14.10のDocumentation String Freeze
Ubuntu 14.
なお、
14.
また、
「不健康な」
こうなってしまうとパッケージにセキュリティ的な問題が見つかっても簡単には対処できない、
ということで、
UWN#383
Ubuntu Weekly Newsletter #383がリリースされています。その他のニュース
- Origami
(すでに誰もが忘れかけているMicrosoftのUltra Mobile PCではなく、 普通の折り紙です) によるUnicornの作り方。 - Ubuntu Phoneのリリース時期についての報道。
「A special version of the Meizu MX4 with the Ubuntu Touch OS is slated to go on sale in December」 (Ubuntu Touch OSを搭載した、 Meizu MX4スペシャルバージョンは12月に発売されるだろう) という記述があります。 - 世界最大のユーザー数を誇るMMO RPG、
World of WarcraftをUbuntu上で死ぬほど頑張って動かす方法。 - Ubuntuをインストールして最初にやった30のこと。
今週のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002656. html - Ubuntu 14.
04 LTS・ 12. 04 LTS・ 10. 04 LTS用のアップデータがリリースされています。CVE-2014-1544を修正します。 - NSSにレースコンディションによってすでに解放済みのメモリをfreeしてしまう問題があり、
悪用によりDoSや任意のコードの実行が可能です。 - 対処方法:アップデータを適用の上、
libnssを利用しているすべてのアプリケーションを再起動してください。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002657. html - Ubuntu 14.
04 LTS・ 12. 04 LTS・ 10. 04 LTS用のアップデータがリリースされています。CVE-2014-3587, CVE-2014-3597を修正します。 - 対処方法:アップデータを適用の上、
Apacheやphp5-fpmのようなPHPをメモリ上に常駐させるアプリケーションを再起動してください。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002658. html - Ubuntu 14.
04 LTS・ 12. 04 LTS用のアップデータがリリースされています。CVE-2014-1553, CVE-2014-1562, CVE-2014-1563, CVE-2014-1564, CVE-2014-1565, CVE-2014-1567を修正します。 - Thunderbird 31.
1.0 のUbuntuパッケージ版です。 - 対処方法:アップデータを適用の上、
Thunderbirdを再起動してください。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002659. html - Ubuntu 14.
04 LTS・ 12. 04 LTS・ 10. 04 LTS用のアップデータがリリースされています。CVE-2014-3613, CVE-2014-3620を修正します。 - curlが特定の条件下で、
誤ったIPアドレスを使ってcookieを解釈するため、 本来意図しない別サイトに対してcookieの情報を漏洩する可能性がありました。また、 より上位のドメインに対するcookieを発行する際、 トップレベル・ ドメインに対してのcookie発行を許していたため、 これを利用して、 まったく関係のない (しかしTLDが共通している) サイトの振る舞いを変更する形の攻撃が可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002660. html - Ubuntu 14.
04 LTS・ 12. 04 LTS・ 10. 04 LTS用のアップデータがリリースされています。CVE-2014-0480, CVE-2014-0481, CVE-2014-0482, CVE-2014-0483を修正します。 - Djangoが相対パス表記からURLを生成する際、
特定の文字列を正しく解釈できず、 本来同一サーバー内へのリンクを生成すべきところを異なるサーバーへのリンクとして生成してしまう、 問題がありました (CVE-2014-0480)。これにより、 利用者を外部サーバーへ誘導することが可能です。また、 ファイル名のアップロード時にファイルが重複してしまった場合の処理に不適切なデッドロックが発生する余地があり、 小さなファイルを大量にアップロードすることでリソース過大消費を起こさせ、 これによるDoSが可能でした (CVE-2014-0481)。あわせて、 contrib. auth. middleware. RemoteUserMiddlewareによって生成されるヘッダを改ざんすることが可能で、 セッションハイジャックが可能な問題 ({CVE-20140-0482})、 管理画面で行われるクエリ制約が、 MVCのViewに対してのみ行われているため、 Model構造について十分な知識を持つユーザーであれば制約を迂回してクエリを発行できてしまう問題 (CVE-2014-0482) が存在しています。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002661. html - Ubuntu 14.
04 LTS・ 12. 04 LTS・ 10. 04 LTS用のアップデータがリリースされています。CVE-2014-0487, CVE-2014-0488, CVE-2014-0489, CVE-2014-0490を修正します。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002662. html - Ubuntu 14.
04 LTS用のアップデータがリリースされています。 - USN-2319-2の再アップデートです。arm64・
ppc64el環境で動作が不安定になっていた問題を解決します。 - 対処方法:アップデータを適用の上、
Javaを利用するソフトウェアを再起動してください。
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2014-September/ 002663. html - Ubuntu 12.
04 LTS用のアップデータがリリースされています。LP#1370175を修正します。 - 悪意ある加工の施されたメディアファイルを処理した際に、
任意のコードの実行の可能性がある形でクラッシュする問題がありました。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。 - 備考:Ubuntuの通常のアップデートと異なり、
upstreamの新しいリリースをそのまま利用しています。セキュリティ修正以外の、 非互換な振る舞いを含む可能性のあるバグ修正が含まれています。