Appleがプロセスが認証なしに管理者権限を取得出来る脆弱性が発見されたとしてUbuntu 14.04に対し「Security Update 2018-001 Swift 4.1.1」をリリースしています。詳細は以下から。
Appleは現地時間2018年05月04日、Ubuntu 14.04とSwift 4.1環境でプロセスが認証なしに管理者権限を取得し、任意のコードを実行できる脆弱性”CVE-2018-4220“を発見したとして、Ubuntuユーザーに対し「Security Update 2018-001 Swift 4.1.1」を公開しています。
調べてみたところ2003年からのセキュリティアップデートで、AppleがUbuntuプラットフォームに対しセキュリティアップデート情報を公開するのは今回が初めて(Red Hatは1度あり)のようで、この脆弱性はUbuntu 16.04/16.10には影響せず、Ubuntu 14.04のみが対処となっており、Appleは既にこの脆弱性を修正したSwift v4.1.1を公開しているので、対象の環境でSwfitを利用されている方はできるだけ早くアップデートすることをお勧めします。
Swift for Ubuntu
- Available for: Ubuntu 14.04
- Not impacted: Ubuntu 16.04 and 16.10
- Impact: A process may gain admin privileges and execute arbitrary code
- Description: An issue existed in specific versions of Swift on Ubuntu 14.04 where libraries are loaded with write and execute permissions.This issue was addressed with improved permissions.
- CVE-2018-4220: Apple
Installation note:
Security Update 2018-001 Swift 4.1.1 for Ubuntu 14.04 may be obtained
from https://swift.org/download.Appleのメーリングリストより
- Download Swift – Swift.org
- About the security content of Security Update 2018-001 Swift 4.1.1 for Ubuntu 14.04 – Apple Support
コメント