Ubuntu Weekly Topics

2021年3月5日号 hirsuteの開発:Feature Freeze以降の進展,BootHole 2021年版

この記事を読むのに必要な時間:およそ 4 分

hirsuteの開発:Feature Freeze以降の進展

hirsuteの開発はFeature Freezeを越えて,⁠安定に向けた作業」「例外的な機能の追加」⁠=FFe:Feature Freeze Exceptionに注力する時期になりました。……しかしながら,リリースぎりぎりまで開発が進められた新機能が突然投入されることもUbuntuの開発のお約束なので,まだまだ油断ができる時期ではありません。実際,開発レポートの現状では大量の新パッケージが投入され続けています。

このようなタイミングでLVMのバグ(LP#1915579)を踏み抜いてマシンを起動不能にしたり注1⁠,あるいは古代に埋め込まれた奇妙な暗黙の依存が発見されたりといった小さな発見が乱立しており,⁠安定させる」「安定する」の間の距離に思いをはせるにはいい時期です。

お約束ではありますが,開発版を日常環境に利用するのは適切なバックアップ戦術を準備でき,また,リカバリのための時間が取れる時だけにしましょう。

注1
……なんとなく特定の開発者が問題を踏み続けているように見えますが,ある種のパウリ効果(=受け取る側の心理的な閾値の問題)だと思われます。たぶん。

BootHole 2021年版

BootHole(GRUB2の脆弱性によりSecureBootを迂回できる問題)の再来,2021年版BootHoleについての情報が公開されています注2⁠。

対応は前回と基本的には同様で,⁠そもそも対応が必要なのかどうかの確認」⁠GRUBそのものの更新」⁠dbxの更新」という手順を踏めば問題ありません。ナレッジベースを確認しながら対応を行ってください。

注2
指輪物語とホビットの冒険ネタに満ちているため,翻訳しようとすると「一つのGRUB2はすべてを統べ」などとやけに気を使う必要がある上,⁠どの訳を底本にすればいいんだ……」⁠これはミススペルかそれとも⁠いとしいしと⁠的なネタか,さあどっちだ」といった要らぬ戦いに身を投じる必要があります。

今週のセキュリティアップデート

usn-4745-1:OpenSSLのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005904.html
  • Ubuntu 14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2020-1971, CVE-2021-23841を修正します。
  • 悪意ある操作を行うことで,DoSが可能でした。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-4698-2:Dnsmasqの再アップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005905.html
  • Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。
  • usn-4698-1において,一部のクエリが正常に処理されない状態が発生LP#1916462していました。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-4746-1:xtermのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005906.html
  • Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2021-27135を修正します。
  • 悪意あるキャラクターシーケンスを入力することで,メモリ破壊を伴うクラッシュを誘発することが可能でした。理論的な任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4747-1, usn-4747-2:GNU Screenのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005907.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005908.html
  • Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS・14.04 ESM用のアップデータがリリースされています。CVE-2021-26937を修正します。
  • 悪意あるキャラクターシーケンスを入力することで,メモリ破壊を伴うクラッシュを誘発することが可能でした。理論的な任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4748-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005909.html
  • Ubuntu 16.04 LTS・14.04 ESM用のアップデータがリリースされています。CVE-2020-27815, CVE-2020-29374, CVE-2020-29568, CVE-2020-29660, CVE-2020-29661を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-4749-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005910.html
  • Ubuntu 18.04 LTS・16.04 LTS・14.04 ESM用のアップデータがリリースされています。CVE-2020-25669, CVE-2020-27815, CVE-2020-27830, CVE-2020-28941, CVE-2020-29374, CVE-2020-29568, CVE-2020-29569, CVE-2020-29660, CVE-2020-29661を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-4750-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005911.html
  • Ubuntu 20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2020-25669, CVE-2020-27815, CVE-2020-27830, CVE-2020-28588, CVE-2020-28941, CVE-2020-29568, CVE-2020-29569, CVE-2020-29660, CVE-2020-29661, CVE-2021-20177を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-4751-1:Linux kernelのセキュリティアップデート
usn-4752-1:Linux kernel (OEM)のセキュリティアップデート
usn-4753-1:Linux kernel (OEM)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005914.html
  • Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2020-28374, CVE-2021-3178を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-4755-1:LibTIFFのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005915.html
  • Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-35523, CVE-2020-35524を修正します。
  • 悪意ある入力を行うことで,メモリ破壊を伴うクラッシュを誘発することが可能でした。理論的な任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4754-1, usn-4754-2:Pythonのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005916.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-February/005917.html
  • Ubuntu 20.10・20.04 LTS・18.04 LTS・16.04 LTS・14.04 ESM用のアップデータがリリースされています。CVE-2020-27619, CVE-2021-3177を修正します。
  • 悪意ある入力を行うことで,メモリ破壊を伴うクラッシュを誘発することが可能でした。理論的な任意のコードの実行・DoSが可能でした。
  • 備考:現時点ではこの脆弱性への対応によってLP#1916893が生じているため,usn-4754-2でオリジナルへの一時的な巻き戻しが行われています。
usn-4737-2:Bindのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-March/005918.html
  • Ubuntu 14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2020-8625を修正します。
  • usn-4737-1のESM向けパッケージです。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。