Ubuntu Weekly Topics

2022年3月11日号Meltdown/Spectre/Foreshadowの後の世界・“Spectre-BHB”への対応、jammyの開発、OSC2022 Online/Spring

Meltdown/Spectre/Foreshadowの後の世界・“Spectre-BHB”への対応

「いつもの」と言える、⁠Spectreの亜種』がまた新たに登場しました。⁠BHI⁠もしくは⁠Spectre-BHB⁠と通称されるこの脆弱性CVE-2022-0001CVE-2022-0002, CVE-2022-23960⁠ は、これまで登場した各種脆弱性と近似する「間接的にシステム上で行われている計算の内容を推定できる」攻撃手法です。ただし、⁠いつもの」ものよりは多少影響が限定的で、次の特性があります。

  • そもそもeIBRSベースのSpectre v2の回避策への迂回アプローチであって、eIBRSが未実装のCascade Lakeより古い環境に対しては影響がない。
  • たいていの環境においては、現時点ではそこまで警戒する必要はない(⁠⁠現状では」eBPFベースの攻撃しか成功しておらず、eBPFはデフォルト設定ではroot権限か、unprivilegedでの動作を許可する設定を必要とする=つまり「そもそも攻撃にroot権限が必要」となるため、仮想化ホストなどでなければ問題にはなりにくい⁠⁠。
  • 対処が必要な場合も、⁠いつも通り』カーネルを更新すればよい。カーネル更新に伴う再起動を回避したい場合、eBPFを無効にしておけば影響を受けなくなる(そして、無効化については再起動は不要。注1⁠。

「例によって」と言える内容ではありますが、回避策については若干異なる要素があるため、Ubuntuでのガイドを参照して対処を検討するのが無難でしょう。なお、今回についてはIntel製プロセッサだけでなくArm製プロセッサにも影響があります[2]⁠。

jammyの開発

UI Freezeの時期に入ったjammyでは、Testing Weekに入り、3月末のベータリリース、そして4月21日のリリースに向けて、品質を引き上げる方向のタスクが(まだ続いている開発と並行して)行われています。劇的な変化はないものの、フランクフルトで行われたCanonical Engineering Sprintなどからいくつかのディスカッションが起動されています。

オープンソースカンファレンス2022 Online/Spring

Ubuntu Japanese Teamは、3月11日(金), 12日(土)に開催されるオンラインイベント、Open Source Conference 2022 Online/Spring「Ubuntu 22.04 LTSのすべて」というセミナーを行います。参加いただく場合はCompassから参加登録の上、connpassの「参加者への情報」から各会場URLを取得してください。

その他のニュース

今週のセキュリティアップデート

usn-5310-1, usn-5310-2:GNU C Libraryのセキュリティアップデート
usn-5312-1:HAProxyのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-March/006428.html
  • Ubuntu 21.10・20.04 LTS用のアップデータがリリースされています。CVE-2022-0711を修正します。
  • 悪意ある入力を行うことで、DoS・不定動作の誘発・本来秘匿されるべき情報へのアクセスが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-5300-2, usn-5300-3:PHPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-March/006429.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-March/006432.html
  • Ubuntu 21.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2017-8923, CVE-2017-9118, CVE-2017-9119, CVE-2017-9120, CVE-2021-21707を修正します。
  • usn-5300-1の21.10・20.04 LTS・18.04 LTS向けのパッケージです。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-5311-1:containerdのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-March/006430.html
  • Ubuntu 21.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2022-23648を修正します。
  • 悪意ある操作を行うことで、特定のファイルの読み込み専用コピーを生成することが可能でした。本来秘匿されるべき情報へのアクセスに応用可能です。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-5314-1:Firefoxのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-March/006431.html
  • Ubuntu 21.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2022-26485, CVE-2022-26486を修正します。
  • Firefox 97.0.2のUbuntuパッケージ版です。
  • 対処方法:アップデータを適用の上、Firefoxを再起動してください。
usn-5313-1:OpenJDKのセキュリティアップデート
usn-5316-1:Redisのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2022-March/006435.html
  • Ubuntu 21.10・20.04 LTS用のアップデータがリリースされています。CVE-2022-0543を修正します。
  • Luaサンドボックスからの脱出が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

おすすめ記事

記事・ニュース一覧