Ubuntu Weekly Topics

2019年5月10日号 Ubuntu 19.10 “Eoan Ermine”,Ubuntu 19.04&18.04.2 LTS 日本語Remixのリリース

この記事を読むのに必要な時間:およそ 5 分

Ubuntu 19.10 “Eoan Ermine”

19.10のコードネームのうち,⁠EANIMAL」として未定義だった「動物」の部分が(ほぼ)確定しました。DailyBuildRelease Scheduleのページから読み取れる動物名はErmine」⁠オコジョとなります。

例年のパターンではMark Shuttleworthからの命名の背景の解説があるのですが,Disco以降は後回しになる傾向があるため,思想的な面での解説にはまだ時間を要することになるでしょう。ちなみに,英語圏であってもEoanもErmineも耳慣れない単語であるという旨がいろいろなところで話題にされている状態で,これまでとは若干経路が異なっていることだけは確かです

開発は無難にスタートしており注1)⁠⁠gcc9への移行とPython2の完全なオプション化」がターゲットになりそうです。Python2はすでに19.04で「デフォルトではインストールされない」という状態にはなっているものの,mainにあるコアパッケージのいくつかがPython2に依存している関係から,いまだにmainに存在してしまっています。これを次のLTSまでにuniverseに移す(=次のLTSのサポート期限までPython2をメンテナンスし続ける,という悪夢のような展開を避ける)ため,今回なんとしても「Python2を使っているがmainにあるパッケージ」をPython3へ移行する(あるいはいっそ,そのパッケージごとuniverseに追いやる)ことが19.10の使命のひとつとなりそうです。

注1
ポイント:「icu transition to 64.2 or newer. And we also need to backport support for the new Japanese era Reiwa (令和) into stable releases. Not sure how that will be done yet.」などと,日本ローカルの問題である元号サポートまわりの記述も含まれています。なお,これらの動きに伴い,Notoフォントの元号合字のサポートのテスト要請(CfT)がかけられています。

Ubuntu 19.04&18.04.2 LTS 日本語Remixのリリース

Ubuntu Japanese Teamでは,Ubuntu 19.04と18.04.2 LTSの日本語Remixをリリースしました。テストにご協力いただいた皆様に感謝します。

その他のニュース

注2
WSL(いわゆる「Bash on Windows」もしくは「Bash on Ubuntu On Windows」と呼ばれている実装)はWindowsに簡単に導入できるLinux環境です。WSL2ではDrawbridgeによって実現されていた疑似的なLinuxカーネルではなく,Linuxカーネルそのもの(にパッチを当てたもの)をLightweight virtualization hypervisor上で動作させる形で実現されるため,⁠Subsystem」が指す内容が「NTKernel subsystem」ではなく「補助的なシステム」という位置づけに変わっている等,技術的な観点では非常に興味深い実装です。使い勝手はともかく,WSLとWSL2はまるっきり別のものなのでは,という疑問が残るところですが,そのあたりはユーザー視点ではあまり影響がないので気にしなくても良いでしょう。
注3
コメントとしては「Our commitment to security updates for the full stack on any cloud or virtualisation extends naturally to this new WSL environment.」⁠WSL2に関してはMicrosoftが「WSL2用に調整したLinuxカーネルを準備する」旨を公表しています。この差分はGPLに基づいてなんらかの形で提供されるはずです。Ubuntuについては,需要にもよるものの,⁠おそらく』このパッチを適用したなんらかのカーネルパッケージ(もしくは-azureフレーバーの一部)が提供されることになるでしょう。

今週のセキュリティアップデート

usn-3951-1:Dovecotのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004858.html
  • Ubuntu 19.04・18.10用のアップデータがリリースされています。CVE-2019-10691を修正します。
  • 悪意ある加工を施したメッセージを処理させることで,DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3952-1:Pacemakerのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004859.html
  • Ubuntu 19.04・18.10・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2018-16877, CVE-2018-16878, CVE-2019-3885を修正します。
  • ローカルユーザーの権限昇格・DoSが可能な問題がありました。また,本来メモリ上にのみ存在すべき情報がログに出力される場合がありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3953-1:PHPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004860.html
  • Ubuntu 19.04・18.10・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2019-11034, CVE-2019-11035を修正します。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3922-2, usn-3922-3:PHPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004861.html
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004864.html
  • Ubuntu 14.04 LTS・12.04 ESM用のアップデータがリリースされています。 CVE-2019-9022, CVE-2019-9637, CVE-2019-9638, CVE-2019-9639,   CVE-2019-9640, CVE-2019-9641, CVE-2019-9675を修正します。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3936-2:AdvanceCOMPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004862.html
  • Ubuntu 19.04用のアップデータがリリースされています。CVE-2019-9210を修正します。
  • usn-3936-1の19.04用バージョンです。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3954-1:FreeRADIUSのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004863.html
  • Ubuntu 19.04・18.10・18.04 LTS用のアップデータがリリースされています。CVE-2019-11234, CVE-2019-11235を修正します。
  • 悪意ある入力を行うことで,本来必要とされる認証を迂回して操作が可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3955-1:tcpflowのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004865.html
  • Ubuntu 18.10・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2018-14938, CVE-2018-18409を修正します。
  • 悪意ある加工を施したパケットを処理させることで,クラッシュの誘発や本来秘匿されるべき情報の漏出を誘発することが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3956-1:Bindのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004866.html
  • Ubuntu 19.04・18.10・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2018-5743を修正します。
  • 大量のTCP接続を確立させることで,メモリの過大消費を誘発することが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3957-1:MySQLのセキュリティアップデート
usn-3958-1:GStreamer Base Pluginsのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004868.html
  • Ubuntu 18.10・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2019-9928を修正します。
  • 悪意ある加工を施したRTSPストリームを処理させることで,メモリ破壊を伴うクラッシュを誘発させることが可能でした。任意のコードの実行に利用できる可能性があります。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3959-1:Evinceのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004869.html
  • Ubuntu 19.04・18.10・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2019-11459を修正します。
  • 悪意ある加工を施したファイルを処理させることで,本来秘匿されるべき情報が漏出することがありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3960-1:WavPackのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004870.html
  • Ubuntu 19.04・18.10・18.04 LTS用のアップデータがリリースされています。CVE-2019-11498を修正します。
  • 悪意ある加工を施したファイルを処理させることで,DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3961-1:Dovecotのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004871.html
  • Ubuntu 19.04・18.10用のアップデータがリリースされています。CVE-2019-11494, CVE-2019-11499を修正します。
  • 悪意ある加工を施したログイン文字列を与えることで,DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3962-1:libpngのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-April/004872.html
  • Ubuntu 18.10・18.04 LTS用のアップデータがリリースされています。CVE-2019-7317を修正します。
  • 悪意ある加工を施したファイルを処理させることで,メモリ破壊を伴うクラッシュを誘発させることが可能でした。任意のコードの実行に利用できる可能性があります。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3963-1:Memcachedのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-May/004873.html
  • Ubuntu 19.04・18.10・18.04 LTS用のアップデータがリリースされています。CVE-2019-11596を修正します。
  • lruコマンドを悪用することで,DoSが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3953-2:PHPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-May/004874.html
  • Ubuntu 14.04 ESM・12.04 ESM用のアップデータがリリースされています。CVE-2019-11034, CVE-2019-11035を修正します。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3964-1:python-gnupgのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-May/004876.html
  • Ubuntu 19.04・18.10・18.04 LTS用のアップデータがリリースされています。CVE-2018-12020, CVE-2019-6690を修正します。
  • 悪意ある入力を行うことで,1) 署名されていないメールを署名されていると誤認させる,2) 対象を誤認識させた状態でパスフレーズを入力させることが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3966-1:GNOME Shellのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-May/004877.html
  • Ubuntu 18.10・18.04 LTS用のアップデータがリリースされています。CVE-2019-3820を修正します。
  • 特定の操作により,本来期待されていないタイミングでキーボードショートカットを機能させることが可能でした。また,スクリーンがロックされている状態の迂回に悪用できる可能性があります。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-3965-1:aria2のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-May/004878.html
  • Ubuntu 19.04・18.10用のアップデータがリリースされています。CVE-2019-3500を修正します。
  • 認証情報が解読可能な形で保存されていました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3967-1:FFmpegのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-May/004879.html
  • Ubuntu 19.04・18.10・18.04 LTS用のアップデータがリリースされています。CVE-2018-15822, CVE-2019-11338, CVE-2019-11339, CVE-2019-9718, CVE-2019-9721を修正します。
  • 悪意ある加工を施したファイルを処理させることで,クラッシュを誘発させることが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3968-1:Sudoのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2019-May/004880.html
  • Ubuntu 16.04 LTS用のアップデータがリリースされています。CVE-2016-7076, CVE-2017-1000368を修正します。
  • 特定のアプリケーションにおいて,noexecによる制限の迂回が可能でした。また,ttyの状態に依存するものの,任意のファイルの書き換えが可能な問題がありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。