Ubuntu Weekly Topics

2021年6月11日号 impishの開発・OpenLDAPのトランジション,Meltdown/Spectre/Foreshadow後の世界/EIBRSの更新

この記事を読むのに必要な時間:およそ 4.5 分

impishの開発・OpenLDAPのトランジション

impishの開発において,PHP 8.0のトランジション注1に続いて,OpenLDAP 2.5への変更が開始されています。

こちらはPHP 8.0の場合と異なり,⁠変化そのものによって多大な互換性問題が起きる」というよりは,⁠パッケージのビルドに少し問題が起きる」⁠ビルド周りの調整だけでたいてい問題はなく,PHPのケースのように大幅な書き直しが必要というわけではない)という属性のものです。基本的には開発者にだけ影響するものではあるものの,OpenLDAPに依存するようなワークロードが存在する場合は少しだけ気にしておくべきかもしれません。

注1
ちなみにPHP 8.0への更新は,⁠本体の次に周辺ライブラリの更新」といういろいろな食い違いを解決していく(=現状では様々なパッケージがうまく動作しない)フェーズに突入しています。開発途中でもっとも「楽しい」ものの,実用性を求めるとなかなかに厳しい時期です。とはいえ,⁠Ubuntu上でPHPを使っている」場合には,そろそろテストを始めておかないと,問題を見つけた頃には手遅れだった,という状態になる可能性もあります。

Meltdown/Spectre/Foreshadow後の世界・EIBRSの更新

大きな出来事である,と言えるものではありませんが,⁠いつものように』Intel製プロセッサの新しい脆弱性が公表されました。以前は業界を揺るがす大きな出来事であったプロセッサの脆弱性の公表も,年二回の恒例行事に変化しつつあります。

今回はカーネル側の対処ではなく,主にマイクロコードの更新が主体となります。ポイントとしては,Spectre対策として提供されているEIBRSに起因するエンバグに近い脆弱性CVE-2020-24511への対処が含まれていることで,⁠プロセッサには脆弱性が発見されることがある」⁠発見された脆弱性はマイクロコードでパッチされる」⁠パッチされたがうまく動かないことがある」⁠さらに問題が起きることがある」⁠今回発見されたのはここ)と,なかなかにハードな展開となっています。

もっとも,ユーザーが行うべきは「マイクロコードを更新するパッチをダウンロードして適用する(場合によっては再起動が必要⁠⁠」というだけで,特に今回特有の新しい要素はありません注2⁠。

注2
Intel製プロセッサのマイクロコードの更新は大きく二つの方法があります。一つはマザーボード側に更新されたマイクロコードを導入し(いわゆる「ファームウェアの更新」⁠BIOSの更新(UEFIの更新⁠⁠」と呼ばれる作業です⁠⁠,それをシステム起動時に読み込ませる方法,もう一つはOS側に新しいマイクロコードを保持し,OSの起動時に動的ロードする方法です(Ubuntu的に配布しているintel-microcodeパッケージのアップデートはこちらに当たります⁠⁠。いずれの方法でも,マイクロコードの更新はシステムの電源が切れるまで有効になります。プロセッサの脆弱性は時にマイクロコードの更新単独では機能せず,OS側(カーネル側)にも一定の更新を必要とする場合もあります。そうなると「特定の組み合わせを満たす」というアップデート作業が必要になって厄介なのですが,今回のケースでは「マイクロコードの更新だけでOK」という形となります。

その他のニュース

今週のセキュリティアップデート

usn-4970-1:GUPnPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006048.html
  • Ubuntu 21.04・20.10・20.04 LTS用のアップデータがリリースされています。CVE-2021-33516を修正します。
  • 悪意あるWebサイトからUPnP的な操作を行うことが可能でした。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-4971-1:libwebpのセキュリティアップデート
usn-4972-1:PostgreSQLのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006050.html
  • Ubuntu 21.04・20.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-32027, CVE-2021-32028, CVE-2021-32029を修正します。
  • PostgreSQL 13.3・12.7・10.17のUbuntuパッケージ版です。
  • 対処方法:アップデータを適用の上,PostgreSQLを再起動してください。
usn-4973-1:Pythonのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006051.html
  • Ubuntu 20.10・20.04 LTS用のアップデータがリリースされています。CVE-2021-29921を修正します。
  • 八進数ベースのIPアドレス表記の扱いが正しくないため,アクセス制御の迂回他,さまざまな悪用が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4974-1:Lassoのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006052.html
  • Ubuntu 21.04・20.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-28091を修正します。
  • SAML応答署名確認が不十分なため,アクセス制御の迂回となりすましが可能でした。
  • 対処方法:アップデータを適用の上,Lassoを利用するアプリケーションを再起動してください。
usn-4975-1:Djangoのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006053.html
  • Ubuntu 21.04・20.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-32052, CVE-2021-33203, CVE-2021-33571を修正します。
  • 悪意ある入力を行うことで,ヘッダインジェクション・任意のファイルの上書き・アクセス制御の迂回が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-4976-1:Dnsmasqのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006054.html
  • Ubuntu 21.04・20.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-3448を修正します。
  • 特定の設定において,ポートのランダム化が適切に行われておらず,DNSキャッシュポイゾニングが可能な場合がありました。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-4977-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006055.html
  • Ubuntu 21.04用のアップデータがリリースされています。CVE-2020-25670, CVE-2020-25671, CVE-2020-25672, CVE-2020-25673, CVE-2021-29155, CVE-2021-3501を修正します。
  • 対処方法:アップーデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-4978-1:Firefoxのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006056.html
  • Ubuntu 21.04・20.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-29959, CVE-2021-29960, CVE-2021-29961, CVE-2021-29966, CVE-2021-29967を修正します。
  • Firefox 89.0のUbuntuパッケージ版です。
  • 対処方法:アップデータを適用の上,Firefoxを再起動してください。
usn-4979-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006057.html
  • Ubuntu 18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2020-25670, CVE-2020-25671, CVE-2020-25672, CVE-2020-25673, CVE-2021-28660, CVE-2021-28964, CVE-2021-28971, CVE-2021-28972, CVE-2021-29647, CVE-2021-31916, CVE-2021-33033, CVE-2021-3428, CVE-2021-3483を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-4980-1:polkitのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006058.html
  • Ubuntu 21.04・20.10・20.04 LTS用のアップデータがリリースされています。CVE-2021-3560を修正します。
  • 悪意ある操作を行うことで,権限昇格が可能でした。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-4981-1:Squidのセキュリティアップデート
usn-4982-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006060.html
  • Ubuntu 20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2020-25670, CVE-2020-25671, CVE-2020-25672, CVE-2020-25673, CVE-2021-28688, CVE-2021-28950, CVE-2021-28964, CVE-2021-28971, CVE-2021-28972, CVE-2021-29264, CVE-2021-29647, CVE-2021-31916, CVE-2021-3483を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-4983-1:Linux kernel (OEM)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006061.html
  • Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2021-29155, CVE-2021-31829, CVE-2021-33200, CVE-2021-3501を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-4984-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006062.html
  • Ubuntu 20.10・20.04 LTS用のアップデータがリリースされています。CVE-2021-28038, CVE-2021-28660, CVE-2021-28688, CVE-2021-28950, CVE-2021-28952, CVE-2021-28964, CVE-2021-28971, CVE-2021-28972, CVE-2021-29647, CVE-2021-30002, CVE-2021-31916, CVE-2021-33033, CVE-2021-3483を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-4969-3:DHCPの再アップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006063.html
  • Ubuntu 21.04用のアップデータがリリースされています。
  • usn-4969-1の修正後,一部の適切な設定ファイルも拒否する問題が生じていました。
usn-4937-2:GNOME Autoarの再アップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006064.html
  • Ubuntu 21.04・20.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。
  • usn-4937-1の修正後,適切なアーカイブファイルも展開できない場合がありました。
  • 対処方法:アップデータを適用の上,セッションを再起動(一度ログアウトして再度ログイン)してください。

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。