Spectre/Meltdown対策さらにさらにその後・新マイクロコードの配布の準備

“Spectre⁠”対策において必要なIntelのマイクロコードの提供が再開されたため、Ubuntuでもintel-microcodeパッケージのテストが開始されています。現時点ではセキュリティアップデートのテスト用PPA（ubuntu-security-proposed）経由でのみ提供され、不具合がないことがテストされた上で提供されるようになります[1]⁠。

現時点で、カーネルパッチの不足によって改善版のマイクロコードではないと誤認される問題が存在することが確認されており、カーネルが更新されるまではIBRS/IBPB/STIBPが利用できない状態となっています。

なお、IBRS/IBPBの利用には一定のパフォーマンスペナルティが伴います。一時的に機能を無効にしてペナルティを抑制したい場合[2]は、MitigationControlsを参照してください。

その他のニュース

• 18.04 LTS向けのnetplanのテスト要請。
• FirefoxとChromiumがSnapパッケージになりました。

今週のセキュリティアップデート

usn-3589-1：PostgreSQLのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004305.html
• Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-1058を修正します。
• 特権昇格が可能な問題がありました。
• 対処方法：アップデータを適用の上、PostgreSQLを再起動してください。
• 備考：Upstreamの新しいリリースをそのまま利用したパッケージです。既存のバージョンとの互換性のないバグ修正が含まれている可能性があります。

usn-3590-1：Irssiのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004306.html
• Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-7050, CVE-2018-7051, CVE-2018-7052, CVE-2018-7053, CVE-2018-7054, CVE-2018-7073を修正します。
• 悪意あるユーザー名やメッセージを利用することでメモリは買いを伴うクラッシュを誘発することが可能でした。任意のコードの実行・DoSが可能です。
• 対処方法：アップデータを適用の上、Irssiを再起動してください。

usn-3591-1：Djangoのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004307.html
• Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-7536, CVE-2018-7537を修正します。
• 悪意ある加工を施したテンプレートフィルタを利用することでリソースの過大消費を発生させることが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-3579-3：LibreOfficeの再アップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004308.html
• Ubuntu 17.10用のアップデータがリリースされています。
• ホームディレクトリ以下にある特定のディレクトリからファイルを開けない状態になっていました。
• 対処方法：アップデータを適用の上、LibreOfficeを再起動してください。

usn-3592-1, usn-3592-2：ClamAVのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004309.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004311.html
• Ubuntu 17.10・16.04 LTS・14.04 LTS・12.04 ESM用のアップデータがリリースされています。CVE-2018-0202, CVE-2018-1000085を修正します。
• 悪意ある加工を施したPDFファイルを開くことでメモリ破壊を伴うクラッシュが生じることがありました。任意のコードの実行に繋がると考えられます。また、XARファイルを開く際にクラッシュが生じることがありました。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。
• 備考：Upstreamの新しいリリースをそのまま利用したパッケージです。既存のバージョンとの互換性のないバグ修正が含まれている可能性があります。

usn-3593-1：Zshのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004310.html
• Ubuntu 17.10・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2014-10070, CVE-2014-10071, CVE-2014-10072, CVE-2016-10714, CVE-2017-18205, CVE-2017-18206, CVE-2018-7548, CVE-2018-7549を修正します。
• 悪意ある操作を行うことで、任意のコードの実行が可能でした。
• 対処方法：アップデータを適用の上、Zshを再起動してください。

usn-3594-1：Linux kernelのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-March/004312.html
• Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2017-5715を修正します。
• “⁠Spectre⁠”脆弱性への対処として、Retpolineベースの緩和策を導入します。
• 対処方法：アップデータを適用の上、システムを再起動してください。
• 備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。