Ubuntu Weekly Topics
2018年2月16日号 “Ubuntu Seeded Snaps”構想,Spectre/Meltdown対策さらにさらにその後
“Ubuntu Seeded Snaps”構想
Ubuntuのパッケージにおいて,
Ubuntuにおける
これは
なお,
Spectre/Meltdown対策,さらにさらにその後
Ubuntuの
IBPB部分の利用には新しいCPUマイクロコードが必要です。また,
「まだ決定版ではないかもしれない」
- 注1
- これは
「現時点ではアップデータの適用を見送ってよい」 ということは意味せず, Spectreの影響を受けうる (=信頼できないコードが実行されうる) 環境においては, 随時アップデータを適用していく必要があります。なお, 決定的な対策が不明瞭なのは “Spectre” 側だけで, “Meltdown” については明確な対策 (KPTI) が確定しているため, Intel製プロセッサを利用している場合 (かつ, “Meltdown” の影響を受けうる環境の場合) は対策を行いましょう。
その他のニュース
- BionicにおけるMinimal Imageのサイズ縮減に関するRFC。現時点で
「圧縮状態で30MB, 展開後81MB」 を達成しているものの, 「これで要求に対して十分縮まったと言えるのか」 「ここまで削る必要はないのか」 といった点で意見が求められています。
今週のセキュリティアップデート
- usn-3559-1:Djangoのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004267. html - Ubuntu 17.
10用のアップデータがリリースされています。CVE-2017-12794, CVE-2018-6188を修正します。 - 悪意ある加工を施した入力を行うことで,
本来秘匿するべき情報にアクセスすることが可能でした。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-3560-1:QEMUのアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004268. html - Ubuntu 17.
10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。ゲスト上でCVE-2017-5715への緩和策を機能させるためのMSRアクセスをゲストに提供します。 - 対応するCPUアーキテクチャ
(AMD64, i386, S390) において, “Spectre” 脆弱性を抑制する実装が機能する前提条件となる特定のMSRアクセスをゲストに開放します。 - 対処方法:アップデータを適用の上,
QEMU仮想マシンを再起動してください。
- https://
- usn-3561-1:libvirtのアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004269. html - Ubuntu 17.
10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。ゲスト上でCVE-2017-5715への緩和策を機能させるためのMSRアクセスをゲストに提供します。 - 対応するCPUアーキテクチャ
(AMD64, i386) において, “Spectre” 脆弱性を抑制する実装が機能する前提条件となる特定のMSRアクセスをゲストに開放します。 - 対処方法:アップデータを適用の上,
システムを再起動してください。
- https://
- usn-3562-1:MiniUPnPのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004270. html - Ubuntu 17.
10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。CVE-2017-1000494を修正します。 - 悪意ある入力を行うことで,
メモリ破壊を伴うクラッシュを発生させることが可能でした。任意のコードの実行につなげることができると考えられます。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-3563-1:Mailmanのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004271. html - Ubuntu 17.
10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。CVE-2018-5950を修正します。 - MailmanのWebUIにおいてXSSが可能でした。
- 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-3564-1:PostgreSQLのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004272. html - Ubuntu 17.
10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。CVE-2018-1053を修正します。 - 一時ファイルの扱いに問題があり,
本来秘匿すべき情報にアクセスすることが可能でした。 - 備考:Upstreamのリリースをそのまま利用したアップデータです。互換性のない修正を含んでいる可能性があります。
- 対処方法:アップデータを適用の上,
PostgreSQLを再起動してください。
- https://
- usn-3565-1:Eximのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004273. html - Ubuntu 17.
10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。CVE-2018-6789を修正します。 - 悪意ある入力を行うことで,
メモリ破壊を伴うクラッシュを発生させることが可能でした。任意のコードの実行につなげることができると考えられます。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-3566-1:PHPのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004274. html - Ubuntu 14.
04 LTS用のアップデータがリリースされています。CVE-2017-12933, CVE-2017-16642, CVE-2018-5712を修正します。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-3567-1:Puppetのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004275. html - Ubuntu 14.
04 LTS用のアップデータがリリースされています。CVE-2017-10689を修正します。 - Tarballの展開時に不適切なパーミッション管理を行っていました。
- 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-3568-1:WavPackのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004276. html - Ubuntu 17.
10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。CVE-2016-10169, CVE-2018-6767を修正します。 - 悪意ある入力を行うことで,
クラッシュを発生させることが可能でした。 - 対処方法:通常の場合,
アップデータを適用することで問題を解決できます。
- https://
- usn-3544-2:Firefox regressions
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004277. html - Ubuntu 17.
10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。 - Firefox 58.
0.2 のUbuntuパッケージ版です。 - 対処方法:アップデータを適用の上,
Firefoxを再起動してください。
- https://
バックナンバー
Ubuntu Weekly Topics
- 2018年2月16日号 “Ubuntu Seeded Snaps”構想,Spectre/Meltdown対策さらにさらにその後
- 2018年2月9日号 JRE/JDKの変更,Spectre/Meltdown対策さらにその後
- 2018年2月2日号 18.04 LTSのディスプレイサーバ,NTTテクノクロスとCanonicalのパートナー契約