Ubuntu Weekly Topics

2022年1月28日号 jammyの開発/Ubuntu Proのデスクトップ展開,“PwnKit”脆弱性,GPD Pocket3用のUbuntu Mate

この記事を読むのに必要な時間:およそ 3 分

jammyの開発

jammyの開発そのものには大きなイベントは起きていないものの,デスクトップの開発レポートに気になる記述が登場するようになりました。内容としては「Add Ubuntu Pro versions of software-properties, gnome-control-center and update-notifier to Ubuntu Pro PPA」⁠Ubuntu Proバージョンのsoftware-properties, gnome-control-centerとupdate-notifierをUbuntu Pro PPAに追加した)というもので,ubuntu-advantage-desktop-daemonのGUIサイドであるように見えます。全体的に,⁠デスクトップ環境における,Ubuntu Proの利用」という機能が開発されていることが強く示唆されます。Ubuntu Proの現在の位置づけは各種クラウド環境でのUbuntu Advantage(近似品)追加バージョンというものですが,この流れからすると何か異なる展開が出てくる可能性があります。

また,あまり厳密な宣言ではないものの,jammyでも壁紙コンテストが開催されることが強く示唆される議論が行われています。

“PwnKit”脆弱性

Linux環境全般に,比較的大きな脆弱性が発見されました。問題が見つかったモジュールはPolKit(PolicyKit)です。これは位置づけとしては「新世代のsudo」というもので,Ubuntuだけでなく,たいへん多くの環境にデフォルトで導入されています。見つかった脆弱性の性質としては非常に簡単にローカルユーザーがroot特権を取れるというものです。

この脆弱性はPolKitの「SUIDビットが立っているバイナリそのもの」⁠に脆弱性があるという点)に原因があるため,polkitサービスを動作させているかどうかとは関係なく,システムにPolKitが導入されていれば悪用が可能です。そして多くの環境にはPolKitが導入されているため,なかなかに厄介,という性質の問題となります。Ubuntuでの対応は「パッケージをアップデートする」という形です。

なお,21.04はEOLしているので,対応にはアップグレードが必要です。

その他のニュース

今週のセキュリティアップデート

usn-5233-1, usn-5233-2:ClamAVのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006353.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006356.html
  • Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2022-20698を修正します。
  • CL_SCAN_GENERAL_COLLECT_METADATAオプションが有効な場合,悪意ある加工を施したファイルを処理させることでDoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
  • 備考:upstreamのリリースをそのまま利用したパッケージです。セキュリティ修正以外の更新が含まれます。
usn-5235-1:Rubyのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006354.html
  • Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS・16.04 ESM用のアップデータがリリースされています。CVE-2021-41816, CVE-2021-41817, CVE-2021-41819を修正します。
  • 悪意ある加工を施したHTMLファイル・悪意ある入力により,DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5234-1:Byobuのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006355.html
  • Ubuntu 16.04 ESM用のアップデータがリリースされています。CVE-2019-7306を修正します。
  • 他のユーザーがApport由来のデータにアクセスすることが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5240-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006357.html
  • Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS用のアップデータがリリースされています。 CVE-2022-0185を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。
usn-5241-1:QtSvgのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006358.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2018-19869, CVE-2021-3481, CVE-2021-45930を修正します。
  • 悪意ある加工を施したファイルを処理させることで,メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能です。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5021-2:curlのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006359.html
  • Ubuntu 16.04 ESM用のアップデータがリリースされています。CVE-2021-22898, CVE-2021-22925を修正します。
  • TELNET接続時,未初期化のメモリを相手先サーバーに送付してしまう場合がありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5242-1:Open vSwitchのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006360.html
  • Ubuntu 21.10用のアップデータがリリースされています。CVE-2021-3905を修正します。
  • 特定の条件を満たすパケットを受信した場合,メモリの過剰消費が生じる場合がありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5243-1, usn-5243-2:AIDEのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006362.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006368.html
  • Ubuntu 21.10・21.04・20.04 LTS・18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2021-45417を修正します。
  • 悪意ある入力を行うことで,メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能です。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5246-1, usn-5248-1:Thunderbirdのセキュリティアップデート
usn-5249-1:USBViewのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006365.html
  • Ubuntu 21.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2022-23220を修正します。
  • 一般ユーザーが特権でプロセスを動作させることが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-5244-1:DBusのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006367.html
  • Ubuntu 16.04 ESM用のアップデータがリリースされています。CVE-2020-35512を修正します。
  • 悪意ある入力を行うことでDoSが可能でした。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-5250-1, usn-5250-2:strongSwanのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006369.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-January/006370.html
  • Ubuntu 21.10・20.04 LTS・18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2021-45079を修正します。
  • 悪意ある入力を行うことで,DoS・一定条件下での認証の迂回が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。