Canonical は、MuPDF、Redis、Samba、Apache Subversion などの主要なオープンソースパッケージにおける重大な脆弱性を対象とした複数の Ubuntu セキュリティ通知を公開しました。これらの更新は、複数の長期サポートリリースでサービス拒否攻撃、データ漏洩、リモートコード実行を引き起こす可能性のある問題を修正します。これらのパッチは、Ubuntu のシステム安定性とセキュリティへの取り組みを強化します。
2025 年 10 月 16 日、Canonical は広く使用されるソフトウェアコンポーネントのリスクを軽減するための Ubuntu セキュリティ通知 (USN) の一連を公開しました。更新は、軽量 PDF および電子書籍レンダリングフレームワークである MuPDF の脆弱性を対象とし、Ubuntu 16.04、18.04、20.04 LTS バージョンに影響します。具体的な欠陥には、メモリリーク、セグメンテーション違反、無限ループ、使用後解放条件が含まれ、CVE-2018-1000036 から CVE-2021-37220 までの 8 つの Common Vulnerabilities and Exposures (CVE) で対応されています。これらは攻撃者がサービス拒否を引き起こしたり、機密データを漏洩させたりする可能性があります (USN-7825-1)。
Redis とそのフォーク Redict については、USN-7824-2 および USN-7824-3 の更新で、Lua スクリプト処理におけるメモリ管理の問題を解決します。これは Benny Isaacs、Nir Brakha、Sagi Tzadik の研究者によって発見されました。認証されたユーザーはこれを悪用してデータベースをクラッシュさせたり、リモートで任意のコードを実行したりする可能性があり、Ubuntu 22.04 LTS およびそれ以前のバージョンに修正が適用されます。
オープンソースの SMB/CIFS ファイルおよびプリントサーバーである Samba は、USN-7826-1 で 2 つの重大な脆弱性に対するパッチを受け取ります。CVE-2025-9640 は vfs_streams_xattr モジュール内の未初期化メモリに関連し、機密情報の露出を引き起こす可能性があります。Igor Morgenstern によって特定された CVE-2025-10230 は、WINS フックプログラム名の不適切な処理により任意のコード実行を許可します。
さらに、USN-7818-2 は Apache Subversion の欠陥を修正し、制御文字を含むファイル名を処理する際にシステムをクラッシュさせたり、リポジトリを破損させたりする可能性があり、Ubuntu 18.04、20.04、22.04、24.04 LTS に影響します。
Canonical はすべてのユーザーにこれらの更新を直ちに適用するよう促しており、システムの完全性を維持し、悪用のリスクを最小限に抑えます。これらの通知は複数の LTS リリースをカバーし、Ubuntu の長期セキュリティへの重点を強調しています。