impishのUI Freeze
impishの開発はUIFreezeを迎え、
また、
Ubuntu 18.04.6(Extra Point Release)
Ubuntu 18.
もちろんこのリリースは既存のポイントリリースの考え方としては例外的なもので、
対応そのものはややゆったりとしたペースではあるものの順調に進められています。shimがimpish由来になることで、
その他のニュース
- Canonical Livepatch Serviceの拡張バージョン、
Livepatch on-premがリリースされました。これは複数台存在するサーバー群をグループ単位に分離し、 『大事なサーバーはできるだけ後回し』 にすることでリスクを低減できるようにする、 というものです。
今週のセキュリティアップデート
- usn-5062-1:Linux kernelのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2021-September/ 006166. html - Ubuntu 16.
04 ESM・ 14. 04 ESM用のアップデータがリリースされています。CVE-2021-3653を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため、 通常はそのままアップデートの適用を行えば対応できます。
- https://
- usn-5063-1:HAProxyのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2021-September/ 006167. html - Ubuntu 21.
04・ 20. 04 LTS用のアップデータがリリースされています。CVE-2021-40346を修正します。 - 悪意ある入力を行うことで、
不正なcontent-lengthヘッダを挿入することが可能でした。request smuggling攻撃に応用できる可能性があります。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-5064-1:GNU cpioのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2021-September/ 006168. html - Ubuntu 21.
04・ 20. 04 LTS・ 18. 04 LTS用のアップデータがリリースされています。CVE-2021-38185を修正します。 - 悪意ある入力を行うことで、
メモリ破壊を伴うクラッシュを誘発することが可能でした。DoSに加え、 任意のコードの実行につなげられる可能性があります。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-5065-1:Open vSwitchのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2021-September/ 006169. html - Ubuntu 21.
04・ 20. 04 LTS用のアップデータがリリースされています。CVE-2021-36980を修正します。 - 悪意ある入力を行うことで、
メモリ破壊を伴うクラッシュを誘発することが可能でした。DoSに加え、 任意のコードの実行につなげられる可能性があります。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-5066-1, usn-5066-2:PySAML2のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2021-September/ 006170. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2021-September/ 006174. html - Ubuntu 21.
04・ 20. 04 LTS・ 18. 04 LTS・ 16. 04 ESM用のアップデータがリリースされています。CVE-2021-21239を修正します。 - SAMLドキュメントを改竄された場合にも、
それを検知できない場合がありました。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-5067-1:SSSDのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2021-September/ 006171. html - Ubuntu 21.
04・ 20. 04 LTS・ 18. 04 LTS用のアップデータがリリースされています。CVE-2018-10852, CVE-2018-16838, CVE-2019-3811, CVE-2021-3621を修正します。 - sssctlコマンドの実行時、
本来期待されないコマンドを実行してしまう場合がありました。また、 GPOによって制約されているアクセス制御が正常に機能せず、 本来ログインさせるべきではないユーザーもログインが可能でした。これに加えて、 本来アクセス制御されている一部のsudo設定ファイルを不当に読み取るアプローチに利用することができました。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-5069-1, usn-5069-2:mod-auth-mellonのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2021-September/ 006172. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2021-September/ 006175. html - Ubuntu 21.
04・ 20. 04 LTS・ 18. 04 LTS用のアップデータがリリースされています。CVE-2021-3639を修正します。 - 一部のURLを正しくフィルタできておらず、
オープンリダイレクト攻撃を抑制できていませんでした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-5068-1:GD libraryのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2021-September/ 006173. html - Ubuntu 21.
04・ 20. 04 LTS・ 18. 04 LTS・ 16. 04 ESM・ 14. 04 ESM用のアップデータがリリースされています。CVE-2017-6363, CVE-2021-38115, CVE-2021-40145を修正します。 - 悪意ある加工を施したファイルを処理させることで、
メモリ破壊を伴うクラッシュ・ メモリ情報の表出を誘発することが可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-5070-1:Linux kernelのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2021-September/ 006176. html - Ubuntu 21.
04・ 20. 04 LTS用のアップデータがリリースされています。CVE-2020-26541, CVE-2021-22543, CVE-2021-34693, CVE-2021-3612, CVE-2021-3653, CVE-2021-3656, CVE-2021-38198, CVE-2021-38200, CVE-2021-38206, CVE-2021-38207を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため、 通常はそのままアップデートの適用を行えば対応できます。
- https://
- usn-5071-1:Linux kernelのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2021-September/ 006177. html - Ubuntu 20.
04 LTS・ 18. 04 LTS用のアップデータがリリースされています。CVE-2020-36311, CVE-2021-22543, CVE-2021-3612, CVE-2021-3653, CVE-2021-3656を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため、 通常はそのままアップデートの適用を行えば対応できます。
- https://
- usn-5072-1:Linux kernelのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2021-September/ 006178. html - Ubuntu 20.
04 LTS用のアップデータがリリースされています。CVE-2021-3653, CVE-2021-3656を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため、 通常はそのままアップデートの適用を行えば対応できます。
- https://
- usn-5074-1:Firefoxのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2021-September/ 006179. html - Ubuntu 21.
04・ 20. 04 LTS・ 18. 04 LTS用のアップデータがリリースされています。CVE-2021-38491, CVE-2021-38493, CVE-2021-38494を修正します。 - Firefox 92.
0 のUbuntuパッケージ版です。 - 対処方法:アップデータを適用の上、
Firefoxを再起動してください。
- https://
- usn-5075-1:Ghostscriptのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2021-September/ 006180. html - Ubuntu 21.
04・ 20. 04 LTS用のアップデータがリリースされています。CVE-2021-3781を修正します。 - 悪意ある加工を施したファイルを処理させることで、
メモリ破壊を伴うクラッシュを誘発することが可能でした。DoSに加えて、 任意のコードの実行が可能です。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-5073-1:Linux kernelのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2021-September/ 006181. html - Ubuntu 18.
04 LTS・ 16. 04 ESM・ 14. 04 ESM用のアップデータがリリースされています。CVE-2021-34693, CVE-2021-3612, CVE-2021-3653, CVE-2021-3656, CVE-2021-38160を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため、 通常はそのままアップデートの適用を行えば対応できます。
- https://
- usn-5076-1:Gitのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2021-September/ 006183. html - Ubuntu 20.
04 LTS・ 18. 04 LTS・ 16. 04 ESM用のアップデータがリリースされています。CVE-2021-40330を修正します。 - 悪意ある加工を施したURIを処理させることで、
本来期待されないクロスプロトコルリクエストを発生させることができました。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://