2021年6月11日号　impishの開発・OpenLDAPのトランジション、Meltdown/Spectre/Foreshadow後の世界/EIBRSの更新

impishの開発・OpenLDAPのトランジション

impishの開発において、PHP 8.0のトランジション[1]に続いて、OpenLDAP 2.5への変更が開始されています。

こちらはPHP 8.0の場合と異なり、「⁠変化そのものによって多大な互換性問題が起きる」というよりは、「⁠パッケージのビルドに少し問題が起きる」（⁠ビルド周りの調整だけでたいてい問題はなく、PHPのケースのように大幅な書き直しが必要というわけではない）という属性のものです。基本的には開発者にだけ影響するものではあるものの、OpenLDAPに依存するようなワークロードが存在する場合は少しだけ気にしておくべきかもしれません。

Meltdown/Spectre/Foreshadow後の世界・EIBRSの更新

大きな出来事である、と言えるものではありませんが、『⁠いつものように』Intel製プロセッサの新しい脆弱性が公表されました。以前は業界を揺るがす大きな出来事であったプロセッサの脆弱性の公表も、年二回の恒例行事に変化しつつあります。

今回はカーネル側の対処ではなく、主にマイクロコードの更新が主体となります。ポイントとしては、Spectre対策として提供されているEIBRSに起因するエンバグに近い脆弱性（CVE-2020-24511）への対処が含まれていることで、「⁠プロセッサには脆弱性が発見されることがある」「⁠発見された脆弱性はマイクロコードでパッチされる」「⁠パッチされたがうまく動かないことがある」「⁠さらに問題が起きることがある」（⁠今回発見されたのはここ）と、なかなかにハードな展開となっています。

もっとも、ユーザーが行うべきは「マイクロコードを更新するパッチをダウンロードして適用する（場合によっては再起動が必要⁠）⁠」というだけで、特に今回特有の新しい要素はありません[2]⁠。

[2]Intel製プロセッサのマイクロコードの更新は大きく二つの方法があります。一つはマザーボード側に更新されたマイクロコードを導入し（いわゆる「ファームウェアの更新」「⁠BIOSの更新（UEFIの更新⁠）⁠」と呼ばれる作業です⁠）⁠、それをシステム起動時に読み込ませる方法、もう一つはOS側に新しいマイクロコードを保持し、OSの起動時に動的ロードする方法です（Ubuntu的に配布しているintel-microcodeパッケージのアップデートはこちらに当たります⁠）⁠。いずれの方法でも、マイクロコードの更新はシステムの電源が切れるまで有効になります。プロセッサの脆弱性は時にマイクロコードの更新単独では機能せず、OS側（カーネル側）にも一定の更新を必要とする場合もあります。そうなると「特定の組み合わせを満たす」というアップデート作業が必要になって厄介なのですが、今回のケースでは「マイクロコードの更新だけでOK」という形となります。

その他のニュース

とあるサウジアラビアの大学において、OpenStack環境をCharmed OpenStackとCharmed Kubernetesに置き換えたというプレスリリース。
比較的古典的な、「⁠パスワードクラックをGPGPU（CUDA）で加速する」というアプローチをいろいろなインスタンスで試してみたというblog記事。

今週のセキュリティアップデート

usn-4970-1：GUPnPのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006048.html
Ubuntu 21.04・20.10・20.04 LTS用のアップデータがリリースされています。CVE-2021-33516を修正します。
悪意あるWebサイトからUPnP的な操作を行うことが可能でした。
対処方法：アップデータを適用の上、システムを再起動してください。

usn-4971-1：libwebpのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006049.html
Ubuntu 21.04・20.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2018-25009, CVE-2018-25010, CVE-2018-25011, CVE-2018-25012, CVE-2018-25013, CVE-2018-25014, CVE-2020-36328, CVE-2020-36329, CVE-2020-36330, CVE-2020-36331, CVE-2020-36332を修正します。
悪意ある加工を施した画像ファイルを処理させることで、メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行に応用できる可能性があります。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4972-1：PostgreSQLのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006050.html
Ubuntu 21.04・20.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-32027, CVE-2021-32028, CVE-2021-32029を修正します。
PostgreSQL 13.3・12.7・10.17のUbuntuパッケージ版です。
対処方法：アップデータを適用の上、PostgreSQLを再起動してください。

usn-4973-1：Pythonのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006051.html
Ubuntu 20.10・20.04 LTS用のアップデータがリリースされています。CVE-2021-29921を修正します。
八進数ベースのIPアドレス表記の扱いが正しくないため、アクセス制御の迂回他、さまざまな悪用が可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4974-1：Lassoのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006052.html
Ubuntu 21.04・20.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-28091を修正します。
SAML応答署名確認が不十分なため、アクセス制御の迂回となりすましが可能でした。
対処方法：アップデータを適用の上、Lassoを利用するアプリケーションを再起動してください。

usn-4975-1：Djangoのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006053.html
Ubuntu 21.04・20.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-32052, CVE-2021-33203, CVE-2021-33571を修正します。
悪意ある入力を行うことで、ヘッダインジェクション・任意のファイルの上書き・アクセス制御の迂回が可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4976-1：Dnsmasqのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006054.html
Ubuntu 21.04・20.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-3448を修正します。
特定の設定において、ポートのランダム化が適切に行われておらず、DNSキャッシュポイゾニングが可能な場合がありました。
対処方法：アップデータを適用の上、システムを再起動してください。

usn-4977-1：Linux kernelのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006055.html
Ubuntu 21.04用のアップデータがリリースされています。CVE-2020-25670, CVE-2020-25671, CVE-2020-25672, CVE-2020-25673, CVE-2021-29155, CVE-2021-3501を修正します。
対処方法：アップーデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-4978-1：Firefoxのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006056.html
Ubuntu 21.04・20.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-29959, CVE-2021-29960, CVE-2021-29961, CVE-2021-29966, CVE-2021-29967を修正します。
Firefox 89.0のUbuntuパッケージ版です。
対処方法：アップデータを適用の上、Firefoxを再起動してください。

usn-4979-1：Linux kernelのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006057.html
Ubuntu 18.04 LTS・16.04 ESM・14.04 ESM用のアップデータがリリースされています。CVE-2020-25670, CVE-2020-25671, CVE-2020-25672, CVE-2020-25673, CVE-2021-28660, CVE-2021-28964, CVE-2021-28971, CVE-2021-28972, CVE-2021-29647, CVE-2021-31916, CVE-2021-33033, CVE-2021-3428, CVE-2021-3483を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-4980-1：polkitのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006058.html
Ubuntu 21.04・20.10・20.04 LTS用のアップデータがリリースされています。CVE-2021-3560を修正します。
悪意ある操作を行うことで、権限昇格が可能でした。
対処方法：アップデータを適用の上、システムを再起動してください。

usn-4981-1：Squidのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006059.html
Ubuntu 21.04・20.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2021-28651, CVE-2021-28652, CVE-2021-28662, CVE-2021-31806, CVE-2021-31807, CVE-2021-31808, CVE-2021-33620を修正します。
悪意ある操作・応答により、DoSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-4982-1：Linux kernelのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006060.html
Ubuntu 20.04 LTS・18.04 LTS用のアップデータがリリースされています。CVE-2020-25670, CVE-2020-25671, CVE-2020-25672, CVE-2020-25673, CVE-2021-28688, CVE-2021-28950, CVE-2021-28964, CVE-2021-28971, CVE-2021-28972, CVE-2021-29264, CVE-2021-29647, CVE-2021-31916, CVE-2021-3483を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-4983-1：Linux kernel (OEM)のセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006061.html
Ubuntu 20.04 LTS用のアップデータがリリースされています。CVE-2021-29155, CVE-2021-31829, CVE-2021-33200, CVE-2021-3501を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-4984-1：Linux kernelのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006062.html
Ubuntu 20.10・20.04 LTS用のアップデータがリリースされています。CVE-2021-28038, CVE-2021-28660, CVE-2021-28688, CVE-2021-28950, CVE-2021-28952, CVE-2021-28964, CVE-2021-28971, CVE-2021-28972, CVE-2021-29647, CVE-2021-30002, CVE-2021-31916, CVE-2021-33033, CVE-2021-3483を修正します。
対処方法：アップデータを適用の上、システムを再起動してください。
備考：ABIの変更を伴いますので、カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ（標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど）は依存性により自動的にアップデートされるため、通常はそのままアップデートの適用を行えば対応できます。

usn-4969-3：DHCPの再アップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006063.html
Ubuntu 21.04用のアップデータがリリースされています。
usn-4969-1の修正後、一部の適切な設定ファイルも拒否する問題が生じていました。

usn-4937-2：GNOME Autoarの再アップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2021-June/006064.html
Ubuntu 21.04・20.10・20.04 LTS・18.04 LTS用のアップデータがリリースされています。
usn-4937-1の修正後、適切なアーカイブファイルも展開できない場合がありました。
対処方法：アップデータを適用の上、セッションを再起動（一度ログアウトして再度ログイン）してください。