Ubuntu 20.04.1・18.04.5・16.04.7のリリース

Ubuntu 20.04・18.04・16.04のそれぞれのポイントリリースが行われました。奇妙に固まったタイミングでリリースされていますが、20.04と18.04はおおむね予定通りのリリースです。まずはそれぞれの立ち位置を確認していきましょう。

20.04.1は、20.04系列の最初のポイントリリースとなります。現状まだ20.04よりも新しいリリース版Ubuntuは存在しないので、HWEとしては20.04同等となり、「⁠インストール後のアップデートの手間を省く」ことが主な存在意義となります[1]⁠。変更点を確認の上、20.04の新規インストールに利用することになるでしょう。

18.04.5は、18.04系列の（例外的な措置が行われない限りは）最後のポイントリリースとなります。基本的には「20.04に由来するHWE」を取り込んだもので、「⁠最新のハードウェアにもインストールできる18.04」という立ち位置です。こちらは変更点を確認しつつ、20.04を導入することと天秤にかけながら導入することになります。

これらの「通常のポイントリリース」とは異なるのが16.04.7です。こちらは計画にないポイントリリースで、「⁠本来なら存在しなかったもの」です。“⁠BootHole⁠”問題に対応したインストールメディアを提供することを目的としており、ハードウェア対応としては16.04.5と同等、すなわち「18.04の初期状態と同等」のHWEを導入したものです。新規に更新されたメディアではありますが、特殊な事情がない限り、あまりこれを利用することはないでしょう。

いずれのポイントリリースも、「⁠リリース時点までのアップデータをあらかじめ適用してある」メディアであるという点ではこれまでと同様です。

“linux-dell300x”カーネルフレーバー

x64ベースの新しいカーネルフレーバー、linux-dell300xが準備されています。

具体的な利用目的はあまり明確にはされていないものの、ネーミングからこのあたりの製品群との関連性が見てとれるものとなっています。おそらくOEM市場向けではあり、直接的に関わってくるわけではないものの、Ubuntuの適用範囲の広がりを感じさせるものと言えるでしょう。

今週のセキュリティアップデート

usn-4444-1：WebKitGTKのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-August/005539.html
• Ubuntu 20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2020-9862, CVE-2020-9893, CVE-2020-9894, CVE-2020-9895, CVE-2020-9915, CVE-2020-9925を修正します。
• 対処方法：アップデータを適用の上、WebKitGTKを利用しているソフトウェアを再起動してください。

usn-4446-1：Squidのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-August/005540.html
• Ubuntu 18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2019-12520, CVE-2019-12523, CVE-2019-12524, CVE-2019-18676を修正します。
• 悪意ある入力を行うことでキャッシュインジェクション攻撃とDoSが可能でした。また、アクセス制御を迂回する手法が存在する状態でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4445-1：Ghostscriptのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-August/005541.html
• Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2020-15900を修正します。
• 悪意ある加工を施したPostScriptファイルを処理させることで、メモリ破壊を伴うクラッシュ誘発させることが可能でした。任意のコードの実行を含む、複数の影響があると考えられます。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4298-2：SQLiteのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-August/005542.html
• Ubuntu 14.04 ESM用のアップデータがリリースされています。CVE-2019-13734, CVE-2019-13750, CVE-2019-13751, CVE-2019-13752, CVE-2019-13753, CVE-2019-19926を修正します。
• usn-4298-1の14.04 ESM用パッケージです。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4447-1：libsshのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-August/005543.html
• Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-16135を修正します。
• 悪意ある入力を行うことでDoSが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4448-1：Tomcatのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-August/005544.html
• Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2020-13935, CVE-2020-1935, CVE-2020-9484を修正します。
• 悪意ある操作を行うことで、特定の条件を満たした環境において任意のコードの実行が可能でした。また、DoSが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4449-1：Apportのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-August/005545.html
• Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-11936, CVE-2020-15701, CVE-2020-15702を修正します。
• 悪意ある操作を行うことで、ローカルユーザーによる特権昇格とDoSが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4450-1：Whoopsieのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-August/005546.html
• Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-11937, CVE-2020-12135, CVE-2020-15570を修正します。
• 悪意ある操作を行うことで、ローカルユーザーによる特権昇格とDoSが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4451-1, usn-4451-2：pppのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-August/005547.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-August/005552.html
• Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS・Ubuntu 14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2020-15704を修正します。
• 悪意ある操作を行うことで、ローカルユーザーによる特権昇格が可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4452-1：libvirtのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-August/005548.html
• Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2020-15708を修正します。
• 悪意ある操作を行うことで、権限昇格が可能でした。
• 対処方法：アップデータを適用の上、システムを再起動してください。

usn-4432-2：GRUB2の再アップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-August/005549.html
• Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS・14.04 ESM用のパッケージがリリースされています。
• usn-4432-1において生じていたブート不能問題を解決します。
• 対処方法：アップデータを適用の上、システムを再起動してください。
• 備考：“⁠BootHole⁠”問題の完全な解決のためには、dbxの更新を別途行う必要があります。

usn-4441-2：MySQLの再アップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-August/005550.html
• Ubuntu 20.04 LTS用のアップデータがリリースされています。
• usn-4441-1において、コンパイルオプションの影響によって一部の環境で正常動作が得られなくなっていました（LP#1889851⁠）⁠。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4453-1：OpenJDK 8のセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-August/005551.html
• Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-14556, CVE-2020-14577, CVE-2020-14578, CVE-2020-14579, CVE-2020-14581, CVE-2020-14583, CVE-2020-14593, CVE-2020-14621を修正します。
• 対処方法：アップデータを適用の上、Javaアプリケーションを再起動してください。

usn-4454-1, usn-4454-2：Sambaのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-August/005553.html
• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-August/005555.html
• Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2020-14303を修正します。
• 悪意あるパケットを送出することで、AD DC NBTサーバへのDoSが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4455-1：NSSのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-August/005554.html
• Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS・14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2020-12400, CVE-2020-12401, CVE-2020-6829を修正します。
• 悪意ある操作を行うことで、本来秘匿されるべき情報にアクセスすることが可能でした。
• 対処方法：アップデータを適用の上、システムを再起動してください。

usn-4456-1：Dovecotのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-August/005556.html
• Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-12100, CVE-2020-12673, CVE-2020-12674を修正します。
• 悪意ある操作を行うことで、DoSが可能でした。
• 対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4457-1：Software Propertiesのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-August/005557.html
• Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-15709を修正します。
• PPAの説明におけるエスケープシーケンスの制御が不十分だったため、ユーザーが悪意あるPPAを登録してしまった場合、画面を不当に制御することが可能でした。
• 対処方法：アップデータを適用の上、システムを再起動してください。

usn-4458-1：Apache HTTP Serverのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-August/005558.html
• Ubuntu 20.04 LTS・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2020-11984, CVE-2020-11993, CVE-2020-1927, CVE-2020-1934, CVE-2020-9490を修正します。
• 対処方法：アップデータを適用の上、システムを再起動してください。

usn-4459-1：Saltのセキュリティアップデート

• https://lists.ubuntu.com/archives/ubuntu-security-announce/2020-August/005559.html
• Ubuntu 18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2018-15750, CVE-2018-15751, CVE-2019-17361, CVE-2020-11651, CVE-2020-11652を修正します。
• 悪意ある操作を行うことで、本来秘匿されるべき情報にアクセスすることが可能でした。
• 対処方法：アップデータを適用の上、saltを再起動してください。