『Zenbleed』に対するUbuntuの対応
Zen2シリーズ
影響があるのはZen 2アーキテクチャを採用したCPUファミリーです[1]。
今回見つかったものは、
攻撃のPoCコードは
もしシステムがパスワードを処理しているようなコンテキストで、
この問題のUbuntuでの対応は、
まず、
マイクロコードのロードには、
今回UbuntuがUSN-6244-1で行っているamd64-microcodeのアップデートは後者のもので、
一方、
まず有力な方法が、wrmsr -a 0xc0011029 $(($(rdmsr -c 0xc0011029) | (1<<9))
を実行する、
またこの脆弱性は、
……ということで、
よって、
その他のニュース
- Ubuntu Summitのロゴができるまで。
- どのベンダーかは不明なものの、
半導体ベンダーとの協働 (「Silicon vendor collaboration」 というカテゴリーで 「Work on concept」 と記載されている) が示唆されています。このあたりの痕跡からすると 「riscv64向けのデスクトップ」 という仮説が出てくるものの、 現状ではまだわかりません。
今週のセキュリティアップデート
usn-6234-1:Linux kernel (Xilinx ZynqMP)のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2023-July/ 007536. html - Ubuntu 20.
04 LTS用のアップデータがリリースされています。CVE-2023-35788を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため、 通常はそのままアップデートの適用を行えば対応できます。
usn-6235-1:Linux kernel (OEM)のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2023-July/ 007537. html - Ubuntu 22.
04 LTS用のアップデータがリリースされています。CVE-2022-4842, CVE-2023-0459, CVE-2023-0597, CVE-2023-1073, CVE-2023-2124, CVE-2023-2176, CVE-2023-2430, CVE-2023-35788を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため、 通常はそのままアップデートの適用を行えば対応できます。
usn-6078-2:libwebpのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2023-July/ 007538. html - Ubuntu 16.
04 ESM用のアップデータがリリースされています。CVE-2023-1999を修正します。 - usn-6078-1の16.
04向けパッケージです。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
usn-6183-2:Bindのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2023-July/ 007539. html - usn-6183-1のESM向けパッケージです。CVE-2023-2828を修正します。
- 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
usn-6233-1:YAJLのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2023-July/ 007540. html - Ubuntu 18.
04 ESM・ 16. 04 ESM・ 14. 04 ESM用のアップデータがリリースされています。CVE-2017-16516, CVE-2022-24795, CVE-2023-33460を修正します。 - 悪意ある入力を行うことで、
DoSが可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
usn-6236-1:ConnManのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2023-July/ 007541. html - Ubuntu 23.
04・ 22. 04 LTS・ 20. 04 LTS・ 18. 04 ESM・ 16. 04 ESM用のアップデータがリリースされています。CVE-2021-26675, CVE-2021-26676, CVE-2021-33833, CVE-2022-23096, CVE-2022-23097, CVE-2022-23098, CVE-2022-32292, CVE-2022-32293, CVE-2023-28488を修正します。 - 悪意ある入力を行うことで、
メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・ DoSが可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
usn-6237-1, usn-6237-2:curlのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2023-July/ 007542. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2023-July/ 007544. html - Ubuntu 23.
04・ 22. 10・ 22. 04 LTS・ 20. 04 LTS用のアップデータがリリースされています。CVE-2023-28321, CVE-2023-28322, CVE-2023-32001を修正します。 - 証明書の検証において、
偽装が可能な場合がありました。また、 本来秘匿されるべき情報へのアクセス・ DoS・ 本来期待されないファイルの上書きが生じる問題がありました。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。 - 備考:22.
04 LTS向けのアップデータに問題があったため、 usn-6237-2がリリースされています。
usn-6238-1:Sambaのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2023-July/ 007543. html - Ubuntu 23.
04・ 22. 10・ 22. 04 LTS・ 20. 04 LTS用のアップデータがリリースされています。CVE-2022-2127, CVE-2023-3347, CVE-2023-34966, CVE-2023-34967, CVE-2023-34968を修正します。 - 悪意ある入力を行うことで、
DoSが可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
usn-6239-1:ECDSA Utilのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2023-July/ 007545. html - Ubuntu 22.
04 LTS・ 20. 04 LTS・ 18. 04 ESM・ 16. 04 ESM用のアップデータがリリースされています。CVE-2022-24884を修正します。 - 署名検証が適切に行われず、
認証の迂回が可能な場合がありました。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
usn-6232-1:wkhtmltopdfのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2023-July/ 007546. html - Ubuntu 20.
04 LTS・ 18. 04 ESM・ 16. 04 ESM・ 14. 04 ESM用のアップデータがリリースされています。CVE-2020-21365を修正します。 - 悪意ある加工を施したファイルを処理させることで、
本来秘匿されるべき情報へのアクセスが可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
usn-6241-1:OpenStackのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2023-July/ 007547. html - Ubuntu 23.
04・ 22. 04 LTS用のアップデータがリリースされています。 - 削除されたボリュームの読み取りが可能な場合がありました。
- 対処方法:アップデータを適用の上、
必要な設定変更を行ってください。 - 備考: Ubuntu的な詳細情報・
関連情報も参照してください。
usn-6240-1:FRRのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2023-July/ 007548. html - Ubuntu 23.
04用のアップデータがリリースされています。CVE-2023-3748を修正します。 - 悪意ある入力を行うことで、
DoSが可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
usn-6242-1:OpenSSHのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2023-July/ 007549. html - Ubuntu 23.
04・ 22. 04 LTS・ 20. 04 LTS用のアップデータがリリースされています。CVE-2023-38408を修正します。 - エージェント転送を行っている状況において、
悪意ある入力を行うことで不当なライブラリのロード・ 任意のコードの実行・ ファイルの上書きが可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
usn-6243-1:Graphite-Webのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2023-July/ 007550. html - Ubuntu 22.
04 LTS・ 20. 04 LTS・ 18. 04 ESM・ 16. 04 ESM・ 14. 04 ESM用のアップデータがリリースされています。CVE-2017-18638, CVE-2022-4728, CVE-2022-4729, CVE-2022-4730を修正します。 - 悪意ある入力を行うことで、
サーバーサイドリクエストフォージェリとXSS・ 本来秘匿されるべき情報へのアクセスが可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。