Ubuntu Weekly Topics

2019年3月8日号 Ubuntu 16.04.6のリリースとCertbotパッケージの更新

この記事を読むのに必要な時間:およそ 3 分

Ubuntu 16.04.6のリリース

Ubuntu 16.04 LTSに,⁠6回目」のポイントリリースがやってきました。2月末にリリースされたUbuntu 16.04.6は,もともとのリリースプランには存在しなかった例外的なリリースとなります。

リリースされた理由は「Unlike previous point releases, 16.04.6 is a security-targeted release for the purpose of providing updated installation media which protects new installations from the recently discovered APT vulnerability (USN-3863-1).」⁠参考訳:これまでのポイントリリースとは異なり,16.04.6はセキュリティを主目的としたリリースです。このリリースは,アップデート済みのリリースメディアを提供することで,新規にインストールされた環境をAPTの脆弱性usn-3863-1)から保護することにあります)というものです注1)⁠

リリース理由こそ若干特殊なものの,基本的な発想は既存のポイントリリースと同じく,⁠リリース時点までに提供されているアップデートをあらかじめ適用したインストールメディア」というもので,16.04.5の更新版として利用できます。また一方で,すでに16.04 LTSを利用している場合は,アップデートを行うことで(ただし,aptの脆弱性を踏まないようにリダイレクトを抑制しながら)16.04.6と同じ状態にできるため,再インストールを行う必要はありません。

注1
usn-3863-1CVE-2019-3462については,aptのオプションにAcquire::http::AllowRedirect=falseを付与することでリダイレクトを抑制することで回避できます。しかし,まだ無料期間だけでも2年以上のサポート期間を持つ16.04 LTSにおいて,このオプションをEOLまで適切に語り継いでいくコストがかなり大きいためです。

なお,16.04 LTSではLet's Encryptで利用するCertbotパッケージのバージョンが古く,危殆化によってdeprecateされる認証方式(TLS-SNI-01 Validation)だけをサポートしているために3月13日以降利用できなくなる問題が存在しますLP#1640978)⁠そこで,その対応版への更新が予定されており,現在このパッケージの動作確認のためのCall for Testingが行われています注2)⁠

注2
ちなみに対応の具体的な方法は「18.04から関連パッケージを含めて一式バックポートしてくる」というものです。

その他のニュース

  • disco(19.04)に,5.0系カーネルが投入されました。またFeature Freezeが行われ,そろそろラストスパートの準備が始まる頃合いになりました。
  • ChromebookでLXDを利用する方法。残念ながら「LXD経由でDockerを入れて,ChromebookをDockerホストとして使う」作戦はうまく機能しない可能性がありますが(理由:非特権モードで動作するから+世の中にあるDockerイメージの多くは特権モードを前提にしているから)⁠LXDで動く軽量仮想マシンを使うことで,面白い使い方ができるかもしれません。

今週のセキュリティアップデート

usn-3892-1:GDMのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-February/004775.html
  • Ubuntu 18.10・18.04 LTS用のアップデータがリリースされています。CVE-2019-3825を修正します。
  • 悪意ある操作を行うことで,他のユーザーの権限を取得することが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3866-2, usn-3866-3:Ghostscriptの再アップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-February/004776.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-February/004779.html
  • Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。
  • usn-3866-1において,特定のページサイズを指定した場合に正常に動作しない状態に陥っていました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3893-1:Bindのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-February/004777.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-February/004778.html
  • Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS・12.04 ESM用のアップデータがリリースされています。CVE-2018-5744, CVE-2018-5745, CVE-2019-6465を修正します。
  • 悪意ある入力を行うことでDoSが可能でした。また,DLZを利用している場合,本来の期待とは異なるアクセス制御が行われていたため,不当なZone Walkingが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3894-1:GNOME Keyringのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-February/004780.html
  • Ubuntu 16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-20781を修正します。
  • クレデンシャルの破棄が適切に行われていないため,ログインクレデンシャルの不当な推定に利用できました。
  • 対処方法:アップデータを適用の上,セッションを再起動(一度ログアウトして再度ログイン)してください。
usn-3895-1:LDBのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-February/004781.html
  • Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2019-3824を修正します。
  • 悪意ある操作を行うことで,SambaのLDAPプロセスをクラッシュさせることが可能でした。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-3896-1:Firefoxのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-February/004782.html
  • Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2018-18356, CVE-2018-18511, CVE-2019-5785を修正します。
  • Firefox 65.0.1のUbuntuパッケージ版です。
  • 対処方法:アップデータを適用の上,Firefoxを再起動してください。
usn-3897-1:Thunderbirdのセキュリティアップデート
usn-3898-1, usn-3898-2:NSSのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-February/004784.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-February/004786.html
  • Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS・12.04 ESM用のアップデータがリリースされています。CVE-2018-18508を修正します。
  • 悪意ある入力を行うことで,DoSが可能でした。
  • 対処方法:アップデータを適用の上,NSSを利用するアプリケーションを再起動してください。
usn-3899-1:OpenSSLのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-February/004785.html
  • Ubuntu 18.10・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2019-1559を修正します。
  • 特定のアプリケーションにおいて,パディングオラクル攻撃が可能な形でOpenSSLが利用されていました。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-3900-1:GDのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-February/004787.html
  • Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2019-6977, CVE-2019-6978を修正します。
  • 悪意ある加工を施した画像ファイルを処理させることで,メモリ破壊を伴うクラッシュを誘発することが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3885-2:OpenSSHのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-March/004788.html
  • Ubuntu 18.10・18.04 LTS・16.04 LTS・14.04 LTS用のアップデータがリリースされています。CVE-2019-6111を修正します。
  • usn-3885-1の修正は十分ではなく,依然として攻撃が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。