Ubuntu Weekly Topics

2013年3月22日号 通常リリース版のサポート期間の変更・UDS 2013 March(1)・「Ubuntu Server実践バイブル」・UWN#308

この記事を読むのに必要な時間:およそ 5.5 分

通常リリース版のサポート期間の変更

Ubuntuのリリース周期が変更になります。ローリングリリースへの移行や,より短い周期でのリリースといったさまざまな議論を経て,13.04からは非LTSリリースは9ヶ月のサポート期間になることがほぼ確定しました。

この決定は,Ubuntuの技術サイドの意志決定機関であるTechnical Boardでの議論を経て行われたものであり,おそらくこのまま確定するものと見られます。注1)⁠……とはいえ,最後の最後まで判断が変化するのがUbuntu流であり,ubuntu-announceubuntu-devel-annnounce等で公式に表明されるまでは確定ではないことに注意してください。

また,⁠通常の』リリース(これまでの英語表記では『non-LTS』⁠には「standard」の語が用いられるようになる予定です。LTSが「Ubuntu 12.04 LTS」と呼ばれることからすると,13.04は「Ubuntu 13.04 Standard」と呼ばれることになるかもしれません(が,このあたりはまだ正式にアナウンスが行われていないので,まだ分かりません)⁠なおこの決定時,⁠interim」⁠=暫定)の語が使われる可能性もありましたが,誤解を招くだろう,という理由で「standard」の語が使われることになっています。

なお,Technical Boardでの議論の様子はログから確認できます。

この変更に伴い,LTS用のbackport/HWEカーネルの提供ポリシーの変更など,さまざまな変更が行われる可能性がありますが,これらについては公式なアナウンスの後にあらためて取り上げる予定です注2)⁠

このようにサポート期間が短くなることで,次のようなメリットがあります。

  • 「古いリリース」のために人的コストをかける必要がなくなる。
  • 「古いリリース」をアーカイブミラーサーバーに保持する必要がなくなり,容量やsyncの負荷が減る。

特に大きいのは「古いリリース」をサポートするための人的コストの削減で,4~6系統のユーザーランド(たとえば現在サポート対象となっているのは「10.04 LTS・11.10・12.04 LTS・12.10」の4つ)のサポートが必要な状態から,常時4系統に収まることになり,セキュリティアップデート等への対応に必要な手間が大きく減少することになります。セキュリティアップデートも基本的には通常の開発プロセスと同等のパッケージ作成やQAが必要であり,この分の手間は非常に大きなものです。これによりUbuntu Touch(PhoneとTablet)やUbuntu TV,そしてMirなどの周辺プロジェクトに開発リソースを投じることができるようになります。

逆に,サポート期間が短くなることで,⁠単に「アップグレードせずに利用できる期間が短くなる」だけでなく)以下のような問題が起こります。

  • 各バージョンを,リリース後三ヶ月以内に「十分に」安定した状態にしなくてはならない。
  • 「特定のリリースに致命的な不具合がある場合,アップグレードをスキップする」⁠たとえば12.10を使っていたとして,13.04に大きな問題がある場合に13.04をスルーし,13.10が出てから移行する)方法が利用できなくなる。
  • 各種Webサイトの記述が新旧混在し,情報が錯綜する。

なお,次のような懸念もありますが,現実的にはあまり大きな問題にはならないと見られます。

  • 「18ヶ月」のサポート期間があると思い込んだまま13.04を利用することで,利用者が危険にさらされる可能性がある注3)⁠
  • リリースを遅らせることが事実上できなくなる注4)⁠
注1
Ubuntuでは,技術的な意志決定とコミュニティ的な意志決定をそれぞれ分離しており,Technical BoardとCommunity Councilという合議制の機関がこれらを担います。これらの機関は事実上の意志決定機関としての役割を担いますが,例外的にMark Shuttleworthが『SABDFL』⁠Self-Appointed Benevolent Dictator For Life; 自称情け深い永世独裁者)として独裁的な判断を下すこともできることになっています。もともとUbuntuはMark Shuttleworthの個人プロジェクトなので,彼に全権があることそのものはおかしなことではありません。とはいえ,これまでSABDFLの「独裁」が発動したことはないため,今回の「通常版のサポートは9ヶ月」という結論がひっくり返される可能性は高くありません。
注2
影響を受ける「次のLTSリリース」は14.04なので,まだ一年ほどの余裕があります。
注3
実際には,アップデートマネージャーによって「そのバージョンはサポート期間が終了していることと,新バージョンへの移行が可能であること」が提示されるので,とてつもなく古いバージョンを無理矢理使うような状態でなければこの可能性はあまり高くありません。とはいえ,⁠たまにしか起動しないコンピューター」というものもありえるので,⁠取り残される」マシンが出てくる可能性もあります。
注4
UbuntuはあくまでMark Shuttleworthの個人プロジェクトではあるので,彼が判断すれば各リリースを月単位で遅らせることは可能です。クオリティに大きな問題が見つかった場合には延期の可能性が常に存在する,というのがUbuntu流です。たとえば6.06 LTSのリリース時には「このままでは十分なクオリティに達しないので6.04から2ヶ月遅らせて6.06としてリリースだ」という判断が下されています。とはいえ「6.06に延長させることは判断としては失敗だった」という回顧もあるため,今後もリリース延期が行われる可能性はほとんどありません。

UDS 2013 March (1)

大きな変化が起こりつつあるUbuntuの現状を知るためには,UDSで行われた提案の内容を見るのが一番です。そこで今回から何回かに分けて,3月5~6日にかけて行われたUbuntu Developer Summit(UDS)Blueprintsの中から,筆者が面白そうだと思ったものをピックアップしてお届けします。

なお,UDSはあくまで「こういう仕様を実現したい」という宣言が行われる場で,それが実現されるか,そして実際に実用になるかどうかは今後の開発状況に依存するため,ここで紹介した機能のうち半数程度はそのまま日の目を見なかったり,一応実装されたものの実用にならなかったり,といった可能性もあります。

  • servercloud-r-fastpath-install:MAAS注5でOSをインストールする時に,いちいちd-iを経由すると遅くなってしまう。インストールに時間がかかると,実際に利用できる時間が減ってしまい頻繁なインストールに用いることができない。そこで,イメージを展開するだけでインストールを完了させる「fast path」インストーラーを準備しよう。
  • foundations-1303-consolekit-logind-migration:現状UbuntuではConsoleKitを使ってログインを管理しているが,ConsoleKitはもうメンテナンスされなくなってしまった。systemd由来のlogindを移植し,Upstartと組み合わせて利用しよう。
  • foundations-1303-single-image-update:Ubuntu Touch(Phone+Tablet)のアップデート方法を検討しよう。こうしたデバイスのネットワーク帯域は限られているし,ストレージやCPUパワーも限定的だ。また,もし何かあった時に「巻き戻す」ことができなくてはいけない。そもそもaptでアップデートするのか,あるいはフラッシュイメージそのものを更新するべきか,悩むべきことがたくさん存在する。
  • foundations-1303-phablet-kernel-maintenance:Ubuntu Touch向けカーネルをどのようにサポートするか検討しよう。特にNexus 7はTouchと通常のUbuntuの両方が動く必要があるが,Touchで必要なカーネルと通常のUbuntuで必要なカーネルはいろいろと食い違う点がある。これらをマージして,現実的なコストでメンテナンスできるようにしよう。
  • foundations-1303-cdimage-android-builds:Desktop DVDをビルドできるのと同じように,Touchのイメージもビルドできるようにしよう。

なお,UDSには間に合わなかったものの,他にも興味深い機能がubuntu-develに提案されています。

  • client-input-methods:Input Method注6はコンピューティング体験において非常に重要だ。フォームファクタや入力デバイスの形が異なる各種Ubuntuでは,オンスクリーンキーボードが重要になるが,これらは実装ごとにいろいろな方法論を採っている。これらをUbuntuでどのようにサポートしていくかを考えよう。
注5
Metal As A Service。Ubuntu Serverの機能の一つで,⁠物理マシンをAWSなどのクラウドサービスのように,コマンド一発でセットアップしてサービスに提供できるようにする」ソフトウェアスタックのことです。
注6
思わず「入力方法」と訳したくなりますが,ここではIMMやIMEなどといった文脈で使われる方のInput Method,すなわち入力全般を取り仕切る(日本語変換などの多言語化も含めた)入力システムのことです。

「Ubuntu Server実践バイブル」

Ubuntu Serverの本格的な入門書がない!という叫びを上げつつ,Ubuntu Serverの管理者向けの指南書Ubuntu Server実践バイブル⁠アスキー・メディアワークス刊)を執筆しました。今週3月19日に発売しています。対象読者は,⁠Ubuntu Serverを触ったことがない人」⁠Ubuntu Serverをすでに触っている人」です(←ツッコミどころです)⁠

Ubuntu Server実践バイブル

Ubuntu限定の機能だけでなく,Unixベースのサーバー運用全般のエッセンスを加えて仕上げました。サーバー管理者の初期教育,あるいは初級者から中級者へのステップアップなどにご利用いただければ幸いです。

なお,炸裂するほど注釈を入れて,⁠これはカコミ記事に追い出します」⁠これ単独の章に直します」などといった修正が行われていることはここだけの秘密です。

UWN#308

Ubuntu Weekly Newsletter #308がリリースされています。

その他のニュース

  • 「WindowsをあきらめたユーザーのためのUbuntuガイド」⁠The Ubuntu guide for displaced Windows users)と題されたマイグレーションガイド

今週のセキュリティアップデート

usn-1761-1:PHPのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2013-March/002037.html
  • Ubuntu 12.10・12.04 LTS・11.10・10.04 LTS・8.04 LTS用のアップデータがリリースされています。CVE-2013-1643を修正します。
  • SOAP WSDLファイルをリモートから読み取る際,外部XMLファイルとしてローカルファイルを指定できる問題がありました。これにより,PHPがアクセス可能な任意のファイルを読み込ませることで,本来権限のないファイルを読み取ることができます。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-1762-1:APTのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2013-March/002038.html
  • Ubuntu 12.10・12.04 LTS・11.10用のアップデータがリリースされています。CVE-2013-1051を修正します。
  • InReleaseファイルによって指定されたリポジトリからのパッケージインストール時,パッケージの改ざんチェックが機能していませんでした。これにより,改ざんされたパッケージを受け入れてしまう可能性があります。ただしUbuntuデフォルトのリポジトリ構成ではInReleaseファイルは利用されていません。
  • 備考:このアップデートにより,InReleaseファイルがサポートされなくなります。
usn-1763-1:NSSのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2013-March/002039.html
  • Ubuntu 12.10・12.04 LTS・11.10・10.04 LTS用のアップデータがリリースされています。
  • "Luchky Thirteen"攻撃を抑制するためのアップデートです。CVE-2013-1620を修正します。
  • 対処方法:アップデータを適用の上,NSSを利用するアプリケーション(EvolutionやChromiumなど)を再起動してください。
usn-1763-2:NSPRのアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2013-March/002040.html
  • Ubuntu 12.10・12.04 LTS・11.10・10.04 LTS用のアップデータがリリースされています。usn-1763-1の更新に伴うアップデートです。
  • 対処方法:アップデータを適用の上,NSPRを利用するアプリケーション(EvolutionやChromiumなど)を再起動してください。
usn-1764-1:OpenStackGlanceのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2013-March/002041.html
  • Ubuntu 12.10・12.04 LTS用のアップデータがリリースされています。CVE-2013-1840を修正します。
  • Glance v1 APIを経由してキャッシュされたイメージにアクセスする際,ヘッダにSwift/S3のクレデンシャルが残っていました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-1765-1:Apache HTTP Serverのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2013-March/002042.html
  • Ubuntu 12.10・12.04 LTS・11.10・10.04 LTS・8.04 LTS用のアップデータがリリースされています。CVE-2012-3499, CVE-2012-4557, CVE-2012-4558, CVE-2013-1048を修正します。
  • mod_imagemap・mod_info・mod_ldap・mod_proxy_ftp・mod_status・mod_proxyにXSSを許す問題と,mod_proxy_ajpにDoSを許す問題がありました。また,apache2ctl(のUbuntuカスタム版)にディレクトリのロックを適切に取得せず,権限昇格に利用できる問題がありました。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-1766-1:pam-xdg-supportのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2013-March/002043.html
  • Ubuntu 12.10用のアップデータがリリースされています。CVE-2013-1052を修正します。
  • pam-xdg-supportがPATH環境変数を正しく取り扱わないため,sudoと組み合わせることで特権の奪取に利用できます。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-1767-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2013-March/002044.html
  • Ubuntu 12.04 LTS用のアップデータがリリースされています。CVE-2013-0190, CVE-2013-0216, CVE-2013-0217, CVE-2013-0228, CVE-2013-0231, CVE-2013-0268, CVE-2013-0311, CVE-2013-0313, CVE-2013-0349, CVE-2013-1774を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるので,通常はそのままアップデートの適用を行えば対応できます。
usn-1768-1:Linux kernel (Quantal HWE)のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2013-March/002045.html
  • Ubuntu 12.04 LTS用のアップデータがリリースされています。CVE-2013-0190, CVE-2013-0216, CVE-2013-0217, CVE-2013-0231, CVE-2013-0268, CVE-2013-0290, CVE-2013-0311, CVE-2013-0313, CVE-2013-0349を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるので,通常はそのままアップデートの適用を行えば対応できます。
usn-1769-1:Linux kernelのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2013-March/002046.html
  • Ubuntu 12.10用のアップデータがリリースされています。CVE-2013-0190, CVE-2013-0216, CVE-2013-0217, CVE-2013-0231, CVE-2013-0268, CVE-2013-0290, CVE-2013-0311, CVE-2013-0313, CVE-2013-0349を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるので,通常はそのままアップデートの適用を行えば対応できます。
usn-1770-1:Perlのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2013-March/002047.html
  • Ubuntu 12.10・12.04 LTS・11.10・10.04 LTS・8.04 LTS用のアップデータがリリースされています。CVE-2013-1667を修正します。
  • ハッシュの取り扱いに起因するDoSを防ぐためのアップデートです。Webアプリケーション等にPerlを利用している場合は更新することをお勧めします。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-1771-1:OpenStack Novaのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2013-March/002048.html
  • Ubuntu 12.10・12.04 LTS・11.10用のアップデータがリリースされています。CVE-2013-0335, CVE-2013-1838を修正します。
  • インスタンスが削除された後もVNCのアクセストークンが有効なままになり,結果として別の仮想マシンへの接続が許される問題と,Novaが振り分ける固定IPアドレスに上限が反映されない瞬間があり,結果として利用可能な全IPアドレスが消費されてしまう問題を修正します。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-1772-1:OpenStack Keystoneのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2013-March/002049.html
  • Ubuntu 12.10用のアップデータがリリースされています。CVE-2013-1865を修正します。
  • Keystoneの認証にPKIを利用するように設定している場合,revokeチェックが適切に行われない問題がありました。UbuntuのデフォルトではUUIDトークンを用いた認証が指定されており,この問題の影響を受けません。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。

著者プロフィール

吉田史(よしだふみひと)

Ubuntu Japanese Team Member株式会社創夢所属。システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

コメント

コメントの記入