2014年11月14日号　UOS14.11 x86版継続についての議論・将来のFlashサポート・UWN#341

Ubuntuの関係者が集ってさまざまなことを話し合うオンラインイベント、Ubuntu Online Summit（UOS）が開催されています。今週はひとまず、比較的大きな影響のありそうな事項をお届けします。

32bit版の去就

今回行われた議論の中で、ユーザーへの影響が比較的大きなもののひとつは、「⁠いつ32bit版を止められるだろう？」というセッションです。

基本的な路線としては、「⁠16.04 LTSを最後の32bit版リリースとしたいが、これは可能だろうか？」という議論として検討が行われています。なお、ここでの「32bit」はIAベースの32bit、つまりx86のことで、ARMの32bitサポートについてはいつまで続ける・いつ打ち切る、といった議論は行われていません。

32bitサポートの継続については気になる結論は出ておらず、議論の各観点から調査を行って後日判断という決着となっています。傾向としては全体的に賛成に傾いており、16.10以降は公式には64bit版のみがリリースされることになる可能性が相応に出てきました。

議論の観点はいくつかあります。まず一つはハードウェアスペックの問題で、「⁠そもそも世の中にあるPCは64bit CPUばかりではない」ということと、「⁠64bit環境を実用的に使うには十分なメモリが必要」（⁠注1）という点です。これはインストールイメージをCDからDVDに移行するときにも発生した、「⁠世の中にある一般的なPCとはどういうものを仮定すればいいのか」という命題と同じく、ユーザーサーベイや、明確かつ客観的な証拠等によって判断されることになります。

また、「⁠64bit版しかリリースされない」ということは「既存のx86ベースでインストールされた環境からのアップグレード先がなくなる」ことも意味します。これでは既存の環境から随時アップグレードして利用できるというUbuntuのメリットが失われてしまうので、「⁠32bit版が提供されなくなったリリース」のインストールイメージに、「⁠32bit版から64bit版にアップグレードする処理」を搭載するのはどうだろう、という提案が行わfれています。もちろんこれはまだ提案レベルでしかなく、技術的に妥当な解法で提供できるか、それともユーザーに涙を呑んで再インストールしてもらうほうが良いのか、といった検討がこれから行われる段階です。

また、32bit UEFI（主にBay Trail-TベースのWindows 8/8.1タブレットで採用されています）で、これらは64bitカーネルをブートできないケースがあり、解決のためにブートイメージに「32bit UEFI環境向けのブートストラップを仕込んでおき、切り替えて起動する」といった対応が必要になり、なおかつそもそもそれが術的に可能なのか、という点があり、解決すべき課題としてあげられています。

もしもこれらがすべて問題無くクリアという状態になると、16.04 LTSが32bit版最後のリリースとなります。16.04 LTSは5年間サポートされるので、「⁠2021年のUbuntuは64bit版のみ」という状態になるかもしれません。

[1]「十分なメモリが必要」という点には複数の問題が混在しています。まず単純な問題として、64bitバイナリは32bitバイナリに比べるとたいてい大きくなりがちで、メモリ空間を大きく占有します。これとはまた別に、「⁠32bitアプリケーションを動作させるとさらにメモリを食う」という問題があります。現在のUbuntu/Debianではmultiarch対応により、x64環境であってもx86バイナリ（32bit版バイナリ）を問題なく動作させることができるため、たとえば32bit版しか存在しないプロプライエタリソフトウェア（例：Skype）を、64bit環境で利用することそのものは可能です。しかし32bitアプリケーションを64bit環境で走らせる動作を行わせると、その環境本来の64bitアプリケーションや周辺ライブラリだけでなく、32bit環境の周辺ライブラリもロードされるため、単に64bit環境を使うよりも多くのメモリが必要になります。

UbuntuにおけるFlash Playerの今後

UOSでは、Flash Playerの今後の対応を検討しようというセッションも行われています。このセッションで何が話し合われたのかを理解するには、Linux環境におけるFlashの立ち位置を理解する必要があります。

まず、現状ではLinux向けのFlashはNPAPI版とPPAPI版の2種類が存在し、かつ、いずれも再配布に制限があります。

基本的にはFlashは「利用者が自分でダウンロードして使うか、あるいはPCメーカーがOEM契約を結んでFlashを再配布する」という形でユーザーに届けられるのですが、Linuxディストリビューションのように誰でも自由にOSをダウンロードして使える、というモデルとはいまひとつ噛み合っておらず、「⁠ユーザーが自分でインストールできるようにしてしまうとOS側のパッケージ管理から外れたファイルが大量に存在することになる」「⁠しかもOS側で持っているブラウザ上から利用できるように、上手くインストールできるとは限らない」という問題を抱えています。これを解決するために、少なくともUbuntuにおいては、AdobeのサイトからFlash Playerを頑張ってダウンロード＆自動インストールしたり、Chrome（Chrome本体にはPPAPI版のFlashが同梱されています）から頑張ってファイルを抽出して自動インストールしたり、という処理を行う変化球的なアプローチとなっています。各種Linuxディストリビューションでは非常によく見かけられる光景ではありますが、制限を回避するためにあきらかに色々なものを無駄遣いしています。

また、Firefox向けのFlashは、NPAPI版の11.2系のままメジャーバージョンアップされず、延命措置的にセキュリティ修正だけが提供されるフェーズにあり、現在の最新版である15系列（や、一つ前の14系列）を要求するFlashコンテンツは再生できず、「⁠最新のFlash Playerをご利用ください」などと言われてしまう状態です。もちろんこの場合の「最新の」というのはLinux版Firefoxでは動作しない14/15系列のことであって、NPAPI版として最新状態であってもエラーが出力されます。

さらにこれらに加えて、NPAPI版は2017年までの命で、あと3年で完全にサポートが終了してしまいます。

……つまり、Linux版FirefoxにおけるFlashは、「⁠パッケージ管理上問題ない形でインストールするには曲芸が必要で」「⁠しかし最新のFlashコンテンツには対応しておらず」「⁠しかも2017年までしか使えない」という状態にあります。なんらかの方法で代替方法を見つけなくてはいけません。

UOSではこれらを踏まえた議論として、『⁠では今後どうするのがいいのだろう？』という話し合いが行われました。内容を要約すると、「⁠少なくともFlashだけを理由として標準Webブラウザーを変更することはできないので、Chromium系への切り替えは現実的でない」「⁠Flashの互換実装はあまりにも動作が微妙なので問題外」「⁠AdobeがNPAPI版・PPAPI版ともにFlashの再配布を認めてくれたので、Canonicalのpartnerリポジトリから提供できるようになった」「⁠PPAPI版をFirefoxで使えるように頑張っていくのが現状ではよさそう」というものです。非常にさりげない形で、AdobeとCanonicalの間で合意を結んで、パッケージング的な問題を解決するという大技が繰り出されています。

まだこれでも「最新のコンテンツは再生できない」「⁠2017年までしか使えない」という問題は残っていますが、これらについても、「⁠PPAPI版がFlashで利用できる」という状態になれば、「⁠必要に応じてPPAPI版Flashをpartnerリポジトリからダウンロードする」というモデルに収束することになり、あわせて解決することになりそうです[2]⁠。

UWN#341

Ubuntu Weekly Newsletter #341がリリースされています。

その他のニュース

Chromebookに匹敵する、$199で（USAで）販売されているAcerのAspire E11（Celeron N2830にWindows 8.1 with Bingを搭載した11インチノートPC）に、openSUSEとFedoraとUbuntuを入れてみたという記事。
日本でも販売開始された、AcerのChromebook C720にLinuxをインストールする方法。なお、Chromebook向けに特化した非公式なRemixとして、Chrubuntuと呼ばれるディストリビューションも存在します。Ubuntu/Chrubuntuをインストールする前には、できればRedditの阿鼻叫喚の様子を確認してからの方が良いでしょう。ただし、Redditの情報は非常に深刻な玉石混淆で、一見すると不具合で阿鼻叫喚に見えるが実はスキル的に不具合のある人が叫んでいるだけだった、ということもあるので、きちんと読み込むことをお勧めします。
Grouponが「Gnome」という商標を登録しようとしたことで始まった、深刻な闘争とそのまとめ。現在ではGroupon側が真摯な謝罪とともに商標登録を取りやめる形で決着がついています。ビジネスでFLOSSに類似した商標を登録するような場合はこの騒動についてよく把握しておくべきでしょう。
UOSにおけるMark ShuttleworthのQ&Aセッションのまとめ。

今週のセキュリティアップデート

usn-2398-1：LibreOfficeのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-November/002716.html
Ubuntu 14.10・14.04 LTS用のアップデータがリリースされています。CVE-2014-3693を修正します。
Impressで利用できるImpress Remote機能のコントロールポートの制御において、解放後のメモリを再度freeしている箇所がありました。この振る舞いを利用して、任意のコードの実行・クラッシュの誘発が可能です。
対処方法：アップデータを適用の上、LibreOfficeを再起動してください。
備考：upstreamのリリースをそのまま適用したアップデータです。セキュリティ修正以外の、潜在的に非互換をもたらす可能性のあるバグ修正も含まれています。

usn-2399-1：curlのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-November/002717.html
Ubuntu 14.10・14.04 LTS・12.04 LTS・10.04 LTS用のアップデータがリリースされています。CVE-2014-3707を修正します。
CURLOPT_COPYPOSTFIELDSとcurl_easy_duphandle()の利用時に、バッファの使い回しの間違いにより、本来秘匿すべき情報をそのままサーバーに送信してしまうことがありました。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-2400-1：LibreOfficeのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-November/002718.html
Ubuntu 12.04 LTS用のアップデータがリリースされています。CVE-2014-3575を修正します。
OLEプレビューの実行時に、悪意あるドキュメントを開いた場合に任意のコードを実行される問題がありました。
対処方法：アップデータを適用の上、LibreOfficeを再起動してください。

usn-2401-1：Konversationのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-November/002719.html
Ubuntu 12.04 LTS用のアップデータがリリースされています。CVE-2014-8483を修正します。
Blowfish ECB暗号化ストリームの処理に問題があり、外部入力によってはクラッシュする問題がありました。
対処方法：アップデータを適用の上、KOnversationを再起動してください。

usn-2402-1：KDE workspaceのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-November/002720.html
Ubuntu 12.04 LTS用のアップデータがリリースされています。CVE-2014-8651を修正します。
KDE workspaceに含まれるKDE Clockが入力のACL制御を正しく行わないため、一定の条件下においては、ローカルユーザーが任意のプログラムを管理者権限で起動できてしまう問題がありました。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-2403-1：GnuTLSのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-November/002721.html
Ubuntu 14.10用のアップデータがリリースされています。CVE-2014-8564を修正します。
ECC楕円暗号の処理において、Key IDを出力する際にヒープ破壊バグを引き起こす場合がありました。リモートサーバーから不正な値が渡された場合に、ヒープ破壊を応用した攻撃（任意のコード実行ないしクラッシュの誘発）が可能です。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-2404-1：libvirtのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-November/002722.html
Ubuntu 14.10・14.04 LTS用のアップデータがリリースされています。CVE-2014-3657, CVE-2014-7823を修正します。
virConnectListAllDomainsを第二引数がnullな状態で呼び出すことで、ドメイン関連の処理をデッドロックさせることができる問題と、qemuDomainFormatXMLによって本来期待しない範囲でXMLファイルの読み込みを許可してしまう問題がありました。
対処方法：アップデータを適用の上、システムを再起動してください。

usn-2405-1：OpenStack Cinderのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-November/002723.html
Ubuntu 14.04 LTS用のアップデータがリリースされています。
GlusterFS/SMBfsドライバを利用している環境で、本来期待しない状態でファイルを閲覧できてしまう問題と、ログ出力のサニタイズエラーにより、ログを閲覧できる権限を持ったユーザーが本来閲覧できるべきでない情報を取得できる問題を修正します。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-2406-1：OpenStack Keystoneのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-November/002724.html
Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2014-3621を修正します。
Keystoneのエンドポイント一覧表示において、エンドポイント名に由来するXSSが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-2407-1：OpenStack Novaのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-November/002725.html
Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2014-3608, CVE-2014-7230を修正します。
VMwareドライバを利用しつつ、レスキューモードを起動した場合、クォータ制限を無視できる問題と、ログファイルのサニタイズが適切に行われておらず、秘匿すべき情報が含まれるケースが存在していました。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。

usn-2408-1：OpenStack Neutronのセキュリティアップデート

https://lists.ubuntu.com/archives/ubuntu-security-announce/2014-November/002726.html
Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2014-6414を修正します。
Neutronのパラメータのアクセス制御に問題があり、特権を持っていない認証済みユーザーであっても、本来管理者にのみ変更が許されるパラメータをデフォルト値に戻すことが可能でした。
対処方法：通常の場合、アップデータを適用することで問題を解決できます。