Meltdown/Spectre/Foreshadowの後の世界・“Spectre-BHB”への対応
「いつもの」
- そもそもeIBRSベースのSpectre v2の回避策への迂回アプローチであって、
eIBRSが未実装のCascade Lakeより古い環境に対しては影響がない。 - たいていの環境においては、
現時点ではそこまで警戒する必要はない (「現状では」 eBPFベースの攻撃しか成功しておらず、 eBPFはデフォルト設定ではroot権限か、 unprivilegedでの動作を許可する設定を必要とする=つまり 「そもそも攻撃にroot権限が必要」 となるため、 仮想化ホストなどでなければ問題にはなりにくい)。 - 対処が必要な場合も、
『いつも通り』 カーネルを更新すればよい。カーネル更新に伴う再起動を回避したい場合、 eBPFを無効にしておけば影響を受けなくなる (そして、 無効化については再起動は不要。注1)。
「例によって」
jammyの開発
UI Freezeの時期に入ったjammyでは、
オープンソースカンファレンス2022 Online/Spring
Ubuntu Japanese Teamは、
その他のニュース
- Jammyの壁紙コンテストがそろそろ投票〆切です。
- データサイエンティストと開発者向けのWSLの紹介。
- GCP上でUbuntu Proを利用してFIPSワークロードに対応させる方法。
- ElectronアプリケーションをSnapにする3つの方法。Electron Builder、
Electron Packagerと、 手作業でのパッケージング、 という方法が紹介されています。
今週のセキュリティアップデート
- usn-5310-1, usn-5310-2:GNU C Libraryのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2022-March/ 006427. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2022-March/ 006434. html - Ubuntu 21.
10・ 20. 04 LTS・ 18. 04 LTS・ 16. 04 ESM用のアップデータがリリースされています。CVE-2016-10228, CVE-2019-25013, CVE-2020-27618, CVE-2020-29562, CVE-2020-6096, CVE-2021-27645, CVE-2021-3326, CVE-2021-35942, CVE-2021-3998, CVE-2021-3999, CVE-2022-23218, CVE-2022-23219を修正します。 - 悪意ある入力を行うことで、
DoS・ 不定動作の誘発・ 本来秘匿されるべき情報へのアクセスが可能でした。 - 対処方法:アップデータを適用の上、
システムを再起動してください。
- https://
- usn-5312-1:HAProxyのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2022-March/ 006428. html - Ubuntu 21.
10・ 20. 04 LTS用のアップデータがリリースされています。CVE-2022-0711を修正します。 - 悪意ある入力を行うことで、
DoS・ 不定動作の誘発・ 本来秘匿されるべき情報へのアクセスが可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-5300-2, usn-5300-3:PHPのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2022-March/ 006429. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2022-March/ 006432. html - Ubuntu 21.
10・ 20. 04 LTS・ 18. 04 LTS用のアップデータがリリースされています。CVE-2017-8923, CVE-2017-9118, CVE-2017-9119, CVE-2017-9120, CVE-2021-21707を修正します。 - usn-5300-1の21.
10・ 20. 04 LTS・ 18. 04 LTS向けのパッケージです。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-5311-1:containerdのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2022-March/ 006430. html - Ubuntu 21.
10・ 20. 04 LTS・ 18. 04 LTS用のアップデータがリリースされています。CVE-2022-23648を修正します。 - 悪意ある操作を行うことで、
特定のファイルの読み込み専用コピーを生成することが可能でした。本来秘匿されるべき情報へのアクセスに応用可能です。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-5314-1:Firefoxのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2022-March/ 006431. html - Ubuntu 21.
10・ 20. 04 LTS・ 18. 04 LTS用のアップデータがリリースされています。CVE-2022-26485, CVE-2022-26486を修正します。 - Firefox 97.
0.2 のUbuntuパッケージ版です。 - 対処方法:アップデータを適用の上、
Firefoxを再起動してください。
- https://
- usn-5313-1:OpenJDKのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2022-March/ 006433. html - Ubuntu 21.
10・ 20. 04 LTS・ 18. 04 LTS用のアップデータがリリースされています。CVE-2022-21248, CVE-2022-21277, CVE-2022-21282, CVE-2022-21283, CVE-2022-21291, CVE-2022-21293, CVE-2022-21294, CVE-2022-21296, CVE-2022-21299, CVE-2022-21305, CVE-2022-21340, CVE-2022-21341, CVE-2022-21360, CVE-2022-21365, CVE-2022-21366を修正します。 - CPUJan2022相当のアップデータです。
- 対処方法:アップデータを適用の上、
Javaアプリケーションを再起動してください。
- https://
- usn-5316-1:Redisのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2022-March/ 006435. html - Ubuntu 21.
10・ 20. 04 LTS用のアップデータがリリースされています。CVE-2022-0543を修正します。 - Luaサンドボックスからの脱出が可能でした。
- 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://