Ubuntu Security Guide
Canonicalから
Ubuntu Security GuideはUbuntu Advantageで利用されるubuntu-advantage-toolsのサブモジュールとして実現されており、
jammyの開発/test rebuildとOEMリポジトリのケア
jammyのtest rebuildが開始されています
また、
- 20.
04 LTSでは、 各社のOEMデバイス (主に特定のラップトップ等の 「Ubuntuがプリインストールされた (もしくは専用のインストールイメージがある) デバイス」)専用のメタパッケージを導入し、 OEM archive経由でそれをアップデートしていることがあった。 - これはあくまでも
「20. 04 LTS向け」 としてデザインされていた。 - jammy
(22. 04 LTS) でOEM archiveをどうするべきか、 何か明確なデザインがあったかどうかがあまりさだかではない (もしかすると、 ないもしれない)。 - しかし現実として、
現在20. 04 LTS (+OEM archive) を利用している人が22. 04 LTSに問題なく (そして手間なく) アップデートできるようにする必要がある。いったい何が必要なのだろう? - もしかして、
今あるメタパッケージを単純に22. 04 LTS用にリビルドすればいい? そういうもの?
やや不安になる部分もある議論ではありますが、
その他のニュース
- GPD Pocket3用のUbuntu Mateが間もなくリリースされるという話題。
今週のセキュリティアップデート
- usn-5043-2:Exiv2の再アップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2022-January/ 006342. html - Ubuntu 21.
10・ 21. 04・ 20. 04 LTS用のアップデータがリリースされています。 - usn-5043-1に起因して、
別条件のDoSの余地がありました (LP#1941752)。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-5222-1:Apache Log4j 2のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2022-January/ 006343. html - Ubuntu 21.
10・ 21. 04・ 20. 04 LTS・ 18. 04 LTS用のアップデータがリリースされています。CVE-2021-44832, CVE-2021-45105を修正します。 - Log4Shellとともに発見された、
限定的な条件でのリモートコード実行とDoSを修正します。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-5224-1, usn-5224-2:Ghostscriptのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2022-January/ 006344. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2022-January/ 006349. html - Ubuntu 21.
10・ 21. 04・ 20. 04 LTS・ 18. 04 LTS・ 16. 04 ESM用のアップデータがリリースされています。CVE-2021-45944, CVE-2021-45949を修正します。 - 悪意ある入力を行うことで、
メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・ DoSが可能です。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-5225-1:lxmlのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2022-January/ 006345. html - Ubuntu 21.
10・ 21. 04・ 20. 04 LTS・ 18. 04 LTS・ 16. 04 ESM・ 14. 04 ESM用のアップデータがリリースされています。CVE-2021-43818を修正します。 - 悪意ある入力を行うことで、
任意のコードの実行が可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-5210-2:Linux kernelの再アップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2022-January/ 006346. html - Ubuntu 20.
04 LTS・ 18. 04 LTS用のアップデータがリリースされています。usn-5210-1の導入によって、 SEVを有効にした環境でブートに失敗する状態に陥っていました (LP#1956575)。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため、 通常はそのままアップデートの適用を行えば対応できます。
- https://
- usn-5226-1:systemdのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2022-January/ 006347. html - Ubuntu 21.
10・ 21. 04・ 20. 04 LTS用のアップデータがリリースされています。CVE-2021-3997を修正します。 - 悪意ある操作を行うことで、
ローカルユーザーがDoS・ 不定の動作を誘発することができました。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-5223-1:Apache Log4j 1.
2のセキュリティアップデート - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2022-January/ 006348. html - Ubuntu 21.
10・ 21. 04・ 20. 04 LTS・ 18. 04 LTS用のアップデータがリリースされています。CVE-2021-4104を修正します。 - 設定ファイルが編集可能という前提において、
DoS・ 任意のコードの実行が可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-5227-1, usn-5227-2:Pillowのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2022-January/ 006350. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2022-January/ 006352. html - Ubuntu 21.
10・ 21. 04・ 20. 04 LTS・ 18. 04 LTS・ 16. 04 ESM・ 14. 04 ESM用のアップデータがリリースされています。CVE-2021-23437, CVE-2021-34552, CVE-2022-22815, CVE-2022-22816, CVE-2022-22817を修正します。 - 悪意ある加工を施したファイルを処理させることで、
メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・ DoSが可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
- https://
- usn-5229-1:Firefoxのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2022-January/ 006351. html - Ubuntu 21.
10・ 21. 04・ 20. 04 LTS・ 18. 04 LTS用のアップデータがリリースされています。 - Firefox 96.
0 のUbuntuパッケージ版です。CVE-2021-4140, CVE-2022-22737, CVE-2022-22738, CVE-2022-22739, CVE-2022-22740, CVE-2022-22741, CVE-2022-22742, CVE-2022-22743, CVE-2022-22745, CVE-2022-22747, CVE-2022-22748, CVE-2022-22751, CVE-2022-22752を修正します。 - 対処方法:アップデータを適用の上、
Firefoxを再起動してください。
- https://