Ubuntu Weekly Topics

2020年12月4日号 ホームディレクトリのパーミッション変更

この記事を読むのに必要な時間:およそ 5 分

ホームディレクトリのパーミッション変更

Ubuntuのホームディレクトリは,伝統的な理由でworld-readable(755,全ユーザーから読み取り可能)された状態で作成されていました。これについて,現在の使われ方を考慮して,user/group readableな状態(750)で提供するべきではないか,という提案が行われています

この提案では,14年前,6.06 LTSのリリース前から議論が行われていたことそして「当時は妥当だったものの,現代では複数ユーザーが同一のマシンを共有するシナリオは少なく,もしユーザーアカウントが奪われたときに,sudo可能な管理者アカウントへの侵害の手がかりとして使われてしまう。結果として,これは便利さよりもfootgun注1トラップとして機能する」ことが主張されています。

現状として,⁠world-unreadableな状態に管理者が設定を変更できるが,デフォルト設定を変更してしまうことがより望ましい』⁠今なら次のLTSまでに十分な時間があり,問題を洗い出すタイミングとしては適切であること』⁠既存のインストール環境には影響がないこと』⁠開発版での変更ではテストとしては十分ではなく,実際にリリースしてフィールドテストすることでしか影響を把握する方法がないこと』⁠必要であれば任意に元の挙動に戻すこと』が示されており,少なくとも今のところ,強い反対は示されていない,という状態です。

hirsuteはどうやら,いろいろな変化がもたらされるリリースになりそうです注2⁠。

注1
footgunは「自爆する」⁠自分から墓穴を掘る」といったニュアンスの単語です。
注2
LTSで実験的,あるいは大きな変化をもたらす変更は避けられる傾向があるため,LTSの前後のリリースは「次のLTSの前に実験するため」⁠LTSで保留した変更を取り込むため」といった理由で,⁠やんちゃな」機能が投入されがちです。

その他のニュース

  • hirsuteの開発中にqemu-system-guiで起きた悲しい事故へのワークアラウンド。開発中にはしばしば起きる「突然パッケージが機能しなくなる」パターンですが,テストに使われることが多いQEMUで起きたので若干悲鳴の数が多かった可能性があります。現在は修正済みなので,大きな問題はないはずです。ちなみにその横ではusn-4646-1によりpopplerも壊れていたりしました(こちらはリリース版での問題なのでより影響が大きいことに注意してください⁠⁠。
  • 非常に性能が高いことで話題のM1搭載Macで,仮想化されたUbuntuが無事に動作したという話題。ダイレクトに動くわけではないものの,⁠少なくとも動く」というレベルでは問題なさそうです。
  • 20.10から提供が行われていない,miniboot.iso(ネットワークブート用のミニマムイメージ)の必要性についてのアンケート。どのような用途に使っていたのか,どういう必要性があったのか,といった点について意見が求められています(公式なものではないので,これに答えたからといって復活するようなものではなく,また,復活させるには様々な技術的課題をクリアする必要があるため,そこまで簡単は話ではありません⁠⁠。

今週のセキュリティアップデート

usn-4633-1:PostgreSQLのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005762.html
  • Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-25694, CVE-2020-25695, CVE-2020-25696を修正します。
  • 認証済みのユーザーが任意のコード・SQL文を実行することが可能でした。
  • 対処方法:アップデータを適用の上,PostgreSQLを再起動してください。
usn-4634-1,usn-4634-2:OpenLDAPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005763.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005770.html
  • Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS・14.04 ESM用のアップデータがリリースされています。CVE-2020-25709, CVE-2020-25710を修正します。
  • 悪意ある入力を行うことで,DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4635-1:Kerberosのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005764.html
  • Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2020-28196を修正します。
  • 悪意ある入力を行うことで,DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4636-1:LibVNCServer, Vinoのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005765.html
  • Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-25708を修正します。
  • 悪意ある入力を行うことで,DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4637-1,usn-4637-2:Firefoxのセキュリティアップデート
usn-4638-1:c-aresのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005767.html
  • Ubuntu 20.10用のアップデータがリリースされています。CVE-2020-8277を修正します。
  • 悪意ある入力を行うことで,DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4639-1:phpMyAdminのセキュリティアップデート
usn-4640-1:PulseAudioのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005771.html
  • Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-16123を修正します。
  • 悪意ある操作を行うことで,本来秘匿されるべき情報へのアクセスが可能でした。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-4641-1:libextractorのセキュリティアップデート
usn-4642-1:PDFResurrectのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005773.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2020-9549を修正します。
  • 悪意ある加工を施したファイルを処理させることで,メモリ破壊を伴うDoSが可能でした。任意のコードの実行に繋がる疑いがあります。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4643-1:atftpのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005774.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2019-11365, CVE-2019-11366を修正します。
  • 悪意ある入力を行うことで,DoS・任意のコードの実行が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4644-1:igraphのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005775.html
  • Ubuntu 18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2018-20349を修正します。
  • 悪意ある入力を行うことで,DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4645-1:Muttのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005776.html
  • Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS・12.04 ESM用のアップデータがリリースされています。CVE-2020-28896を修正します。
  • 特定の条件下で,本来秘匿されるべき情報が漏出することがありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4646-1, usn-4646-2:popplerのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005777.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005781.html
  • Ubuntu 18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2018-21009, CVE-2019-10871, CVE-2019-13283, CVE-2019-9959, CVE-2020-27778を修正します。
  • 悪意ある加工を施したファイルを処理させることで,DoSが可能です。
  • 備考:usn-4646-1で発見された問題を解決するため,一時的に更新版の提供が保留されています。usn-4646-2は問題解決のまでの間,以前と同じパッケージを提供するための仮の更新です。
usn-4647-1:Thunderbirdのセキュリティアップデート
usn-4648-1:WebKitGTKのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005779.html
  • Ubuntu 20.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2020-13753, CVE-2020-9948, CVE-2020-9951, CVE-2020-9952, CVE-2020-9983を修正します。
  • 対処方法:アップデータを適用の上,WebKitGTKを利用しているソフトウェアを再起動してください。
usn-4649-1:xdg-utilsのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005780.html
  • Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-27748を修正します。
  • 悪意ある加工を施したURIを処理させることで,本来秘匿されるべき情報が漏出することがありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4382-2:FreeRDPのセキュリティアップデート
usn-4650-1:QEMUのセキュリティアップデート
usn-4651-1:MySQLのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005784.html
  • Ubuntu 20.04 LTS用のアップデータがリリースされています。LP#1857584を修正します。
  • 本来の想定と異なり,MySQL X Pluginがlocalhost以外の接続に対しても有効になっていました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4652-1:SniffItのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005785.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2014-5439を修正します。
  • 悪意ある設定ファイルを処理させることで,任意のコードの実行が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4653-1:containerdのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-November/005786.html
  • Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-15257を修正します。
  • 一定の条件下で,Unixドメインソケット経由ではない接続を許容してしまっていました。これにより,期待したものよりも高い権限でコンテナを実行することが可能でした。
  • 対処方法:アップデータを適用の上,containerdを再起動してください。

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。