Ubuntu Weekly Topics

2018年8月24日号LXDの.deb→snapパッケージ移行、続Spectre・“L1TF”(Foreshadow/Foreshadow-NG)への対応

LXDの.deb→snapパッケージ移行

歴史が変わる(かもしれない)新しい一歩が始まりました。

LXDのパッケージ形式が、.debからsnapへ、切り替える予定が示されています[1]⁠。LXDは「snapに軸足を移しつつあるが、Ubuntuでは.debパッケージも保持されていた」というステータスにありましたが、これからは「snapが必須」というステータスに切り替わることになります。

これは既存のUbuntu向けLXDを置き換えるものではなく、18.10での動きとなります。snapへの移行が完了しても「.debベースのLXDパッケージ」が削除されるわけではなく、⁠snapパッケージ版LXDを呼び出すもの」として保持される予定です注2)。

各種コンテナの保存場所が変わること、依存関係を解決できるように措置する必要があること(LXDに依存しているパッケージが一定数存在します)といった点は順次解決される予定です。

続Spectre・“L1TF”(Foreshadow/Foreshadow-NG)への対応

“Spectre⁠脆弱性に類似した新しいCPUへのサイドチャネル攻撃、⁠L1TF⁠(L1 Terminal Fault; 別名⁠Foreshadow⁠⁠、⁠Foreshadow-NG⁠⁠)が公表されました。攻撃としての特性や性質はSpectreと似通っており、⁠カーネルが隔離しているメモリに格納されたデータを推定できる」というものです。

Ubuntuでも対処が進められており、対応の概要ナレッジベースの整理が行われました。

Ubuntuのユーザーが行うべきことは次の通りです。

  • CPUマイクロコードを更新する[3]⁠。
  • カーネルを更新する。

対処において注意すべき点として、⁠サイドチャネル攻撃からの保護には、カーネル更新だけでなく、CPUマイクロコードを更新しなくてはならない場合がある」⁠カーネルによる保護機能にマイクロコード更新によって追加される新しい命令が必要)という点があります。利用しているCPUにおいて、新しいマイクロコードが適切に提供されているかを確認してください[4]⁠。

ただし、これらの対処とともに、そもそも「信頼できないコード」を、⁠保護すべきデータ」が存在する場所で走らせないようにする対処も必要です。この方針はSpectre/Meltdown脆弱性が公表されてからの新しい常識とも言えるものですが、⁠まだ公表されていないかもしれない新しい脆弱性によって)CPUによる保護が破られる可能性があるため、環境を適切に隔離する」という点を守るようにしましょう。なおブラウザ上で動く(信頼できない広告サイトから配信されるかもしれない)JavaScript等は、Spectre/Meltdown騒動の際に一定の対処が行われたため、現状の常識では十分に隔離されており、サイドチャネル攻撃を通すことは難しい状態となっています。

これらの対策と合わせて、⁠L1TF⁠による攻撃ポイントとして存在するHyper-Threading Technology等のSMT(Simultaneous Multithreading)機能の有効・無効を制御するユーティリティを提供する、smt-snapパッケージがsnap形式でダウンロードできるようになっています。これを利用することで、再起動なしにSMT設定を変更することもできます。

その他のニュース

今週のセキュリティアップデート

usn-3734-1:OpenJDK 8のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004527.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2018-2952を修正します。
  • 悪意ある入力を行うことで、Javaアプリケーションをメモリ過大消費状態に陥らせることが可能でした。DoSに悪用できます。
  • 対処方法:アップデータを適用の上、Javaアプリケーションを再起動してください。
  • 備考:Upstreamのリリースをそのまま利用したパッケージです。非互換をもたらす変更が含まれている場合があります。
usn-3735-1:OpenJDK 7のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004528.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2018-2952を修正します。
  • 悪意ある入力を行うことで、Javaアプリケーションをメモリ過大消費状態に陥らせることが可能でした。DoSに悪用できます。
usn-3737-1:GDMのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004530.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2018-14424を修正します。
  • ローカルユーザーが特定の処理を実行させることで、解放済みのメモリへのアクセスを誘発することができました。任意のコードの実行につながるクラッシュを意図的に発生させることが可能です。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
usn-3736-1:libarchiveのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004531.html
  • Ubuntu 18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2016-10209, CVE-2016-10349, CVE-2016-10350, CVE-2017-14166, CVE-2017-14501, CVE-2017-14503を修正します。
  • 悪意ある加工を施したアーカイブを処理させることで、クラッシュ・本来秘匿されるべき情報の漏出を誘発させることが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-3738-1:Sambaのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004532.html
  • Ubuntu 18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-10858, CVE-2018-10918, CVE-2018-10919, CVE-2018-1139を修正します。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-3739-1, usn-3739-2:libxml2のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004533.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004534.html
  • Ubuntu 18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2016-9318, CVE-2017-16932, CVE-2017-18258, CVE-2018-14404, CVE-2018-14567を修正します。
  • 悪意ある加工を施したXMLファイルを処理刺せることで、本来秘匿すべき情報の漏出、DoSの誘発が可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-3740-1, usn-3740-2:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004536.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004537.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2018-3620, CVE-2018-3646, CVE-2018-5391への修正ないし緩和策を提供します。
  • ⁠L1TF⁠を含む複数の脆弱性の緩和策を含むアップデートです。⁠L1TF⁠への緩和策の利用にはCPUマイクロコードの更新が必要です。
  • 対処方法:アップデータを適用の上で、CPUマイクロコードを更新できる状態を整えた上でシステムを再起動してください。
usn-3741-1, usn-3741-2:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004538.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004539.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004546.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2018-3620, CVE-2018-3646, CVE-2018-5390, CVE-2018-5391への修正ないし緩和策を提供します。
  • ⁠L1TF⁠を含む複数の脆弱性の緩和策を含むアップデートです。⁠L1TF⁠への緩和策の利用にはCPUマイクロコードの更新が必要です。
  • 対処方法:アップデータを適用の上で、CPUマイクロコードを更新できる状態を整えた上でシステムを再起動してください。
  • 備考:14.04 LTS向けの更新カーネルには、システムが起動不能になる問題がありました。LP#1787127を参照してください。
usn-3742-1, usn-3742-2, usn-3742-3:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004540.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004541.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004549.html
  • Ubuntu 14.04 LTS・12.04 ESM用のアップデータがリリースされています。CVE-2017-18344, CVE-2018-3620, CVE-2018-3646, CVE-2018-5390, CVE-2018-5391を修正します。
  • ⁠L1TF⁠を含む複数の脆弱性の緩和策を含むアップデートです。⁠L1TF⁠への緩和策の利用にはCPUマイクロコードの更新が必要です。
  • 対処方法:アップデータを適用の上で、CPUマイクロコードを更新できる状態を整えた上でシステムを再起動してください。
  • 備考:ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。
usn-3733-2:GnuPGのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004542.html
  • Ubuntu 12.04 ESM用のアップデータがリリースされています。CVE-2017-7526を修正します。
  • usn-3733-1の12.04 ESM用バージョンです。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-3744-1:PostgreSQLのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004543.html
  • Ubuntu 18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-10915, CVE-2018-10925を修正します。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
  • 備考:Upstreamのリリースをそのまま利用したパッケージです。非互換をもたらす変更が含まれている場合があります。
usn-3743-1:WebKitGTK+のセキュリティアップデート
usn-3658-3:procps-ngのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004545.html
  • Ubuntu 12.04 ESM用のアップデータがリリースされています。CVE-2018-1122, CVE-2018-1123, CVE-2018-1125を修正します。
  • USN-3658-1の12.04 ESM用バージョンです。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-3745-1:wpa_supplicant and hostapdのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004547.html
  • Ubuntu 18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-14526を修正します。
  • 対処方法:アップデータを適用の上、システムを再起動してください。
  • 悪意ある加工を施したメッセージを受信させることで、本来秘匿されるべき情報を漏出させることが可能でした。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-3746-1:APTのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004548.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2018-0501を修正します。
  • mirror://メソッドを利用している場合に、悪意あるサーバーから、もしくはMiTM攻撃を行われた場合に、改変されたパッケージを検知できない場合がありました。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-3747-1:OpenJDK 10のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004550.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2018-2825, CVE-2018-2826, CVE-2018-2952, CVE-2018-2972を修正します。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。
usn-3748-1:base-filesのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-August/004551.html
  • Ubuntu 18.04 LTS用のアップデータがリリースされています。CVE-2018-6557を修正します。
  • MOTDを更新するスクリプトに、古典的symlink攻撃を許す問題がありました。Ubuntuではデフォルトでsymlink restrictionを提供しているためこれを利用して特権を奪取することはできませんが、DoSとして機能させることができます。
  • 対処方法:通常の場合、アップデータを適用することで問題を解決できます。

おすすめ記事

記事・ニュース一覧