Ubuntu Weekly Topics

2016年4月15日号 16.04の開発・“Badlock”への対応・UWN#471

この記事を読むのに必要な時間:およそ 2 分

16.04の開発

Ubuntu 16.04 LTSのリリースが目前に迫りました。カーネルは無事に4月8日にフリーズされFinal BetaやRC相当のテストが行われています。新規に投入した機能やバグの修正が行われた後,16.04 LTSとしてリリースされます。

なお,サーバー用途でのUbuntu 16.04 LTSにおける大きな変更として,PHP5系列がデフォルトでは用意されません(16.04 LTSではPHP7がデフォルトです)⁠PHPを用いたLAMPスタックの一部としてUbuntuを利用している場合,PHP7に対応しないWebアプリケーションが動作しない可能性があるので注意してください。PHP5系列をPPAから導入することは可能です。

なお,リリースを目前には控えていますが(LTSでは良くある光景として)⁠ちょっとした新機能の追加が企てられたり駆け込みで入れたパッチをrevertしたりfontconfigが更新されたりFreeTypeを更新したいんだけどどう?ごめんちょっとエラートラッカーをリードオンリーにするねchangelog.ubuntu.com落ちてない?といった慌ただしいやり取りが交わされています。

Ubuntu 16.04 LTS “Xenial Xerus⁠4月21日リリース予定です。

“Badlock”への対応

Sambaに,Badlockと呼ばれる脆弱性CVE-2016-2118が公表されました。これはSMBプロトコルそのものに近いレベルの問題で,本来なんらの権限を有していない場合でも,認証済みユーザーになりすませてしまう,というものです。SambaとMicrosoft Windowsそれぞれについてパッチがリリースされています。

Ubuntuにおいては,Badlockへの対応は少し厄介な事態になっています。

既存のUbuntu(15.10と14.04 LTS)ではSamba 4.1系列のsambaパッケージが導入されているのですが,4.1系列はupstream(samba.org)的にはEOL済のバージョンで,Badlock脆弱性に対するパッチはリリースされません。Ubuntu/Canonicalで独自のツリーを保持し,セキュリティ修正を4.2や4.3からバックポートして対応することが予定されていました。

しかし,BadlockはSambaが利用するプロトコルそのものの脆弱性であり,修正には,Sambaの非常に多くの箇所を修正する必要があります。Sambaはソースコードが大変に入り組んでおり,Sambaプロトコルを相応に把握したエンジニアでなければ修正できません。うかつに手を出すと,むしろ新しい脆弱性を売り込んでしまう可能性があります。

Sambaは同じ4.x系列の中でもマイナーバージョンの違いで大幅に中身が異なるため,より新しいバージョンに向けたパッチを単純に移植することもできません注1)⁠4.1系列のSambaを利用している他のディストリビューション等と連携してパッチを開発することもできていません(RHELやopenSUSE/SLES・Debianは主として4.2・4.3系列で,4.1系をいまだに利用しているのがUbuntuだけという側面もあります)⁠

「4.1系列のままではBadlockに対応できないが,しかし,4.1系と4.2ないし4.3系列には大きな改変が存在するので単純に置き換えることもできない」という,苦しい決断を迫られる状態になりました注2)⁠

4.1系を今後もメンテナンスし続けるか,あるいは4.1からの非互換を考慮の上で4.2や4.3に移行するかの考慮の末,Ubuntuでは4.3に更新するので,テストの呼びかけを行うという判断が行われました。⁠バグ報告はリリース版より開発版に対するものの方が遥かに通りやすい」というソフトウェア開発の大原則により,UbuntuにインストールしたSambaをヘビーに利用している場合はただちにテストを行って報告を行うのが現実的です。

また,この修正版4.3がリリースされるまでの間はBadlockに対応できていない状態になるので,上流ファイアウォールでSMBアクセスを落とす等の対策を行ってください。

なお,12.04 LTSはSamba 3.6.25であり,こちらについてはすでにバックポートされたパッチが存在するので,通常どおりのアップデートとなります。ただし,前述の通りプロトコル実装全域に修正が入っているので,予想外のバグを埋め込んでしまう可能性は常に残っています(もっとも,予想外のバグが存在するかもしれないというのはあらゆるパッチに言えることなのですが)⁠

注1
Sambaは(もともとのSMBプロトコルそのものが拡張に拡張を重ねていることもあって)全体的に非常に泥臭いコードになっており,一箇所を直すと関係のない場所に連鎖的に影響が出る状態になってしまっています。4系は3系に比べるとかなり改善している部分もあるのですが,一般的なプログラマが簡単に手を出せる状態にはなっていません。
注2
4.1を続投し,独自ツリーでメンテナンスを継続する判断をした時点では,ここまで大規模な修正を必要とするセキュリティ修正が生じることは予測されていなかったと考えられます。

UWN#461

Ubuntu Weekly Newsletter 461 #461がリリースされています。

その他のニュース

今週のセキュリティアップデート

usn-2917-2:Firefoxの再アップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2016-April/003380.html
  • Ubuntu 15.10・14.04 LTS・12.04 LTS用のアップデータがリリースされています。
  • usn-2917-1の副作用として,アドレスバーの検索エンジン設定が失われる問題がありました。
  • 対処方法:アップデータを適用の上,Firefoxを再起動してください。
usn-2948-2:Linux kernel (Utopic HWE) regression
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2016-April/003381.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。
  • usn-2948-1の副作用として,radeonドライバ利用時に参照カウンタエラーによるクラッシュが生じる問題がありました。
  • 対処方法:アップデータを適用の上,システムを再起動してください。

著者プロフィール

吉田史(よしだふみひと)

Ubuntu Japanese Team Member株式会社創夢所属。システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

コメント

コメントの記入