Ubuntu Weekly Topics
2020年11月13日号 Ubuntu 20.10 日本語 Remixのリリース,「Regression Potential」から「Where problems could occur」への変更
Ubuntu 20. 10 日本語 Remixのリリース
Ubuntu Japanese Teamは,
「Regression Potential」 から 「Where problems could occur」 への変更
Ubuntuでは,
- 注1
- 「一度リリースしたら,
技術的に変えることが妥当ではなくなる場所がある」 という点がスタートポイントです。たとえばリリース後にglibcのバージョンが大きく変更され, 各種関数に互換性がなくなるようなことになると, 大量の動かないパッケージやバイナリが発生してしまうかもしれません。こうした 「変えるべきではない」 箇所を避け, 更新のリスクを局所化するのがSRUポリシーの役割です。こうしたポリシーはUbuntuに限らず, 大抵の 「リリースのある」 Linuxディストリビューションでは近似したものが採用されています。 - 注2
- 現在のSRUポリシーについては2015年10月2日号を参照してください
このプロセスに小さな,
SRUプロセスではこれまで,
- 「Impact」
(あるいは他のより適切な見出し) で始まる, 「バグがどのようなものであるか, ユーザーにどのような影響を与えているか, そしてなぜその修正を取り込む必要があるのか」 を説明するセクション - 「Test Case」
で始まる, きっかけとなったバグを再現する手順を記載するセクション。 - 「Regression Potential」
で始まる, 「この更新によって悪影響が発生する場合, どのような場所で生じる可能性があるか」 の情報を示すセクション。
今回の変更では,
背景としては
「どこで」
その他のニュース
- 各種SoCベースのSBC
(Single Board Computer) やエッジコンピューティングノードでのUbuntuの活用状況について。Ubuntu Core 20 (20. 04 LTSをベースにしたIoT/組み込み向けUbuntu) のリリース前の宣伝という気配はありますが, 最近のLinuxの活用という意味では目を通しておくと良さそうです。 - 間もなくリリースされる,
16. 04 LTSのESMについての検討ガイド。属性的にはどちらかというと 「アップグレードが簡単ではないならESMをどうぞ」 というものではありますが (ESMは基本的には有償で入手するものなので, 「アップグレードが大変である」 「人的コストが無視できない」 といった前提が必要です), 「16. 04 LTSが手元にある」 といった場合には検討を開始するのが良いでしょう。サポート切れまでは半年もありません。
今週のセキュリティアップデート
- usn-4611-1:Sambaのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2020-November/ 005734. html - Ubuntu 20.
10・ 20. 04 LTS・ 18. 04 LTS・ 16. 04 LTS用のアップデータがリリースされています。CVE-2020-14318, CVE-2020-14323, CVE-2020-14383を修正します。 - 悪意ある操作を行うことで,
ファイル名の不正な取得・ DoSが可能でした。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-4605-2:Blueman update
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2020-November/ 005735. html - Ubuntu 20.
10・ 20. 04 LTS用のアップデータがリリースされています。 - usn-4605-1での対応を上書きする形で,
追加の認証を提供します。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-4614-1:GDMのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2020-November/ 005736. html - Ubuntu 20.
10・ 20. 04 LTS・ 18. 04 LTS用のアップデータがリリースされています。CVE-2020-16125を修正します。 - accountserviceデーモンが正常動作していない場合,
誤ってイニシャルセットアップが実行されていました。悪用により特権の奪取が可能です。 - 対処方法:アップデータを適用の上,
システムを再起動してください。
- https://
- usn-4616-1:AccountsServiceのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2020-November/ 005737. html - Ubuntu 20.
10・ 20. 04 LTS・ 18. 04 LTS・ 16. 04 LTS用のアップデータがリリースされています。CVE-2018-14036, CVE-2020-16126, CVE-2020-16127を修正します。 - 悪意ある操作を行うことで,
DoS・ 任意のファイルの読み取りが可能でした。 - 対処方法:アップデータを適用の上,
システムを再起動してください。
- https://
- usn-4613-1:python-cryptographyのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2020-November/ 005738. html - Ubuntu 20.
10・ 20. 04 LTS・ 18. 04 LTS・ 16. 04 LTS用のアップデータがリリースされています。CVE-2020-25659を修正します。 - 特定の暗号系においてBleichenbacher攻撃が可能でした。
- 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-4615-1:Yerase's TNEFのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2020-November/ 005739. html - Ubuntu 16.
04 LTS用のアップデータがリリースされています。CVE-2017-6298, CVE-2017-6299, CVE-2017-6300, CVE-2017-6301, CVE-2017-6302, CVE-2017-6303, CVE-2017-6304, CVE-2017-6305, CVE-2017-6306, CVE-2017-6800, CVE-2017-6801, CVE-2017-6802を修正します。 - 悪意ある操作を行うことで,
nullポインタ参照・ 無限ループ・ バッファオーバーフロー・ 境界外read・ ディレクトリトラバーサル等が可能でした。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-4617-1:SPICE vdagentのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2020-November/ 005740. html - Ubuntu 20.
10・ 20. 04 LTS・ 18. 04 LTS用のアップデータがリリースされています。CVE-2020-25650, CVE-2020-25651, CVE-2020-25652, CVE-2020-25653を修正します。 - 悪意ある操作を行うことで,
DoSが可能でした。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-4616-2:AccountsServiceのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2020-November/ 005741. html - Ubuntu 14.
04 ESM用のアップデータがリリースされています。CVE-2018-14036, CVE-2020-16126を修正します。 - usn-4616-1の14.
04 ESM用パッケージです。 - 対処方法:アップデータを適用の上,
システムを再起動してください。
- https://
- usn-4618-1:tmuxのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2020-November/ 005742. html - Ubuntu 20.
10・ 20. 04 LTS用のアップデータがリリースされています。CVE-2020-27347を修正します。 - 悪意ある入力を行うことで,
DoS・ 任意のコードの実行が可能でした。 - 対処方法:アップデータを適用の上,
tmuxセッションを再起動してください。
- https://
- usn-4619-1:dom4jのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2020-November/ 005743. html - Ubuntu 16.
04 LTS用のアップデータがリリースされています。CVE-2018-1000632を修正します。 - 悪意ある入力を行うことで,
DoS・ 任意のコードの実行が可能でした。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-4599-3:Firefoxの再アップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2020-November/ 005744. html - Ubuntu 20.
10・ 20. 04 LTS・ 18. 04 LTS・ 16. 04 LTS用のアップデータがリリースされています。 - Firefox 82.
0.2のUbuntuパッケージ版です。 - 対処方法:アップデータを適用の上,
Firefoxを再起動してください。
- https://
- usn-4620-1:phpLDAPadminのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2020-November/ 005745. html - Ubuntu 18.
04 LTS用のアップデータがリリースされています。CVE-2017-11107を修正します。 - 悪意ある操作を行うことで,
DoS・ 任意のコードの実行が潜在的に可能でした。 - 対処方法:アップデータを適用の上,
phpLDAPadminを再起動してください。
- https://
- usn-4621-1:netqmailのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2020-November/ 005746. html - Ubuntu 18.
04 LTS・ 16. 04 LTS用のアップデータがリリースされています。CVE-2005-1513, CVE-2005-1514, CVE-2005-1515, CVE-2020-3811, CVE-2020-3812を修正します。 - 悪意ある操作を行うことで,
DoS・ 任意のコードの実行・ Eメールアドレス検証の迂回が可能でした。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-4622-1:OpenLDAPのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2020-November/ 005747. html - Ubuntu 20.
10・ 20. 04 LTS・ 18. 04 LTS・ 16. 04 LTS用のアップデータがリリースされています。CVE-2020-25692を修正します。 - 悪意ある操作を行うことで,
DoS・ 任意のコードの実行が潜在的に可能でした。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-4623-1:Pacemakerのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2020-November/ 005748. html - Ubuntu 20.
10・ 20. 04 LTS・ 18. 04 LTS・ 16. 04 LTS用のアップデータがリリースされています。CVE-2020-25654を修正します。 - 悪意ある操作を行うことで,
ACLの迂回・ 特権の奪取が可能でした。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
バックナンバー
Ubuntu Weekly Topics
- 2020年11月20日号 Meltdown/Spectre/Foreshadowの後の世界・“PLATYPUS”
- 2020年11月13日号 Ubuntu 20.10 日本語 Remixのリリース,「Regression Potential」から「Where problems could occur」への変更
- 2020年11月6日号 hirsuteの開発/UsrMergeの今後,Rasberry Pi 400