noble(Ubuntu 24.04 LTS)の開発 / xz-utils問題(CVE-2024-3094)への対応のためのベータ延期とMilk-Vサポート
3月末、
この問題への対応として、
一方で、
なお、
- この開発者によるバックドアは、
明らかに意識的に、 システムを侵害するためのバックドアとしてデザインされている。 - DebianやUbuntu、
あるいはFedoraのパッケージを生成するタイミングで 「問題のバイナリ」 が生成されるように細工が行われていた。 - この細工が行われたのは2月26日。
- 特定の秘密鍵を持っているユーザーは、
このコードの影響下にある (libsystemdとリンクして動作している結果として問題のあるliblzmaをロードしている) システムにSSHログインできるようになる。
Ubuntuのユーザーとして理解しておくべきことは次の通りです。ただちに何か行動をする必要は、
- 悪意あるコードが含まれるバージョン
(5. 6.0、 5. 6.1) のxz-utilsは、 noble-proposedにしか存在しない。つまり、 通常のリリースバージョンだけでなく、 nobleの通常の開発環境にも存在していないため、 このバックドアの直接の影響を受けることはない。 - ただし、
nobleの開発に参加しており、 かつ、 xz-utilsの最新版をテストするためにnoble-proposedを有効にした環境では影響を否定できない。もしもインターネットに直接SSHdを提供している環境だった場合、 システムの再インストールを行ったほうがよいかもしれない。 - 問題の開発者がコードをコミットしたこの2年ほどのxz-utilsは、
システムに存在している可能性がある。現時点でいくつかの 「悪意ある改変」 は発見されているが、 CVE-2024-3094以外には、 システムにただちに危険をもたらすものは今のところ発見されていない。
これらの横で、
Milk-V MarsはStarFive VisionFive 2が採用するものと同じSoC
その他のニュース
- 「MicrosoftがWindows 10ユーザーのうち、
Windows 11非対応の環境を使っている人に対してUbuntuへの乗り換えを推奨している 」という、 4月1日にIt's FOSS Newsによって提供されたニュース。文脈を補完しておくと、 「Windows 11では、 それなりに新しいハードウェアが必要になり、 Windows 10が動いているからといって11にアップグレードできるとは限らない」 という前提を把握しておく必要があります。ただし繰り返しますが、 このニュースの公開日は4月1日です (つまり 「ありえても決しておかしくはないものの、 これはただのエイプリルフールのネタ」 という話です)。
今週のセキュリティアップデート
usn-6717-1:Thunderbirdのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2024-March/ 008199. html - Ubuntu 23.
10・ 22. 04 LTS・ 20. 04 LTS用のアップデータがリリースされています。CVE-2023-5388, CVE-2024-0743, CVE-2024-2607, CVE-2024-2608, CVE-2024-2610, CVE-2024-2611, CVE-2024-2612, CVE-2024-2614, CVE-2024-2616を修正します。 - Thunderbird 115.
9.0 のUbuntuパッケージ版です。 - 対処方法:アップデータを適用の上、
Thunderbirdを再起動してください。
usn-6718-1, usn-6718-2:curlのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2024-March/ 008200. html - https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2024-March/ 008201. html - Ubuntu 23.
10・ 22. 04 LTS・ 20. 04 LTS・ 18. 04 ESM・ 16. 04 ESM用のアップデータがリリースされています。CVE-2024-2004, CVE-2024-2398を修正します。 - 悪意ある入力を行うことで、
DoSが可能でした。また、 プロトコル制約が意図せず機能しない場合がありました。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
usn-6719-1:util-linuxのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2024-March/ 008202. html - Ubuntu 23.
10・ 22. 04 LTS・ 20. 04 LTS用のアップデータがリリースされています。CVE-2024-28085を修正します。 - 悪意ある操作を行うことで、
本来秘匿されるべき情報へのアクセスが可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
usn-6686-5:Linux kernel (Intel IoTG)のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2024-March/ 008203. html - Ubuntu 22.
04 LTS・ 20. 04 LTS用のアップデータがリリースされています。CVE-2023-22995, CVE-2023-4134, CVE-2023-46343, CVE-2023-46862, CVE-2023-51779, CVE-2023-51782, CVE-2023-6121, CVE-2024-0340, CVE-2024-0607を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため、 通常はそのままアップデートの適用を行えば対応できます。
usn-6715-1:unixODBCのセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2024-March/ 008204. html - Ubuntu 23.
10・ 22. 04 LTS・ 20. 04 LTS・ 18. 04 ESM・ 16. 04 ESM用のアップデータがリリースされています。CVE-2024-1013を修正します。 - 悪意ある操作を行うことで、
メモリ破壊を伴うクラッシュを誘発することが可能でした。任意のコードの実行・ DoSが可能でした。 - 対処方法:通常の場合、
アップデータを適用することで問題を解決できます。
usn-6704-4:Linux kernel (Intel IoTG)のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2024-March/ 008205. html - Ubuntu 22.
04 LTS・ 20. 04 LTS用のアップデータがリリースされています。CVE-2023-23000, CVE-2023-32247, CVE-2024-1085, CVE-2024-1086, CVE-2024-24855を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため、 通常はそのままアップデートの適用を行えば対応できます。
usn-6707-4:Linux kernel (Azure)のセキュリティアップデート
- https://
lists. ubuntu. com/ archives/ ubuntu-security-announce/ 2024-March/ 008206. html - Ubuntu 22.
04 LTS用のアップデータがリリースされています。CVE-2024-1085, CVE-2024-1086, CVE-2024-26597, CVE-2024-26599を修正します。 - 対処方法:アップデータを適用の上、
システムを再起動してください。 - 備考:ABIの変更を伴いますので、
カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ (標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど) は依存性により自動的にアップデートされるため、 通常はそのままアップデートの適用を行えば対応できます。