Spectre v2対策 “Enhanced IBRS”のマージ

2018年初頭に業界を混乱に追い込んだ、「⁠Spectre」脆弱性への、新しいアプローチがUbuntuに搭載されようとしています。通称、“⁠Enhanced IBRS⁠”または“⁠IBRS Always On⁠”と呼ばれるこの実装は、Intel製の最新世代のプロセッサにハードウェア的に実装された、パフォーマンスペナルティが小さく[1]かつ複雑な実装を必要とせず、プロセッサのセキュリティ機能を犠牲にすることのない[2]⁠、新世代のSpectre Variant 2を回避するための機能です。この更新が適用されたカーネルを使い、Full IBRSを利用できる世代のプロセッサを併用することで、既知のSpectre Variant 2の影響を遮断できます[3]⁠。

なお、この機能を現実的に利用するには、2018年末（以降）にリリースされるであろう“⁠Cascade Lake⁠”また“⁠Gemini Lake+⁠”（GLK+）以降のハードウェアが必須であり、「⁠今動いているハードウェア」で利用されるシナリオはない（かつ、14.04 LTS世代のカーネルにバックポートするには相当な作業が必要になる）ことから、14.04 LTSへのバックポートは行わないという決断が行われています。

その他のニュース

• @msdev（⁠「⁠Microsoft Developer」という名前のMicrosoft公式アカウント）による、「⁠Ubuntu 18.04をWindows 10上で使うためのTips」へ誘導するツイート。Hyper-VによるUbuntu 18.04環境のガイドです。これを、開発者向けとはいえMicrosoft公式アカウントが示すというあたり、もはやBug#1は完全に過去のものになったと言えるでしょう。
• 『IBMによるRed Hat買収』に関するMark Shutleworthからのステートメント。全体のメッセージとしては、「⁠We are determined that Ubuntu is judged as the world’s most secure, most cost-effective and most faithful vehicle for open source initiatives.」（⁠参考訳：我々はUbuntuこそが世界でもっともセキュアで、コスト効率がよく、そして信頼に足るオープンソース主導の世界へ向かうバスであると確信している）といった力強いメッセージとともに、この2社の連携による価値と、それによる市場の開拓を歓迎する、という方向のものとなっています[4]⁠。
• Ubuntu 19.04はDisco Dingoであろうという記事。現時点でまだ公式発表はないので、今後変更になる可能性がある点に注意してください。LP上のエントリも存在するため、「⁠ほぼ」決まりというステートではあるものの、オフィシャルなアナウンスよりも前の段階で何かを信じるべきではありません。

今週のセキュリティアップデート

usn-3788-2：Tex Live-binのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-October/004635.html
• Ubuntu 18.10用のアップデータがリリースされています。CVE-2018-17407を修正します。
• usn-3788-1のUbuntu 18.10用パッケージです。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-3799-1：MySQLのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-October/004636.html
• Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-3133, CVE-2018-3143, CVE-2018-3144, CVE-2018-3155, CVE-2018-3156, CVE-2018-3161, CVE-2018-3162, CVE-2018-3171, CVE-2018-3173, CVE-2018-3174, CVE-2018-3185, CVE-2018-3187, CVE-2018-3200, CVE-2018-3247, CVE-2018-3251, CVE-2018-3276, CVE-2018-3277, CVE-2018-3278, CVE-2018-3282, CVE-2018-3283, CVE-2018-3284を修正します。
• CPUOct2018に相当するアップデータです。MySQL 5.5系を5.5.62へ、5.7系を5.7.24へ更新します。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-3800-1：audiofileのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-October/004637.html
• Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2018-13440, CVE-2018-17095を修正します。
• 悪意ある加工を施したファイルを処理させることで、任意のコードの実行・DoSを誘発することが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-3801-1：Firefoxのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-October/004638.html
• Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-12388, CVE-2018-12390, CVE-2018-12392, CVE-2018-12393, CVE-2018-12395, CVE-2018-12396, CVE-2018-12397, CVE-2018-12398, CVE-2018-12399, CVE-2018-12401, CVE-2018-12402, CVE-2018-12403を修正します。
• Firefox 63.0のUbuntuパッケージ版です。
• 対処方法：アップデータを適用の上、Firefoxを再起動してください。

usn-3802-1：X.Org X serverのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-October/004639.html
• Ubuntu 18.10・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2018-14665を修正します。
• ラッパースクリプトの権限チェックが適切に行われていないため、権限昇格やファイルの上書きのために悪用することが可能でした。
• 対処方法：アップデータを適用の上、システムを再起動してください。

usn-3799-2：MySQLのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-October/004640.html
• Ubuntu 12.04 ESM用のアップデータがリリースされています。CVE-2018-3133, CVE-2018-3174, CVE-2018-3282を修正します。
• usn-3799-1のUbuntu 12.04 ESM用パッケージです。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。