新Ubuntu Advantageクライアントの提供と個人用無償ESMと14.04 ESM用Livepatch

14.04 LTSをまだ利用している[1]ユーザーにとって、とても嬉しいアナウンスがありました。

UbuntuのLTSリリースには、「⁠ESM」（⁠Extended Security Maintenance）と呼ばれる延長サポート期間（通常、サポート切れから+5年）が定義されています。ESMによる更新を受け取るには「Ubuntu Advantage」と呼ばれる有償サブスクリプションプログラムを購入する必要がありました。

今回のアナウンスは「コミュニティユーザーが」3マシンまでは無償でESMによる更新と、14.04 ESM向けの[2]Kernel Livepatchを利用できるようになる、というものとなっています[3]⁠。とりあえず、お手元に14.04が残っている、あるいは職場の14.04にはESMが提供されている（ので、自宅でもあえて14.04を使っておきたい⁠）⁠、といった人には嬉しい展開と言えそうです。利用を開始する場合は「ua」コマンドを実行してマシンを登録してください。

Raspberry Pi 4サポートのロードマップステートメント

Ubuntu 19.10でのRaspberry Pi 4のサポートについて、ロードマップの宣言が行われています。

• Ubuntu 19.10はRasberry Pi 4をサポートする。ただし、現時点では1GBと2GBモデルに限定。
• Raspberry Pi 4の4GBモデルではデフォルトのカーネルではUSBポートが利用できないので、カーネルの修正が入るまでは適宜ワークアラウンドを入れて利用してもらう（開発者向け⁠）⁠。ちなみにワークアラウンドの内容は「カーネルのブートオプションで利用可能なメモリを3GBに制約する」（⁠total_mem=3072⁠）⁠。

……ということで、「⁠何も考えずにRaspberry Pi 4の4GBモデルを使いたい」という場合には、まだもう少し時期を待つ必要があるようです。

今週のセキュリティアップデート

usn-4166-2：PHPのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-October/005167.html
• Ubuntu 14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2019-11043を修正します。
• usn-4166-1のUbuntuパッケージ版です。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4167-1,usn-4167-2：Sambaのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-October/005168.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-October/005170.html
• Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2019-10218, CVE-2019-14833, CVE-2019-14847を修正します。
• パス名の識別が正しく行われていないため、ネットワークパス名ではなくローカルパス名でのアクセスが可能でいｓた。また、悪意ある入力を行うことで、特定のカスタム認証を回避することができました。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4168-1：Libidn2のセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-October/005169.html
• Ubuntu 19.04・18.04 LTS用のアップデータがリリースされています。CVE-2019-12290, CVE-2019-18224を修正します。
• 悪意ある入力を行うことで、任意のコードの実行・ドメインの欺瞞が可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4169-1：libarchiveのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-October/005171.html
• Ubuntu 19.04・18.04 LTS・16.04 LTS・14.04 ESM用のアップデータがリリースされています。CVE-2019-18408を修正します。
• 悪意ある加工を施したアーカイブファイルを処理した場合に、任意のコードの実行が行われる場合がありました。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4170-1, usn-4170-2, usn-4170-3：Whoopsieのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-October/005172.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-October/005175.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-November/005179.html
• Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2019-11484を修正します。
• 悪意ある加工を施した特大サイズのクラッシュレポートを処理させることで、本来秘匿されるべき情報の漏出や任意のコードの実行が可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。
• 備考：usn-4170-1, usn-4170-2ではレポート送信時にクラッシュが生じる場合がありました（LP#1850608⁠）⁠。

usn-4171-1：Apportのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-October/005173.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-November/005178.html
• Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。
• 悪意ある加工を施したコアダンプを生成することで、権限上の制約を迂回することが可能でした。CVE-2019-11481, CVE-2019-11482, CVE-2019-11483, CVE-2019-11485, CVE-2019-15790を修正します。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4172-1, usn-4172-2：fileのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-October/005174.html
• Ubuntu 19.10・19.04・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2019-18218を修正します。
• 悪意ある加工を施したファイルを処理させることで、メモリ破壊を伴ったクラッシュが生じることがありました。可能性としては任意のコードの実行が可能です。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4173-1：FreeTDSのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-October/005176.html
• Ubuntu 19.10・19.04・18.04 LTS用のアップデータがリリースされています。CVE-2019-13508を修正します。
• 一定の条件下でメモリ破壊を伴ったクラッシュが生じることがありました。可能性としては任意のコードの実行が可能です。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。