6.06LTS DesktopのEOL
まもなくUbuntuの最初のLTSであるDapperのデスクトップ部分がEOLを迎えます。7月14日以降、
ただし、
8.04.3のリリース
8.
なお、
※2009年7月16日追記:予定が変更され、8.
9.10関連
今週の9.
該当する場合、
Canonicalによるクラウドコンピューティングのサポート
9.
このことに関連して、
DRBDの安定版
Linuxには
Ubuntuでは、
オープンソースカンファレンス2009 Kansai
Ubuntu Japanese Teamは、7月10日(金)・
なお、
Ubuntu Weekly Newsletter #149
Ubuntu Weekly Newsletter #149がリリースされています。
その他のニュース
- Translation Teamのミーティング。Ubuntuの翻訳品質をどのように維持するのか、
といった翻訳関連の議題が挙げられています。 - Wubi for Macのモックアップ的な スクリーンショット。
- Dell Mini9のちょっと新しい使い方。
- (おそらく)
Karmicで利用できるようになる、 GNOME Colorsのプレビュー。 - AppArmorは無効にしてはいけない、
という魂の叫び。 - JauntyでPHP5.
3を使う方法 。 - JauntyでSquid
(HTTPプロクシ) +DansGuardian (アンチウイルスプロクシ) +ClamAV (アンチウイルス) 環境を構築し、 WPAD (Web Proxy Auto-Discovery Protocol;クライアントに自動的にプロクシの所在を通知・ 設定するもの) を使う方法。
今週のセキュリティアップデート
カーネルのセキュリティアップデートがリリースされています。利用している機能・
ただし、
- usn-793-1:Linux kernelのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-July/ 000925. html - 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04) 用のアップデータがリリースされています。各カーネルで発見された脆弱性を修正します。 - 対処方法:通常の場合、
アップデータを適用した上で再起動を行うことで問題を解決できます。 - 注意:Ubuntu 8.
04と8. 10のアップデートは、 ABIの変更を伴います。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるので、 通常はそのままアップデートを適用しても問題ありません。もしも自分でコンパイルしたカーネルモジュールを利用している・ 独自のカーネルモジュールパッケージを利用している場合、 それらのモジュールの再コンパイルまたはアップデートが必要です。 - CVE-2009-1072はUbuntu 8.
10・ 9. 04にのみ影響します。root_ squashオプション付きでNFS領域をマウントしている際、 マウントされた領域内での権限チェックが適切に行われず、 一般ユーザでもデバイスノードを作成することが可能でした。このデバイスノードは読み込み権限が付与されているため、 意図的にデバイスノードを作成することにより、 カーネル上の秘匿されるべき情報にアクセスすることが可能です。 - CVE-2009-1184は、
Ubuntu 8. 10・ 9. 04でのみ影響します。SELinuxの機能であるcompat_ netモード (compat_ net=1) において、 ネットワーク通信を行う権限のチェックが適切に行われず、 SELinuxによる相手ノード・ ポートの制限を迂回することが可能です。この問題はあくまでSELinuxによる制限の迂回であり、 SELinuxを利用していない環境では影響はなく、 かつ、 SELinuxを利用しない場合よりも脆弱になるものではありません。 - CVE-2009-1192は、
AGP接続のビデオカードのために利用されるサブシステムにおいて、 ユーザー空間にメモリを割り当てる際、 ゼロクリアせずにメモリを割り当ててしまう問題です。これにより、 該当のメモリ空間をアプリケーションから読み出すことにより、 その空間に以前に置かれていたデータを読み取ることが可能でした。 - CVE-2009-1242は、
KVMを利用している際、 Intel VT-xのVMXレジスタを利用して仮想マシンを動作させる時に適切なレジスタ管理を行っておらず、 ゲストOSで特定の操作を行うことで、 ホストOS上でKernel oopsを発生させることが可能な問題です。これはシステムを32bitで動作させている場合にのみ発生します。Ubuntu 6. 06には該当の機能が搭載されていないため、 影響を受けません。 - CVE-2009-1265は、
アマチュア無線などで利用されるX. 25プロトコルの実装の問題で、 パケットに含まれるデータ長を検証せずに利用しているため、 悪意ある攻撃者が細工したパケットを送りつけた場合、 カーネル内にある、 本来送付されるべきでないメモリイメージまで送出してしまう問題です。これにより、 メモリ空間の一部が攻撃者に露呈し、 何らかの秘匿すべきデータが漏洩する可能性があります。 - CVE-2009-1336はNFSv4の問題で、
クライアント上できわめて長いファイル名が付けられたファイルをstatすることで、 クライアントをクラッシュさせることが可能な問題です。この問題はUbuntu 6. 06にのみ影響します。 - CVE-2009-1630もNFSv4の問題で、
一定の条件下で+xされていないファイルを実行可能なものとして扱ってしまう問題です。これにより、 不当な権限の昇格が可能です。 - CVE-2009-1337は、
exit_ notify()が送られた際に、 誤ってCAP_ KILL権限によって可否を判断していたために、 setuidされたバイナリからシグナルを送出することで、 不当にプロセスを停止させることが可能な問題です。悪用によりDoSが可能です。 - CVE-2009-1338はpid namespaceを利用している環境において、
本来保持されるべき名前空間単位でのシグナル送出が、 kill -1の実行時にのみ全てのプロセスに適用されてしまう問題です。悪用によりDoSが可能です。この問題はUbuntu 8. 04にのみ影響します。 - CVE-2009-1360は、
Network Namespace Support (NET_ NS) を利用している環境において、 特定のIPv6パケットを受信した際にハンドリングが正しく行われず、 ヌルポインタ参照によるkernel panicが発生する問題です。この問題はUbuntu 8. 10・ 9. 04にのみ影響します。 - CVE-2009-1385は、
Intel製Gigabit Ethernetチップの一部で利用されるe1000ドライバにおいて、 MTUサイズに近いパケットを受け取った際、 パケットの認証を誤って行い、 その過程でkernel panicが発生する問題です。この問題を利用することで、 インターフェースに指定されたMTU値に近似したパケットを連続して送出することでDoS攻撃が可能です。また、 高負荷なネットワーク環境においては、 安定性の問題として顕在化します。 - CVE-2009-1439はCIFSの問題で、
悪意あるSMBサーバーに接続した際、 レスポンスに含まれるファイル名フィールドに長い文字列が含まれていると、 マウント時にクライアントがクラッシュする問題です。 - CVE-2009-1633もCIFSの問題で、
悪意あるSMBサーバーに接続した際、 レスポンスに含まれるファイル名フィールドにユニコード文字列が含まれている場合、 ローカルファイルシステムの文字コードと揃える際の処理において、 バッファオーバーフローが生じる問題です。DoSとして確実に機能し、 また、 理論的可能性として任意のコードの実行が可能と考えられます。 - CVE-2009-1914は、
/proc/ iomemが正しく初期化されていないため、 ローカルユーザーによりDoSを発生させることが可能な問題です。この問題はUbuntu 6. 06以外、 かつ、 SPARC環境のUbuntuにのみ影響します。 - CVE-2009-1961は、
OCFS2 (Oracle Cluster File System 2) ファイルシステムの問題で、 splice処理が並列で実施された際、 デッドロックが発生する問題です。OCFS2でフォーマットされた領域を利用しているローカルユーザーが意図的にDoSを発生させることが可能です。この問題はUbuntu 6. 06には影響がありません。
- https://
- usn-794-1:Perlのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-July/ 000927. html - Ubuntu8.
04 LTS・ 8. 10・ 9. 04用のアップデータがリリースされています。CVE-2009-1391を修正します。 - CVE-2009-1391は、
Perlで利用されるCompress::Raw::Zlibの問題で、 悪意ある加工が施されたzlib圧縮データストリームを展開する際、 クラッシュが生じるものです。このクラッシュはヒープバッファオーバーフローにより発生するものですが、 上書き可能な最大長は1バイトに限定されるため、 任意のコードの実行は不可能と考えられます。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。 例外として、 何らかの形でデーモンとして動作するソフトウェアがzlibを利用している場合、 当該のプロセスを再起動する必要があります。これはspamassassinやamavisdが該当します。また、 Compress::Raw::Zlibモジュールを何らかの形で利用するPerl製CGIを利用している場合、 CGIのパフォーマンス向上のためにキャッシュ機能を利用している場合のみ、 Webサーバーのプロセスを再起動する必要性が考えられます。
- https://
- usn-795-1:Nagiosのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-July/ 000926. html - Ubuntu8.
04 LTS・ 8. 10・ 9. 04用のアップデータがリリースされています。CVE-2009-2288を修正します。 - CVE-2009-2288は、
NagiosのWebインターフェースにおいてユーザーがsubmitしたコマンドを解釈する処理の問題です。これによりNagiosのコマンド操作を行えるユーザーが悪意ある操作を行った場合、 OS上で任意のコマンドを実行される恐れがあります。通常はユーザー認証を行った上で、 限定されたユーザーに提供すべきページであるため、 正しく設定された環境ではリスクは小さくなると考えられます。 - 備考:8.
04はnagios2、 8. 10・ 9. 04はnagios3パッケージのアップデートです。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。 例外として、 fastcgiなどのキャッシュ機能を提供するモジュールを併用している場合、 Webサーバーのプロセスを再起動する必要があります。
- https://
- usn-796-1:Pidginのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-July/ 000929. html - Ubuntu8.
04 LTS・ 8. 10・ 9. 04用のアップデータがリリースされています。CVE-2009-1889を修正します。 - CVE-2009-1889は、
Pidginに含まれるICQプロトコルプラグインの問題で、 ICQが利用する特定のメッセージを受け取った際、 不完全なメッセージの解釈を行ってしまう問題です。これにより不定のタイミングでPidginがOut of Memoryエラーによりクラッシュします。これはサービス妨害のセキュリティ脆弱性よりも、 ICQ機能の不安定さとして作用します。 - 対処方法:通常の場合、
アップデータを適用した上で、 Pidginを再起動することで問題を解決できます。
- https://
- usn-797-1:tiffのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2009-July/ 000928. html - 現在サポートされている全てのUbuntu
(6. 06 LTS・ 8. 04 LTS・ 8. 10・ 9. 04) 用のアップデータがリリースされています。CVE-2009-2285を修正します。 - CVE-2009-2285は、
悪意ある細工の施されたTIFFイメージを開く際、 libtiffがクラッシュする問題です。これはlibtiffを利用するアプリケーションのクラッシュとして顕在化します。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。ただし、 libtiffを利用するアプリケーションがすでに起動し、 アップデート前のlibtiffを読み込んでいる場合に備えて、 念のため一度ログアウトすることを推奨します。
- https://