JRE/JDKの変更
Oracle社のJDKの提供ポリシーの変化にあわせて
現時点では、
このSRU ExceptionはOpenJDK 10から11への差異が十分に小さい
ただしJavaのエコシステム上、
なお、
SRU Exceptionを伴う変更
Spectre/Meltdown対策、さらにその後
業界全体を巻き込んだ混乱になっているSpectre/
テストが行われた後、
なおRetpolineによる防御も常に有効なわけではないため
今週のセキュリティアップデート
- usn-3553-1:Rubyのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-January/ 004256. html - Ubuntu 17.
10・ 16. 04 LTS用のアップデータがリリースされています。CVE-2017-0901, CVE-2017-0902, CVE-2017-0903を修正します。 - 悪意ある加工を施したgemファイルを処理させることで、
ファイルシステム上の任意のファイルを上書きすることが可能でした。また、 RubyGemsのダウンロードにおいてDNSハイジャックが可能でした。また、 悪意ある加工を施したYAMLファイルを処理させることで、 任意のコードの実行が可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-3552-1:Firefoxのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-January/ 004257. html - Ubuntu 17.
10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。CVE-2018-5124を修正します。 - Firefox 58.
0.1 のUbuntuパッケージ版です。 - 対処方法:アップデータを適用の上、
Firefoxを再起動してください。
- https://
- usn-3554-1, usn-3554-2:curlのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-January/ 004258. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004259. html - Ubuntu 17.
10・ 16. 04 LTS・ 14. 04 LTS・ 12. 04 ESM用のアップデータがリリースされています。CVE-2018-1000005, CVE-2018-1000007を修正します。 - 悪意ある入力を処理させることで、
クラッシュもしくは認証情報を漏洩してしまう問題がありました。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-3555-1, usn-3555-2:w3mのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004260. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004261. html - Ubuntu 17.
10・ 16. 04 LTS・ 14. 04 LTS・ 12. 04 ESM用のアップデータがリリースされています。CVE-2018-6196, CVE-2018-6197, CVE-2018-6198を修正します。 - 悪意ある入力を処理させることで、
クラッシュが生じる問題がありました。また、 .w3mファイルへの書き込みが行えない場合に/tmp以下にあるファイルを利用する際のテンポラリファイルの処理に問題があり、 古典的symlink攻撃が可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-3556-1, usn-3556-2:Dovecotのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004262. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004263. html - Ubuntu 17.
10・ 16. 04 LTS・ 14. 04 LTS・ 12. 04 ESM用のアップデータがリリースされています。CVE-2017-15132を修正します。 - 特定の入力を行うことでクラッシュを誘発させることが可能でした。
- 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-3550-2:ClamAVのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004264. html - Ubuntu 12.
04 ESM用のアップデータがリリースされています。 - usn-3550-1の12.
04 ESM用です。CVE-2017-12374, CVE-2017-12375, CVE-2017-12376, CVE-2017-12377, CVE-2017-12378, CVE-2017-12379, CVE-2017-12380を修正します。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。 - 備考:アップストリームの新しいリリースをそのまま利用したパッケージです。非互換の変更点を含んでいる場合があります。
- https://
- usn-3557-1:Squidのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004265. html - Ubuntu 17.
10・ 16. 04 LTS・ 14. 04 LTS用のアップデータがリリースされています。CVE-2016-2569, CVE-2016-2570, CVE-2016-2571, CVE-2016-3948, CVE-2018-1000024, CVE-2018-1000027を修正します。 - 悪意ある応答等を利用して、
Squidをクラッシュさせることが可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-3558-1:systemdのセキュリティアップデート
-
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2018-February/ 004266. html - Ubuntu 16.
04 LTS・ 14. 04 LTS用のアップデータがリリースされています。CVE-2017-15908, CVE-2018-1049を修正します。 - 特定の入力を行うことでsystemd-resolvedの応答を停止させることが可能でした。また、
automountされたボリュームへのアクセスにおいて、 応答が停止することがありました。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://