Ubuntu Weekly Topics

2021年9月17日号 impishのUI Freeze,Ubuntu 18.04.6(Extra Point Release)の準備

この記事を読むのに必要な時間:およそ 4 分

impishのUI Freeze

impishの開発はUIFreezeを迎え,翻訳の呼びかけが始まっています。一方でUIFreezeに間に合わせるために,インストーラーまわりについては妙に慌ただしく更新されたりと,⁠リリースまで一ヶ月」という時期に相応しい空気が生まれています。

また,リリースパーティーのためのスポンサープログラムの公開のような,リリースに向けた動きも準備されつつあります。Ubuntu 21.10 ⁠Impish Indri⁠は,残りいくつかのマイルストーンを経て10月14日にリリースされる予定です。

Ubuntu 18.04.6(Extra Point Release)

Ubuntu 18.04 LTSに,さらに新しいインストールメディアが提供されることになりました。これは「Key Revocation」に対応するための更新で,⁠to get installation media bootable again after the key revocations.」⁠Key revocationsの後にもインストールメディアがブート可能な状態を保つためのもの)と説明されています。ここでは「何の」Revocationなのかあまり明示されていませんが,更新される実際の内容やブロッカーと状況から考える限りでは,Secure Bootのためのshimとカーネルを更新することが目的と考えてよさそうです。

もちろんこのリリースは既存のポイントリリースの考え方としては例外的なもので,QAのURLにはextra-point-releaseという文字列が含まれています。

対応そのものはややゆったりとしたペースではあるものの順調に進められています。shimがimpish由来になることで,impishに存在する,なんというかよく分からないバグ(⁠⁠USBメモリからインストールを行っているのに,なぜか特定のタイミングで光学ドライブのトレイがイジェクトされる⁠⁠)が持ち込まれたりしているものの,順調に進めば「18.04.6の新規インストール」は今後もできる状態が維持されそうです。

その他のニュース

今週のセキュリティアップデート

usn-5062-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006166.html
  • Ubuntu 16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2021-3653を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-5063-1:HAProxyのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006167.html
  • Ubuntu 21.04・20.04 LTS用のアップデータがリリースされています。CVE-2021-40346を修正します。
  • 悪意ある入力を行うことで,不正なcontent-lengthヘッダを挿入することが可能でした。request smuggling攻撃に応用できる可能性があります。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5064-1:GNU cpioのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006168.html
  • Ubuntu 21.04・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-38185を修正します。
  • 悪意ある入力を行うことで,メモリ破壊を伴うクラッシュを誘発することが可能でした。DoSに加え,任意のコードの実行につなげられる可能性があります。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5065-1:Open vSwitchのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006169.html
  • Ubuntu 21.04・20.04 LTS用のアップデータがリリースされています。CVE-2021-36980を修正します。
  • 悪意ある入力を行うことで,メモリ破壊を伴うクラッシュを誘発することが可能でした。DoSに加え,任意のコードの実行につなげられる可能性があります。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5066-1, usn-5066-2:PySAML2のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006170.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006174.html
  • Ubuntu 21.04・20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2021-21239を修正します。
  • SAMLドキュメントを改竄された場合にも,それを検知できない場合がありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5067-1:SSSDのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006171.html
  • Ubuntu 21.04・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2018-10852, CVE-2018-16838, CVE-2019-3811, CVE-2021-3621を修正します。
  • sssctlコマンドの実行時,本来期待されないコマンドを実行してしまう場合がありました。また,GPOによって制約されているアクセス制御が正常に機能せず,本来ログインさせるべきではないユーザーもログインが可能でした。これに加えて,本来アクセス制御されている一部のsudo設定ファイルを不当に読み取るアプローチに利用することができました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5069-1, usn-5069-2:mod-auth-mellonのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006172.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006175.html
  • Ubuntu 21.04・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-3639を修正します。
  • 一部のURLを正しくフィルタできておらず,オープンリダイレクト攻撃を抑制できていませんでした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5068-1:GD libraryのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006173.html
  • Ubuntu 21.04・20.04 LTS・18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2017-6363, CVE-2021-38115, CVE-2021-40145を修正します。
  • 悪意ある加工を施したファイルを処理させることで,メモリ破壊を伴うクラッシュ・メモリ情報の表出を誘発することが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5070-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006176.html
  • Ubuntu 21.04・20.04 LTS用のアップデータがリリースされています。CVE-2020-26541, CVE-2021-22543, CVE-2021-34693, CVE-2021-3612, CVE-2021-3653, CVE-2021-3656, CVE-2021-38198, CVE-2021-38200, CVE-2021-38206, CVE-2021-38207を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-5071-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006177.html
  • Ubuntu 20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2020-36311, CVE-2021-22543, CVE-2021-3612, CVE-2021-3653, CVE-2021-3656を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-5072-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006178.html
  • Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2021-3653, CVE-2021-3656を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-5074-1:Firefoxのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006179.html
  • Ubuntu 21.04・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-38491, CVE-2021-38493, CVE-2021-38494を修正します。
  • Firefox 92.0のUbuntuパッケージ版です。
  • 対処方法:アップデータを適用の上,Firefoxを再起動してください。
usn-5075-1:Ghostscriptのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006180.html
  • Ubuntu 21.04・20.04 LTS用のアップデータがリリースされています。CVE-2021-3781を修正します。
  • 悪意ある加工を施したファイルを処理させることで,メモリ破壊を伴うクラッシュを誘発することが可能でした。DoSに加えて,任意のコードの実行が可能です。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5073-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006181.html
  • Ubuntu 18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2021-34693, CVE-2021-3612, CVE-2021-3653, CVE-2021-3656, CVE-2021-38160を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-5076-1:Gitのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-September/006183.html
  • Ubuntu 20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2021-40330を修正します。
  • 悪意ある加工を施したURIを処理させることで,本来期待されないクロスプロトコルリクエストを発生させることができました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。