Ubuntu Weekly Topics

2016年10月21日号 Ubuntu 17.04 “Zesty Zapus”の開発開始・Canonical Livepatch Service

この記事を読むのに必要な時間:およそ 2 分

Ubuntu 17.04 “Zesty Zapus”の開発

16.10がリリースされ,次のサイクルが始まりました。Ubuntuの開発サイクルの最初の一歩である,Mark Shuttleworthによるコードネームの発表が行われ,17.04はZesty Zapus(ピリっとしたトビハツカネズミ)と名付けられました注1)。アルファベット順に名付けられることが慣例になっているUbuntuのコードネームが,ついに「Z」に達しました注2)。

ネーミングに際して行われた説明は,「We are a tiny band in a market of giants, but our focus on delivering free software freely together with enterprise support, services and solutions appears to be opening doors, and minds, everywhere. 」(参考訳:我々はマーケットの巨人達に比べれば占める領域は小さい。しかし,我々の目指す目標はフリーソフトウェアをフリーなまま,それでいながらエンタープライズ向けのサポートやソリューションを活用できる選択肢をつけて提供し,新しい扉を,精神を,すべてをオープンにすることだ)。この表現が物語るように,WindowsやmacOS,iOSやAndroidといった巨大なプレイヤーとは異なる立ち位置で,しかし明確な存在感を示そうとするリリースとなるでしょう。

17.04ではUnity 8への移行が行われる可能性もあり注3),非常に大きな変化がもたらされる可能性のあるリリースです。

注1
Zapusはマイナーな単語のため,Google Trendsに不自然な直線が発生しています。
注2
実際には最初期の4.10 “Warty Warthhog→ 5.04 “Hoary Hedgehog→ 5.10 “Breezy Badgerが法則から外れているため,「A」は欠番である一方,「W」「H」が2つずつ存在しています。
注3
いろいろな条件を整える必要があるためかなり厳しいものの,16.10の開発終盤に無理にでもプレビュー版Unity 8を投入していることもあり,間に合わせてしまう可能性もそれなりにあります。

Canonical Livepatch Service

カーネルをアップデートしたらシステムを再起動しなくてはならないという常識が,Ubuntuでは過去のものになるかもしれません。Canonicalの提供するCanonical Livepatch Serviceを利用することで,カーネルアップデートを再起動なしで適用できるようになります。

この機能はUbuntu Advantage契約のユーザーに商用版として提供されると同時に,コミュニティ版として,最大3台までのマシンで利用可能な無償サブスクリプションが提供されます。Livepatchの対象となるカーネルは重篤なセキュリティ脆弱性が見つかった場合だけとなりますが,サーバー運用では非常に便利なサービスと言えるでしょう。

こうした「再起動なしに適用できるカーネルアップデート」機能はUbuntu独自のものではありませんが注4),3台限定とはいえ無償で利用できる点が画期的なサービスです。

ただし,無償でこのサービスを利用するには,別の形のコストを支払う必要があります。それは,「商用版(=Ubuntu Advantage契約に基づく)サービスのカナリアになる」注5ことです。

Canonical Livepatch Serviceの商用版サービスは,中心的な開発者の一人であるDustin Kirklandの解説によると次の段階的なテストを通過したカーネルが適用されます。

  • Canonical内部での自動テスト。複数のハードウェアの組み合わせや仮想マシンでの自動テストを行う。
  • 無償版のCanonical Livepatch Serviceの利用者のごく一部にアップデータを配信し,問題ないことを確認する。
  • 無償版のCanonical Livepatch Serviceの利用者全体と,商用版ユーザーに配信する。

これは言い換えると,無償版では十分なテストが行われていない状態でアップデータの「人柱」になる可能性があることを意味します。自動テストは行われているものの,本番系のサービスで導入するのであれば無償版は利用しないほうが良いでしょう。

注4
たとえばOracleがOracle LinuxにおいてKsplice由来のZero Doentime Updatesとして提供しています。
注5
「カナリア」は炭鉱にカナリアを連れていくことで生きた毒ガス探知機にする,というアプローチにならい,「リスクのある処理において,本来破壊されるはずのない探知用のメモリ空間やテストデバイスを準備しておき,そこが壊れたら異常として検知する」仕組みを意味します。

今週のセキュリティアップデート

usn-3102-1:Quagga のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2016-October/003590.html
  • Ubuntu 16.04 LTS・14.04 LTS・12.04 LTS用のアップデータがリリースされています。CVE-2016-4036, CVE-2016-4049を修正します。
  • ダンプデータの取り扱いに問題があり,意図的に不正な大きさのBGPパケットを送り付けることでQuaggaをクラッシュさせることが可能でした。また,Quaggaの設定ファイルのパーミッションが不適切なため,ローカルユーザーが設定ファイル上の秘匿すべき情報を閲覧することが可能でした。
  • 対処方法:アップデータを適用の上,Quaggaを再起動してください。
usn-3103-1:DBD::mysql のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2016-October/003591.html
  • Ubuntu 14.04 LTS・12.04 LTS用のアップデータがリリースされています。CVE-2014-9906, CVE-2015-8949, CVE-2016-1246を修正します。
  • 不正な入力により,DBD::mysqlを利用しているアプリケーションをクラッシュさせることが可能でした。メモリ破壊を伴うため,任意のコードの実行に繋げることも可能です。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3097-2:Linux kernel (OMAP4) のセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2016-October/003592.html
  • Ubuntu 12.04 LTS用のアップデータがリリースされています。CVE-2016-6136, CVE-2016-6480, CVE-2016-6828を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるため,通常はそのままアップデートの適用を行えば対応できます。

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

コメント

コメントの記入