『⁠毛むくじゃらのカバ』（⁠注1）となります。

開発のスタートから2時間ほどでおもむろにPython3のデフォルトを3.9に切り替えるための準備がスタートしたり，よく考えてみればまだGroovyのOpenStackがリリース版になっていないことなど，いつものように若干の混乱から滑り出す展開になっています。現状ではまだ仮のリリーススケジュールが定義され，行うべきことが整理されていく段階です（注2⁠）⁠。

注1

ちなみにカバは体のごく一部にしか毛が生えていないはずで，果たして毛むくじゃらのカバというのは一体どんな生命体なのか，という疑問が沸いたりします。

注2

例によって，「⁠リリースの一ヶ月前にセットされている『llvm-12 by default』という危険そうな文字列」といった，波乱を予感させる要素がいくつか見え隠れしていますが，すでに「開発スタートと同時に放り込まれたPython 3.9」という状態でもあり，「⁠まあ，いつもの」という位置づけになるのではないかと思われます。

Microsoft Edge preview builds for Linux

LinuxにMicrosoft Edgeがやってきました。Chromiumをベースにした「新しいMicrosoft Edge」のLinux版のpreview buildsの提供が開始されています。

対応ディストリビューションはUbuntu，Debian，Fedora，openSUSEで，『⁠Microsoftの』Linux Software Repository（注3）から，もしくはEdgfe Insider channelから入手できます。どちらかというと「開発者がEdgeでの動作を確認するためのもの」という位置づけであると見られますが，Ubuntu上でWebサイト開発を行ったりするケースでは覚えておくと良さそうです。

注3

ドキュメントに記載があるのは16.04・18.04・20.04とLTSだけですが，リポジトリ側には各リリースが準備されています（さすがに21.04はまだですが⁠）⁠。

今週のセキュリティアップデート

usn-4590-1：Collabtiveのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005701.html
• Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2015-0258を修正します。
• 悪意ある加工を施した画像をアップロードすることで，任意のコードの実行が可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4591-1：Linux kernelのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005702.html
• Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-12351, CVE-2020-12352を修正します。
• 対処方法：アップデータを適用の上，システムを再起動してください。
• 備考：ABIの変更を伴いますので，カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため，通常はそのままアップデートの適用を行えば対応できます。

usn-4592-1：Linux kernelのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005703.html
• Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2020-12351, CVE-2020-12352, CVE-2020-24490を修正します。
• 対処方法：アップデータを適用の上，システムを再起動してください。
• 備考：ABIの変更を伴いますので，カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため，通常はそのままアップデートの適用を行えば対応できます。

usn-4593-1, usn-4593-2：FreeTypeのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005704.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005716.html
• Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS・14.04 ESM用のアップデータがリリースされています。CVE-2020-15999を修正します。
• 悪意ある加工を施したフォントファイルを処理させることで，任意の実行が可能でした。
• 対処方法：アップデータを適用の上，セッションを再起動（一度ログアウトして再度ログイン）してください。

usn-4594-1：Quasselのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005705.html
• Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2018-1000178, CVE-2018-1000179を修正します。
• 悪意ある入力を行うことで，任意のコードの実行が可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4595-1：Gruntのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005706.html
• Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2020-7729を修正します。
• 悪意ある加工を施したYAMLファイルを処理させることで，任意のコードの実行が可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4596-1：Tomcatのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005707.html
• Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2020-11996, CVE-2020-13934, CVE-2020-13935, CVE-2020-9484を修正します。
• CPUOct2020に対応するTomcatパッケージです。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4588-1：FlightGearのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005708.html
• Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2016-9956を修正します。
• 悪意ある入力を行うことで，任意のコードの実行が可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4586-1：PHP ImageMagickのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005709.html
• Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2019-11037を修正します。
• 悪意ある操作を行うことで，DoSが可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4587-1：iTALCのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005710.html
• Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2014-6051, CVE-2014-6052, CVE-2014-6053, CVE-2014-6054, CVE-2014-6055, CVE-2016-9941, CVE-2016-9942, CVE-2018-15127, CVE-2018-20019, CVE-2018-20020, CVE-2018-20021, CVE-2018-20022, CVE-2018-20023, CVE-2018-20024, CVE-2018-20748, CVE-2018-20749, CVE-2018-20750, CVE-2018-7225, CVE-2019-15681を修正します。
• ネットワーク経由で悪意ある入力を行うことで，任意のコードの実行・DoSが可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4597-1：mod_auth_mellonのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005711.html
• Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2017-6807, CVE-2019-3877, CVE-2019-3878を修正します。
• XSS・不正なリダイレクトの誘発が可能でした。また，悪意ある入力を行うことで，本来秘匿されるべき情報へのアクセスが可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4598-1：LibEtPanのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005712.html
• Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2020-15953を修正します。
• STARTTLSしたセッションに対してレスポンスの挿入が可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4600-1：Nettyのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005713.html
• Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2019-16869, CVE-2019-20444, CVE-2019-20445, CVE-2020-7238を修正します。
• HTTP request smuggling攻撃が可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4601-1：pipのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005714.html
• Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2019-20916を修正します。
• 悪意あるファイル名を含むパッケージを展開することで，root権限の奪取が可能な形でのファイルシステムの上書きが可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4599-1, usn-4599-2：Firefoxのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005715.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005720.html
• Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-15254, CVE-2020-15680, CVE-2020-15681, CVE-2020-15682, CVE-2020-15683, CVE-2020-15684, CVE-2020-15969を修正します。
• Firefox 82.0のUbuntuパッケージ版です。
• 対処方法：アップデータを適用の上，Firefoxを再起動してください。

usn-4602-1：Perlのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005718.html
• Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-10543, CVE-2020-10878, CVE-2020-12723を修正します。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。

usn-4552-2：Pam-pythonのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-October/005719.html
• Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2019-16729を修正します。
• ローカルユーザーによる権限昇格が可能でした。
• 対処方法：通常の場合，アップデータを適用することで問題を解決できます。