Ubuntu Weekly Topics

Ubuntu 23.10(mantic)開発/Ubuntu Storeの開発報告と壁紙コンテスト⁠“Downfall”へのUbuntuでの対応⁠Ubuntu 22.04.3のリリース

mantic(Ubuntu 23.10)の開発/Ubuntu Storeの開発報告と壁紙コンテスト

manticで準備される新しいApp Storeについての夏休みシーズン前の中間報告が行われています。⁠作業は進行中であること」⁠これから夏休みシーズンに入ること」そして「既存のSoftware Centerのような同種のソフトウェアは除外し、App Store的なものが3つ同居するような事態にはしないこと」⁠名前はUbuntu Storeになること」とともに、ソースコードプレビュー動画が公開されています。⁠なんとなく」10月には間に合いそうなペースで開発が進んでいるため、23.10では新しいストアがお目見えすることになりそうです。

これとは別に、開発シーズン恒例の壁紙コンテストが開催されています。入賞作はUbuntu 23.10に含まれるということで、写真やCGアートワーク等の腕に覚えがある場合はチャレンジしてみてはいかがでしょうか。なお、壁紙コンテストではCC BY-SA 4.0もしくはCC BY 4.0で画像をライセンスする必要があります。また、生成AIを利用したアートワークは「明確には禁止しないものの、通常ほとんどのツールでの生成はライセンス的に互換しえない」⁠AI generated artwork is not explicitly disallowed, however many popular AI art generation tools use a license that do not align with the license that we require for the competition)ということで、実質禁止という扱いになっています[1]

“Downfall”へのUbuntuでの対応

Intel製プロセッサにおいて、⁠Downfall⁠と名付けられた新しい脆弱性が公開されましたCVE-2022-40982⁠。

攻撃としては「システム上で実行されている他のプロセスの内容を不正に読み取ることができる」というもので、脆弱性としてはMeltdownやMDSと同じような性質のもの(そして、これまでの保護方法ではうまく防御できないもの)です。攻撃手法としては新しいものの、対応としては「いつもの⁠⁠、つまりZenbleedの場合と同じように、適切なマイクロコードが含まれたパッケージに更新する」です。パッケージが「intel-microcode」である点と、⁠もし強い影響が出る場合、MSR経由で修正を無効にできるということを覚えておきましょう[2]

Ubuntu 22.04.3のリリース

22.04 LTSの3回目のポイントリリース、22.04.3がリリースされています。今回のリリースでは23.04ベースのHWEカーネル(カーネル6.2)が投入されています。なお、ポイントリリースの位置づけ等の詳細は、2022年08月5日号を参照してください。

今週のセキュリティアップデート

usn-6266-1:librsvgのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007580.html
  • Ubuntu 23.04・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2023-38633を修正します。
  • 悪意ある入力を行うことで、本来アクセスできないファイルの読み取りが可能でした。
  • 対処方法:アップデータを適用の上、システムを再起動してください。

usn-6267-1, usn-6267-2:Firefoxのセキュリティアップデート

usn-6268-1:GStreamer Base Pluginsのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007582.html
  • Ubuntu 23.04・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2023-37327, CVE-2023-37328を修正します。
  • 悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6269-1:GStreamer Good Pluginsのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007583.html
  • Ubuntu 23.04・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2023-37327を修正します。
  • 悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6270-1:Vimのセキュリティアップデート

usn-6271-1:MaraDNSのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007585.html
  • Ubuntu 23.04・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2022-30256, CVE-2023-31137を修正します。
  • 悪意ある入力を行うことで、DoS・本来秘匿されるべき情報へのアクセスが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6272-1:OpenJDK 20のセキュリティアップデート

usn-5064-3:GNU cpioのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007587.html
  • Ubuntu 14.04 ESM用のアップデータがリリースされています。CVE-2021-38185を修正します。
  • usn-5064-1の14.04 ESM向けパッケージです。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6275-1:Cargoのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007588.html
  • Ubuntu 22.04 LTS(Ubuntu Proのみ⁠⁠・20.04 LTS(Ubuntu Proのみ⁠⁠・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2023-38497を修正します。
  • crateの展開時にレースコンディションを利用することで、にんいのファイルの上書きが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6273-1:popplerのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007589.html
  • Ubuntu 23.04・22.04 LTS・20.04 LTS用のアップデータがリリースされています。CVE-2022-27337, CVE-2023-34872を修正します。
  • 悪意ある入力を行うことで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6274-1:XMLToolingのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007590.html
  • Ubuntu 16.04 ESM用のアップデータがリリースされています。CVE-2023-36661を修正します。
  • 悪意ある入力を行うことで、サーバーサイドリクエストフォージェリが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6277-1:Dompdfのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007592.html
  • Ubuntu 20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2014-5011, CVE-2014-5012, CVE-2014-5013, CVE-2021-3838, CVE-2022-2400を修正します。
  • 悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6278-1, usn-6278-2:.NETのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007593.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007601.html
  • Ubuntu 23.04・22.04 LTS用のアップデータがリリースされています。CVE-2023-35390, CVE-2023-38178, CVE-2023-38180を修正します。
  • 悪意ある入力を行うことで、任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6276-1:unixODBCのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007594.html
  • Ubuntu 16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2018-7409を修正します。
  • 悪意ある入力を行うことで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6279-1:OpenSSHのアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007595.html
  • Ubuntu 20.04 LTS・18.04 ESM・16.04 ESM・14.04 ESM用のアップデータがリリースされています。LP#2030275で報告されたCVE-2020-14145を緩和します。
  • デフォルトでセットされているアルゴリズム選定が適切でないため、攻撃の余地がありました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-4336-3:GNU binutilsのセキュリティアップデート

usn-6243-2:Graphite-Webの再アップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007597.html
  • Ubuntu 18.04 ESM用のアップデータがリリースされています。
  • usn-6243-1の修正により、graphite-webが動作しない状態に陥っていました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6281-1:Velocity Engineのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007598.html
  • Ubuntu 20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2020-13936を修正します。
  • 悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6282-1:Velocity Toolsのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007599.html
  • Ubuntu 20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2020-13959を修正します。
  • 悪意ある入力を行うことで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6277-2:Dompdfのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007600.html
  • Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2023-35390, CVE-2023-38178, CVE-2023-38180を修正します。
  • usn-6277-1の22.04 LTS向けパッケージです。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6283-1:Linux kernelのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007602.html
  • Ubuntu 23.04用のアップデータがリリースされています。CVE-2023-2002, CVE-2023-2269, CVE-2023-3141, CVE-2023-32248, CVE-2023-32254, CVE-2023-3268, CVE-2023-3312, CVE-2023-3317, CVE-2023-35823, CVE-2023-35824, CVE-2023-35826, CVE-2023-35828, CVE-2023-35829を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-6284-1:Linux kernelのセキュリティアップデート

usn-6285-1:Linux kernel (OEM)のセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007604.html
  • Ubuntu 22.04 LTS用のアップデータがリリースされています。CVE-2022-48502, CVE-2023-2640, CVE-2023-2898, CVE-2023-31248, CVE-2023-32629, CVE-2023-3390, CVE-2023-35001, CVE-2023-3609, CVE-2023-3610, CVE-2023-3611, CVE-2023-3776, CVE-2023-38430, CVE-2023-38432, CVE-2023-3863を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-6286-1:Intel Microcodeのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007605.html
  • Ubuntu 23.04・22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2022-40982, CVE-2022-41804, CVE-2023-23908を修正します。
  • Downfallを含む脆弱性に対処するためのマイクロコードアップデートです。
  • 対処方法:アップデータを適用の上、システムを再起動してください。

usn-6280-1:PyPDF2のセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007606.html
  • Ubuntu 22.04 LTS・20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2023-36810を修正します。
  • 悪意ある加工を施したファイルを処理させることで、DoSが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

usn-6287-1:Go yamlのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007607.html
  • Ubuntu 20.04 LTS・18.04 ESM・16.04 ESM用のアップデータがリリースされています。CVE-2021-4235, CVE-2022-3064を修正します。
  • 悪意ある加工を施したファイルを処理させることで、DoSが可能でした。
  • 対処方法:アップデータを適用の上、golang-yaml.v2に依存するアプリケーションをリビルドしてください。

usn-4897-2:Pygmentsのセキュリティアップデート

  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2023-August/007608.html
  • Ubuntu 14.04 ESM用のアップデータがリリースされています。CVE-2021-20270, CVE-2021-27291を修正します。
  • usn-4897-1の14.04 ESM向けパッケージです。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

おすすめ記事

記事・ニュース一覧